Fehlalarm bei Antivir?

  • Moin,
    ich habe mir hier mal den Thread > https://www.forum-hilfe.de/showthread.php?t=33661 < durchgelesen, und da dachte ich, dass ihr mir hier bestimmt auch weiterhelfen koennt.

    Also:
    Heute fand Antivir den Trojaner TR/Crypt.ULPM.Gen in

    C:\WINNT\FireFoxUpdater.exe
    .

    Habe anschließend Malwarebytes-Anti-Malware druberlaufen lassen, jedoch fand er nichts.

    Hab auch mal Hjt scannen lassen...

    Hier die Logfile:

    Ist das nun ein Fehlalarm?
    Bedanke mich schonmal im Voraus und hoffe dass ihr mti weiterhefen koennt.. :)

  • Zitat


    O4 - HKCU\..\Run: [cugye] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\cugye.exe" cugye
    O4 - HKCU\..\Run: [egqqa] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\egqqa.exe" egqqa


    Weißt du, was das für Programme sind?

    Zitat


    O17 - HKLM\System\CCS\Services\Tcpip\..\{DD9A0134-AE0E-49E9-8AC8-311C2ED99619}: NameServer = 62.220.18.8 89.246.64.8


    Das hier würde mir zu denken geben, wieso hast du zwei DNS-Server?

    Die HiJackThis-Logfile hilft uns in diesem Fall überigens absolut nicht weiter, da
    HiJackThis nur einen Virenbefall nachweisen könnte. Solange du die .exe nicht ausführst, kann sich auch kein Virus auflisten.
    Wo hast du die Firefox.exe runtergeladen? Und hat er sie vermutet, oder erkannt?
    Du soltlest die Datei auch nocheinmal hier hochladen.
    Grüße CLiff

  • Nein, die dateien kenne ich nicht.. ( Vllt liegts auch daran, dass ich nicht viel ahnung von PCs habe... :x)

    & warum ich 2 DNS-Server hab weiß ich nich (war frueher der PC meiner Muttervielleicht hat sie da iwas gemacht...)

    Firefox habe ich bei CHip-online runtergeladen.....
    & habe auch schon versucht die Datei bei VIrustotal hochzuladen, jedoch finde ich den Ordner bzw die datei in C:\WINNT nich oô kann ich die iwie finden?


    Edit:
    ... Ob Antivir die Datei nun gefunden oder vermutet hat, weiß ich ncih.. hier mal der Teil des Repots mit C:\WINNT\FireFoxUpdater.exe


    Beginne mit der Suche in 'C:\' <FESTPLATTE>
    C:\PAGEFILE.SYS
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\WINNT\FireFoxUpdater.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c28bc.qua' verschoben!

    4 Mal editiert, zuletzt von S04-Fan91 (31. Oktober 2008 um 17:16)

  • Also, ein Kollege, der etwas Ahnung von PCs hat, war eben hier und ließ Combofix drueberlaufen.. Anschließend haben wir Antivir nochmal durchsuchen lassen und jetzt kommt diese Meldung nicht mehr. Wenn diese Meldung nochmal kommt, melde ich mich^^

    Das hier würde mir zu denken geben, wieso hast du zwei DNS-Server?

    Ist sowas ein Sicherheitsrisiko? Kann ich einen DNS-Server entfernen? Wenn ja, wie?

  • Ok, ich bins nochmal...^^
    dachte ja, dass die Datei jetzt weg waere, nachdem Combofix lief, jedoch fand Antivir eben diese Datei wieder... Habe die Datei inzwischen bei Virustotal.com hochgeladen...

    Datei FireFoxUpdater.exe empfangen 2008.11.01 00:34:32 (CET)
    Ergebnis: 11/36 (30.56%)

    Was soll ich damit machen?^^

    6 Mal editiert, zuletzt von S04-Fan91 (1. November 2008 um 00:54)

  • Kannst du die Datei nicht einfach löschen?

    Sollte es nicht gehen, such mal nach dem Tool "Unlocker"... das schafft die meißten

    Dann deinstallierst du FF wie gewohnt und lädst ihn dir direkt von Chip.de oder Mozilla.org runter.


    Info: Große Antivirenhersteller tauschen unter sich oftmals die Dateien von Ihren "verhaltensbasierten" Suchen aus. Daher kann es sein, dass die Datei z.B. von Kasperky bei solch einer Suche gefunden wurde und an AntiVir gesendet wurde....


    Nachtrag: warum ist das nun so schlimm bei DNS Servern? http://www.at-mix.de/dns_server.htm daraus konnte ich iwie nicht so schlau werden, dass ich mir die Frage beantworten kann...

    Einmal editiert, zuletzt von Ericfischer (1. November 2008 um 09:50)

  • Naja, das ganze nennt sich dann Domain Hack. Wenn irgendwelche gefährlichen Dateien deinen DNS-Server auf den eines Hackers umstellen, so kann dieser kontrollieren, auf welche Seite er dich leitet. Jede Adresse, die du eingibst, wird durch den DNS-Server in eine IP-Adresse umgewandelt. Ist dies nun ein falscher DNS-Server, der dich falsch weiterleitet, kann das zum Beispiel zu Phishing führen. Du gibst zum Beispiel http://www.postbank.de ein, landest aber auf einer gleich aussehenden Seite. Nur das deine Daten nicht bei der Postbank landen, sondern woanders.

    Wenn man allerdings ein WhoIs macht, kommt raus, dass es DNS-Server von Versatel sind, also wohl doch nicht so tragisch.

    Zitat von HiJackThis


    O17
    Ein Domain Hack entsteht durch einen Hacker, der Ihren DNS Server auf Ihrem PC zu seinem Server umleitet. Von dort aus können Hacker Sie dann auf jede Seite umleiten, die den Hackern genehm ist. Durch das hinzufügen von google.com zum DNS Server der Hacker,ermöglicht es den Hackern Ihren Versuch auf http://www.google.com zukommen, auf eine x-beliebige von den Hackern ausgewählte Seite umzuleiten.

    Beispiel Auflistung: O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

    Wenn Sie hierfür Einträge finden und sie nicht zu Ihrem ISP oder Ihrem Betrieb gehören und der DNS Server auch nicht zu Ihrem ISP oder Ihrem Betrieb gehören, dann sollten Sie diese Einträge durch HijackThis reparieren. Sie können zu ARIN gehen um dort eine "WhoIs" nach DNS Server IP Adressen durch zu führen, um den Namen der dazugehörigen Firma zu ermitteln.

  • Komisch... wollte die Datei eben loeschen, aber die is nich mehr in C:\WINNT ... hab sie da nich geloescht oO Hab auch nochmal antivir C:\WINNT pruefen lassen & nu gibt er mir keine Virenmeldung mehr oO

    Einmal editiert, zuletzt von S04-Fan91 (1. November 2008 um 17:43)

  • Also etwas Leseverständnis sollte man schon mitbringen.


    Hinweis: Letzte Zeile.

  • Grad lief AntiVir nochmal & jetzt findet er wieder den Trojaner in C:\WINNT\FireFoxUpdater.exe X(

    Hab dann eben nochmal in C:\Winnt geguckt aber die Datei is einfach nich mehr da X(

    Muesste ich die Datei nich auch da finden, wenn er da den Trojaner findet? X(

    Einmal editiert, zuletzt von S04-Fan91 (2. November 2008 um 09:42)

  • Nicht unbedingt. Werden dir alle Dateien angezeigt, sprich System- und Hidden-Files?

  • Windows-Explorer starten und dann Extras/Ordneroptionen anklicken. Im erscheinenden Dialogfenster den Reiter "Ansicht" auswählen. Dann nachsehen, ob "Geschütze Systemdateien ausblenden" und ob "Versteckte Dateien und Ordner ausblenden" aktiv ist. Wenn ja, umstellen und dann nochmals die Datei suchen.

  • Ich verstehe es langsam nicht mehr oô... Ich habe Antivir gestern und heute mehrmals das System scannen lassen - Nun findet er wieder nichts mehr oô.. Nicht mal nach einem Neustart ( normal fand er den Trojaner IMMER nach einem Neustart wieder oô) ..[ Habe bereits 5 Neustarts gemacht, um zu gucken, ob er nach dem Neustart den Trojaner wieder findet.,..]
    Ist er weg, oder warum schlaegt Antivir keinen Alarm mehr? oO :confused:

    Edit: Habe die Datei immer noch nicht gefunden, konnte sie daher auch nicht loeschen...