Geistererscheinung oder handfester Trojaner ?

Diskutiere Geistererscheinung oder handfester Trojaner ? im Windows 7 Allgemeines Forum im Bereich Windows 7; Tach, allerseits, aufgeregter Anruf meiner Tochter (Win 7 HP SP1 64bit auf Acer Aspire 8735). Während des Betrachtens eines TV-Films in der...

  1. #1 august_burg, 04.09.2013
    august_burg

    august_burg Guest

    Tach, allerseits,

    aufgeregter Anruf meiner Tochter (Win 7 HP SP1 64bit auf Acer Aspire 8735).

    Während des Betrachtens eines TV-Films in der RTL Mediathek ist plötzlich in der linken oberen Ecke
    des Bildschirms das Popup aufgetaucht, das bei jedem normalen Kopiervorgang die Aktivität anzeigt.

    Also "Briefumschlag von einem Ordner in einen anderen". Der Vorgang hat ca. 3 Sekunden gedauert.

    Sie fürchtet, daß man relevante Daten wie Logins u. Passwörter ausgespäht u. kopiert hat.
    Avira Free hat sich nicht gerührt. Ein anschließender Komplettscan hat nichts erbracht.

    Bevor ich die Kiste sicherheitshalber plattmache, Frage an die Gemeinde:
    Hat jemand eine Idee, was da vorgegangen sein könnte?
     
  2. #2 areiland, 05.09.2013
    areiland

    areiland Erfahrener Benutzer
    Moderator

    Dabei seit:
    11.12.2009
    Beiträge:
    16.880
    Zustimmungen:
    2
    Version:
    Windows 10 Pro x64 Build 1511 10586.29
    System:
    970M Pro3, AMD FX6350, ATI 7730, 16GB DDR3 1600, SSD256 GB, HD502HJ, SH224BB
    Also eine Ausspähaktion wird kaum den Kopierdialog anzeigen - denn ein Trojaner der sowas macht, der will ja unerkannt bleiben. Wurde der Scan auch mit einer Offline AntivirenCD durchgeführt? Installierte Virenscanner können können von Schädlingen manipuliert sein und sind im Verdachtsfall nicht als vertrauenswürdig anzusehen.

    Schau mal mit: HijackThis - Download - CHIP Online drauf und stell uns das erstellte Logfile hier ein. Störenfriede lassen sich so recht gut identifizieren.
     
  3. #3 august_burg, 05.09.2013
    august_burg

    august_burg Guest

    Danke, komme darauf zurück !
     
  4. #4 august_burg, 06.09.2013
    august_burg

    august_burg Guest

    @ areiland

    Hier die Aufnahme:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 09:07:22, on 06.09.2013
    Platform: Windows 7 SP1 (WinNT 6.00.3505)
    MSIE: Internet Explorer v10.0 (10.00.9200.16660)
    Boot mode: Normal

    Running processes:
    C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe
    C:\Program Files (x86)\Brother\ControlCenter3\brccMCtl.exe
    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
    C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
    C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe
    C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe
    D:\Downloads\HiJackThis204.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Aktuelle Nachrichten, Outlook.com Email und Skype Login.
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Aktuelle Nachrichten, Outlook.com Email und Skype Login.
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [BrStsMon00] C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe /AUTORUN
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
    O4 - HKCU\..\Run: [Antivir_NOPOP] 0
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {64964764-1101-4bbd-8891-B56B1A53B9B3} - (no file)
    O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira Echtzeit-Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: BrYNSvc - Brother Industries, Ltd. - C:\Program Files (x86)\Browny02\BrYNSvc.exe
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
    O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio64.exe (file missing)

    --
    End of file - 6633 bytes


    Lt. Hijack-Auswertung (HijackThis Logfileauswertung) wird die Datenbank nicht mehr gepflegt, aber negative Anmerkungen wurden auch nicht gemacht. Bei der unklaren Position 09 handelt es sich um einen alten Eintrag von "Classic Shell", was längst deaktiviert worden ist.

    Wäre nett, wenn Du auch kurz drüberschauen würdest.
     
  5. #5 areiland, 06.09.2013
    areiland

    areiland Erfahrener Benutzer
    Moderator

    Dabei seit:
    11.12.2009
    Beiträge:
    16.880
    Zustimmungen:
    2
    Version:
    Windows 10 Pro x64 Build 1511 10586.29
    System:
    970M Pro3, AMD FX6350, ATI 7730, 16GB DDR3 1600, SSD256 GB, HD502HJ, SH224BB
    Sieht alles sauber aus. Möglicherweise ist einer der Updater für diesen Kopierdialog verantwortlich. Wenn Deine Tochter Java nicht benötigt würde ich das schon mal komplett entfernen - Sicherheitsrisiko ohne Ende. Die anderen Updater würde ich deaktivieren, wenn Updates anstehen kann man die normalerweise auch manuell anstossen.
     
  6. #6 august_burg, 06.09.2013
    august_burg

    august_burg Guest

    Danke u. weiterhin Frohes Schaffen !
     
Thema: Geistererscheinung oder handfester Trojaner ?
Besucher kamen mit folgenden Suchen
  1. browny02

    ,
  2. brynsvc

    ,
  3. was ist browny02

    ,
  4. browny02 ordner,
  5. brynsvc dienst,
  6. BrBrowny02,
  7. C:\Program Files (x86)\Browny02,
  8. what is program Browny02,
  9. brynsvc.exe,
  10. EsgInstallerResumeAction_ff00e6f2fa487fc76629666127044dea,
  11. brynsvc exe ?,
  12. brynsvc service windows 7,
  13. program file browny02,
  14. Browny02\BrYNSvc.exe,
  15. brother browny02 company,
  16. C:Program Files (x86)Browny02BrYNSvc.exe,
  17. browny02 brynsvc.exe
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden