Computer PC Forum - windowspower.de

Hallo,

Ich habe gerade bei mir auf dem PC einen Ordner entdeckt, den ich bisher noch nie gesehen habe. Über google habe ich auch schon gesucht, die einen sagen, dass ist eine Maleware, die andren meine es wäre nix.

Könnt ihr mir etwas dazu sagen?
Also der Ordner heißt 615b9eb670b9d5e830a6 und die beiden Dateien die da drin sind heißen mrt.exe._p (_P-Datei 6.178KB) und bei der andren steht mrtstub.exe (Malicious Saftware Removal T...)

Ich möcht sie jetzt nicht anklicken, da ich ja nicht weiß was sie beinhaltet.

Wenn ihr mir helfen könntet wäre das echt nett Danke schonmal im Voraus

Hallo u vielen dank für die schnelle Antwort.

Wie im abgesicherten Modus scannen, geht das? hab das noch nie gemacht. Kannst du mir die schritte sagen.
Den so habe ich die Ordner mit Antivir gescannt u er hat nix angegeben.
Kann ich den im abgesicherten Modus auch ins Net, oder wie poste ich das dann?
Und dann noch, warum macht man das im abges. Modus?

Sorry für meine "dummen" Fragen, aber hab null ahnung

Zitat

Zitat




Also der Ordner heißt 615b9eb670b9d5e830a6 und...




Das sind Ordner die durch Windows Updates angelegt werden. Auf welcher
Partition liegt der Ornder und ist bei Rechtsklick -> Eigenschaften
die Option "Versteckt" an oder aus?

Ich hab bei google aber auch gelesen, dass sie da auch ein böser Virus drunter verstecken kann.Mir ist der Ordner noch nie aufgefallen warum ist er dann jetzt da?

Nein versteckt ist er nicht, nur schreibgeschützt.

Werd jetzt mal meinen PC scannen lassen. Schreib dann hier was rauskam

So da bin ich wieder*löl*
Also im Abg. Modus kam ich ne ins Net, keine Ahnung warum. Bin aber bei Netzwerk.Verb. rein.

Hab die Logfiles aber abgespeichert. Hier sind sie

LogFile Antivir.



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 2. September 2010 12:01

Es wird nach 2757595 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Abgesicherter Modus mit Netzwerk Support
Benutzername : Katrin
Computername : KATRIN

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 18:27:53
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 18:27:52
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 08:19:26
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:56:45
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 15:22:35
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 15:22:35
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 15:22:35
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 15:22:35
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 15:22:35
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 15:22:35
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 15:22:36
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 15:22:40
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 15:22:41
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 15:22:41
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 07:05:33
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 07:05:34
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 07:05:35
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 07:05:36
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 07:05:36
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 07:05:37
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 07:05:38
VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 07:05:38
VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 07:05:39
VBASE026.VDF : 7.10.11.34 2048 Bytes 27.08.2010 07:05:39
VBASE027.VDF : 7.10.11.35 2048 Bytes 27.08.2010 07:05:39
VBASE028.VDF : 7.10.11.36 2048 Bytes 27.08.2010 07:05:39
VBASE029.VDF : 7.10.11.37 2048 Bytes 27.08.2010 07:05:39
VBASE030.VDF : 7.10.11.38 2048 Bytes 27.08.2010 07:05:40
VBASE031.VDF : 7.10.11.42 26112 Bytes 27.08.2010 07:05:40
Engineversion : 8.2.4.46
AEVDF.DLL : 8.1.2.1 106868 Bytes 05.08.2010 15:22:57
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 28.08.2010 07:05:51
AESCN.DLL : 8.1.6.1 127347 Bytes 14.05.2010 16:32:31
AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 16:45:44
AERDL.DLL : 8.1.8.2 614772 Bytes 05.08.2010 15:22:55
AEPACK.DLL : 8.2.3.5 471412 Bytes 28.08.2010 07:05:50
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 05.08.2010 15:22:52
AEHEUR.DLL : 8.1.2.19 2867574 Bytes 28.08.2010 07:05:48
AEHELP.DLL : 8.1.13.3 242038 Bytes 28.08.2010 07:05:42
AEGEN.DLL : 8.1.3.20 397684 Bytes 28.08.2010 07:05:42
AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 16:45:42
AECORE.DLL : 8.1.16.2 192887 Bytes 05.08.2010 15:22:45
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 16:45:41
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 18:27:56
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 18:27:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 18:27:50
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 18:27:45

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Katrin\LOKALE~1\Temp\a167d8c9.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende
Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox,
+Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
+ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 2. September 2010 12:01

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\615b9eb670b9d5e830a6'


Ende des Suchlaufs: Donnerstag, 2. September 2010 12:01
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

1 Verzeichnisse wurden überprüft
3 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
3 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Und hier Hijackthis
---------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:23, on 02.09.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hijach\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customiz…//www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Aim] "C:\Programme\AIM\aim.exe" /d locale=de-DE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsu…b?1186648974984
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/…l/installer.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6637 bytes

Kann mir niemand helfen u mir evenltl. sagen ob ich ne Maleware drauf habe??

danke

aber das andre ist ja alles in engl.? weiß gar net was ich dann damit anfangen soll. Ich poste mal dass was da stand, ok

bei der einen Date (mrt.exe._P) kommt:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5:c79ba238127c202e96beb24909710e82 Date first seen:2010-07-13 23:49:25 (UTC) Date last seen:2010-08-19 02:57:15 (UTC) Detection ratio:0/41
What do you wish to do?

dann darunter zwei Buttons: Reanalyse u view last report
was soll dann gemacht werden?
bei der andren Datei(mrtstub.exe:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5:6f1e4cbc399086715b2fc8559902e06a Date first seen:2010-07-13 11:29:50 (UTC) Date last seen:2010-08-19 02:47:10 (UTC) Detection ratio:0/39
What do you wish to do?
Falls da nix sein sollte, kann man den Ordner dann ohne weiteres löschen. Seh ja sonst keinen Grund warum der da sein sollte?

Ok das ist fein....dann vielen Dank an Euch