HTML/Crypted.Gen Fund im Opera Cache / Logs |
||
---|---|---|
#0
| ||
11.03.2009, 14:50
Member
Beiträge: 36 |
||
|
||
11.03.2009, 15:16
Member
Beiträge: 3716 |
#2
sieht gut aus.
folgendes würde ich aus dem autostart entfernen, öffne hijackthis klicke scan: hake an, O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime klicke fix cheked warum ist avira auf englisch? die protokolierung würde ich auf low stellen. opera updaten. konfiguration von opera: www.heise.de/security/dienste/browsercheck/anpassen/op9/ - 21k - das war es schon... ach ja, start ausfüren combofix /u enter |
|
|
||
11.03.2009, 15:40
Member
Themenstarter Beiträge: 36 |
#3
Hallo nochmal,
Danke für deine erneute Hilfe und Analyse. Wieso gab es von Avira dieses Mal so viele Warnungen? Liegt das am abgesicherten Modus? Ganz am Anfang wurde auf Englisch installiert und es hat mich nie gestört. Gehört dies hier auch zum ComboFix "Fund"? C:\System Volume Information\_restore{188D0EAC-78C3-42B2-A5E5-697C8FD2D4F8}\RP190\A0075483.exe [0] Archive type: RAR SFX (self extracting) --> 32788R22FWJFW\psexec.cfexe [1] Archive type: RSRC --> Object [DETECTION] Contains recognition pattern of the APPL/PsExec.E application [WARNING] Infected files in archives cannot be repaired! [NOTE] The file was moved to '49e7a74b.qua'! Laut Opera ist es die neuste Version. Steht da irgendwo, dass es nicht so ist? Kann ich die infizierte Datei aus der Quarantäne löschen? Und diesen Messenger löschen? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe Was hat es mit der Network Diagonistic auf sich? War im Februar HJT Log noch nicht da. |
|
|
||
11.03.2009, 15:43
Member
Beiträge: 3716 |
#4
ich hatte in deinem log opera 9.63 gesehen es gibt aber bereits version 9.64 den messenger kannst deinstalieren, ja das gehörte zu combofix network diagnostik ist zur diagnose bei netzwerkproblemen lass das so ;-)
|
|
|
||
11.03.2009, 15:56
Member
Themenstarter Beiträge: 36 |
#5
Stimmt, da steht Opera und dann Opera 6.63
Im Opera Ordner und Info steht 9.64.10487.0 Deinstallieren? --- Welche Ursache kann es haben, dass die Systemwiederherstellung nur noch im abgesicherten Modus funktioniert? |
|
|
||
11.03.2009, 16:09
Member
Beiträge: 3716 |
#6
hast du schon mal versucht sie aus und dann wieder einzuschalten, geht sie dann wieder?
ja die 63 runter |
|
|
||
23.03.2009, 15:19
Member
Themenstarter Beiträge: 36 |
#7
Hallo nochmal,
Ich weiß nicht, ob ich einen neuen Thread erstellen soll, also poste ich folgenden Avira Fund hier, weil es sich wieder ums Browser Cache dreht. Dieses Mal Firefox. Danke für die kontinuierliche Hilfe und Auswertung der Logs. vom 21.03. Virus or unwanted program 'HTML/Rce.Gen [virus]'detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\9D2C410Bd01. Action performed: Move file to quarantine Zitat Logfile of Trend Micro HijackThis v2.0.2 Zitat ComboFix 09-03-22.01 - 2009-03-23 14:58:08.3 - NTFSx86 Zitat Avira AntiVir Personal Zitat F-Secure Scanning Report Zitat Ad-Aware Zitat Malwarebytes' Anti-Malware 1.34 |
|
|
||
23.03.2009, 16:01
Member
Beiträge: 3716 |
#8
Du schon wieder ;-)
avira ist bereits in Version neun erschienen. hier eine anleutng zum instalieren: http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html ich habe die aktion bei fund auf automatisch gestellt, dass kannst du natürlich machen wie du willst. dann updaten, scannen, log posten. dann geb ich dir noch n paar tipps wie du firefox sicherer machen kannst. |
|
|
||
24.03.2009, 11:58
Member
Themenstarter Beiträge: 36 |
#9
Bin wieder hier )
Danke für den Hinweis auf die neue Version. Fragen: Was ist mit den Dateien in der Version 8 Quarantäne passiert? Im Log steht Dateiheuristik mittel, aber in der Konfiguration ist AHeAD Erkennungsstufe hoch eingestellt? Und wieso wurden vorher immer knapp 62000 Dateien nach versteckten Objekten überprüft und jetzt nur noch rund 49000? Zitat Avira AntiVir Personal |
|
|
||
24.03.2009, 12:21
Member
Beiträge: 3716 |
#10
die sind gelöscht.
ja, ich weiß auch nicht was da los ist, avira hat da, wenn ich das richtig rausgelesen hab, einen bug, der beseitigt wird... Wenn man z.B. mit rechtsklick auf das laufwerk und dann prüfen nimmt, ist die heuristik auf hoch. so, kommen wir nun zu deinem firefox: noscript laden und ausfüren: https://addons.mozilla.org/de/firefox/addon/722 - 33k - dies verhindert unteranderem die ausfürung von javascript. nur zulassen wenn du den scripts vertraust oder es unbedingt nötig ist, dann aber bitte nur temporär. adblock plus, blockiert werbung und malwareseiten: https://addons.mozilla.org/de/firefox/addon/1865 - 32k - filterlisten: http://adblockplus.org/de/subscriptions dort nimm folgende, diese sollten gut zusammenarbeiten, wenn nicht, melde dich. unter Werbeblocker EasyList (von rick752) Filter von Dr.Evil (von Dr.Evil & MonztA) AdblockRules.org (von Martin Lindhe) Cédrics Liste (von Cédric Menge) Verschiedenes nimm dort die ersten 3. achte darauf das hingewiesen wird, dass es zu kleinen verzögerungen kommen kann. also 4 sekunden. wenn das so eintritt ist das ok (die verzögerungen treten nur beim starten und schließen des browsers auf nicht beim surfen) |
|
|
||
24.03.2009, 13:21
Member
Themenstarter Beiträge: 36 |
||
|
||
24.03.2009, 13:31
Member
Beiträge: 3716 |
#12
start ausfüren
combofix /u enter ja sehen sauber aus, den chache von firefox leeren dann ist alles io |
|
|
||
26.03.2009, 15:53
Member
Themenstarter Beiträge: 36 |
#13
Hallo nochmal,
Gibt es schon Informationen, wann der Bug beseitigt wird? Im Avira Forum konnte ich nichts entsprechendes finden. Oder wird jetzt schon "hoch" gescannt, aber "mittel" berichtet? Dann noch eine suspekte Sache. Habe vorhin nur nach Rootkits gesucht und Zitat Der Suchlauf nach versteckten Objekten wird begonnen.Was ist das plötzlich? In Gemeinsame Dateien befindet sich ein Buhl Data Service Ordner. |
|
|
||
26.03.2009, 16:00
Member
Beiträge: 3716 |
#14
http://www.google.de/search?hl=de&safe=off&num=100&q=Buhl+Data+Service&meta=
schau dir mal an ob dir das was sagt, zu dem avira problem kann ich heute abend vllt mehr sagen. |
|
|
||
26.03.2009, 16:17
Member
Themenstarter Beiträge: 36 |
#15
Ich habe gerade bemerkt, dass die Dateiheuristik im Rootkit Report jetzt wieder auf hoch steht!?
Es kann sein, dass mal eine WISO Gratis Software installiert war. Es nutzen noch andere Personen den PC. Aktuell ist nichts dergleichen installiert. Im Ordner wurde zB die Datei GetOn4uHdwID. exe 2007 erstellt. Virustotal = 0 Funde. Wieso sind die nicht sichtbaren Registrierungseinträge erst jetzt bei einem Scan aufgetaucht und nicht vorher, zB unter Combofix? Würden Rootkits klar als solche im Avira Bericht definiert? Gibt es eigentlich Möglichkeit Avira nur nach Spyware suchen zu lassen (laut Infos wurde dies jetzt auch spendiert, aber in der Fotostrecke zum Einstellen konnte ich nichts entsprechendes finden) oder sollte ich ein anderes Programm nutzen? |
|
|
||
Virus or unwanted program 'HTML/Crypted.Gen [virus]'
detected in file C:\DokumenteundEinstellungen\LokaleEinstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr0HFNH.
Action performed: Move file to quarantine
Java, Javascript sind im Opera Browser von meiner Seite aus deaktiviert. Folgend sind einige Logs.
Wie sieht die Diagnose aus?
Vielen Dank
Quick-Scan von gestern
Zitat
Zitat