APPS\2.0\...\...\MANIFESTS -> Virus???

  • Hallo zusammen,

    habe heute ein seltsames Verzeichnis auf meinem PC gefunden, das mich beunruhigt. Bisher konnte ich noch keine eindeutige Aussage darüber lesen.


    Kann mir jemand sagen, ob das Verzeichnis
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\
    APPS\2.0\VN80BJ72.D91\M7VNRGPT.CQM\MANIFESTS
    (Verzeichnis ist leer)
    irgend etwas mit einem Virus zu tun hat?


    Virenscanner + Spywareprogramme haben nichts gefunden.



    Über eine schnelle Antwort würde ich mich sehr freuen.


    Viele Grüße
    Paheli

  • Hi,
    diesen Ordner wird wohl jeder XP Nutzer auf seinem Rechner haben.
    Grundsätzlich kann man den komplett löschen.
    Spätestens nach einer Programminstallation ist er aber wieder da.:D
    Gruss Micha

    Tätig ist man immer mit einem gewissen Lärm. Wirken geht in der Stille vor sich.

  • Hallo WhiteKnight,


    herzlichen Dank für Deine schnelle Antwort.
    Habe folgende Schritte durchgeführt:


    1. CCleaner


    2. Malwarebytes
    Report:


    Malwarebytes' Anti-Malware 1.28
    Database version: 1229
    Windows 5.0.2195 Service Pack 4


    05.10.2008 16:09:31
    mbam-log-2008-10-05 (16-09-28).txt


    Scan type: Full Scan (C:\|)
    Objects scanned: 114614
    Time elapsed: 28 minute(s), 21 second(s)


    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 1
    Folders Infected: 0
    Files Infected: 0


    Memory Processes Infected:
    (No malicious items detected)


    Memory Modules Infected:
    (No malicious items detected)


    Registry Keys Infected:
    (No malicious items detected)


    Registry Values Infected:
    (No malicious items detected)


    Registry Data Items Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.


    Folders Infected:
    (No malicious items detected)


    Files Infected:
    (No malicious items detected)

    Beim 1. Scan (durch 2. Scan leider überschrieben) wurde außer "HiJack.Startmenu" noch folgendes gefunden:
    - Rogue.Installer
    - Adware.MyWebSearch
    Habe alles entfernt.



    3. WindowsScan -> nicht möglich, weil W2K ...


    4. HiJackThis
    (die IP-Adresse habe ich geändert ... hatte irgendwo mal gelesen, dass man das machen soll ...)


    Report:
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 14:52:37, on 05.10.2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)


    Zur Info:
    Der PC reagiert vollkommen normal.


    Nur, seit Mai dieses Jahres läuten bei mir alle Alarmglocken, wenn ich irgend etwas finde, was mir seltsam vorkommt.
    U.a hatte ich damals auch ein APPS ...\Manifests-Verzeichnis gefunden ...


    Damals hatte ich mir ein übles Teil eingefangen ... (über den "HOME"-Link in Nepalnews.com) ... TROJAN.MALIFRAME!HTML.
    Norton Antivir (Internet Security 2005) hatte den Virus zwar erkannt, konnte ihn aber nicht löschen ...
    Beim Onlinebanking wurde er dann aktiv ... Es ist nichts passiert, weil ich sofort mein Postbank-Konto sperren ließ.
    Ich versuchte tagelang dieses Teil zu eliminieren ... erfolglos ... es wurden immer noch mehr Schadprogramme nachgeladen.
    Schlussendlich habe ich einen alten Clone installiert, auf einer anderen HD versteht sich. Die verseuchte HD liegt seitdem unberührt im Schrank ...


    Da ich nicht alleine an dem PC arbeite, habe ich dann aus Sicherheitsgründen Sandboxie installiert.
    Und dann gestern dieser "Fund" ......



    Ich hoffe, dass er sich als harmlos herausstellt ...



    Vielen Dank schon mal und viele Grüße
    Paheli

    Einmal editiert, zuletzt von Volkmar ()

  • Hallo WhiteKnight,


    leider ist das Einfügen des reinen Textes nicht möglich.
    Virus Total benötigt eine Datei ...


    Das Verzeichnis habe ich aber "leider" schon gelöscht. War leer.


    Gibt's noch ne andere Möglichkeit ???



    Grüße
    Paheli

  • Hallo WhiteKnight,


    habe folgendes durchgeführt:
    1. CCleaner
    2. Combofix


    Kurz nach dem Start von Combofix kam die Meldung -> Rootkitaktivitäten erkannt. Der PC muss neu gestartet werden ...



    Hier ist die Log-Datei:


    ComboFix 08-10-07.01 - Administrator 07.10.2008 21:59:53.1 - FAT32x86
    ausgeführt von:: C:\prog2\combofix\ComboFix.exe


    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!




    Vielen Dank schon mal für die Prüfung und
    viele Grüße


    Paheli




    Einmal editiert, zuletzt von Volkmar ()

  • Start - Ausführen - Kopiere rein: Combofix /U
    - klicke "OK"


    Zitat

    Kurz nach dem Start von Combofix kam die Meldung -> Rootkitaktivitäten erkannt. Der PC muss neu gestartet werden ...


    Von wo kam die Meldung :?:

    Viele Grüße
    WhiteKnight

  • Hallo WhiteKnight


    da die Meldung direkt nach dem Start von Combofix kam vermute ich, dass sie von Combofix selbst kam. Er gab keinen Hinweis ...


    Den Teatimer + Norton hatte ich deaktiviert.


    Combofix /U ist die Deinstallation, richtig?


    Habe gestern noch mal Spybot drüberlaufen lassen -> alles i.O.


    Hast Du im Logfile irgend etwas Verdächtiges gesehen ???



    Grüße
    Paheli

  • Hallo WhiteKnight,


    habe Combofix deinstalliert und nochmals mit Counterspy V3 geprüft.
    Es wurde keine schadhafte Software gefunden.


    Ich denke, wir sollten es darauf belassen ...


    Ich danke Dir nochmals ganz herzlich für Deine Unterstützung.



    Viele Grüße
    Paheli

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!