TR/OLE.HiddenEXE

eva · 07.12.2004, 23:09

Beim Routinecheck nach dem täglichen Internetupdate von Antivir hat dieser folgendes gefunden:
C:\APPS\Nortonav\NIS
NIS.MSI
[FUND!] Ist das Trojanische Pferd TR/OLE.HiddenEXE
WURDE GELÖSCHT!
C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP47
A0017988.MSI
[FUND!] Ist das Trojanische Pferd TR/OLE.HiddenEXE
WURDE GELÖSCHT!
(Der Fundort überrascht mich insofern, daß dieser Norton, in dem's gefunden wird, seit fast 2 Jahren inaktiv und teils deinstalliert ist (hat sich nie komplett deinstallieren lassen)
Ich hab auch nirgends im Internet was zu diesem TR/OLE.HiddenEXE gefunden.

Hier ein Hijackthis-Log:
Logfile of HijackThis v1.98.2
Scan saved at 22:24:42, on 07.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\katz\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B25D8C8F-98C9-4F18-957E-7BC8BF8B50BB}: NameServer = 195.34.133.10,195.34.133.11

Kommt mir eigentlich nicht auffällig vor, oder überseh ich was?

Zur Zeit scannt grad escan seit etwas mehr als 30 min, hat bisher folgendes gefunden:
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\__unin__.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
Das erste davon ist schon seit geraumer Zeit auf meinem Rechner, und es konnte auch hier nicht geklärt werden, was es ist, bei den anderen beiden: Reicht es, sie einfach zu entfernen?

Bitte Antwort, damit ich hier saubermachen kann!
Danke
Eva

eva · 07.12.2004, 23:56

Hier die kompletten Funde von escan:
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\__unin__.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001039.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001074.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001091.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001122.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\dmfiles.cab tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
File C:\WINDOWS\Temp\Altnet\pmfiles.cab tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.
File C:\WINDOWS\Temp\Altnet\Setup.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.

Kann ich das (bis auf diese eine restore.ins, über die bisher niemand weiß, was das ist, also lass ich sie lieber da) alles einfach entfernen und es ist Ruhe oder ist es schlimmer? Scheint ja (eben bis auf diese eine Datei) nicht in 'kritischen' Verzeichnissen zu liegen?

Grüße und Bitte um Rat
Eva

eva · 08.12.2004, 08:43

So. Ich hab den ganzen Dreck jetzt einzeln gesucht und entfernt und http://virusscan.jotti.org/de wg. der restore.ins konsultiert. Die finden:
File: RESTORE.INS
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
EXEPACK

AntiVir
No viruses found (1.48 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (1.16 seconds taken)
ClamAV
No viruses found (0.50 seconds taken)
Dr.Web
not a virus Tool.Prockill (1.17 seconds taken)
F-Prot Antivirus
No viruses found (0.48 seconds taken)
Kaspersky Anti-Virus
not-a-virus:NetTool.PsKill (1.50 seconds taken)
mks_vir
No viruses found (2.25 seconds taken)
NOD32
No viruses found (1.67 seconds taken)
Norman Virus Control
No viruses found (23.12 seconds taken)

....nun ja....dann löschen wir's halt mal und eine davon hab ich sicherheitshalber umbenannt aufgehoben - falls das doch was Wichtiges war.

Hab ich nochwas übersehen oder sollte jetzt wieder alles passen?
Eva

chaosman · 08.12.2004, 09:03

@eva
lade dir clearprog bei www.clearprog.de
programm starten, alle häkchen bei windows und IE setzen, löschen und staunen wieviel mb sich angesammelt hatte.

zur norton gibt es ein deinstallationstool, da schaust du am besten bei symantec

die gefundene ergebnisse von escan, adware und toolbar manuell entfernen.
jedoch NetTool.PsKill nicht entfernen

chaosman

eva · 08.12.2004, 09:09

Danke für Info!
Dieses NetTool hab ich jetzt schon aus den System Volume Information...blablabla entfernt, aber das in Windows liegt noch dort.
Clearprog seh ich mir gleich an!

eva · 08.12.2004, 09:16

Clearprog hat tatsächlich jede Menge entfernt:
Number of deleted files: 15.978 Entries/Files
Number of deleted filesize: 922,2 MB (966.996.364 Byte)

So...und jetzt hoff ich, dass hier wieder alles sauber ist.

TR/OLE.HiddenEXE

Plagegeister aller Art und deren Bekämpfung: TR/OLE.HiddenEXE

TR/OLE.HiddenEXE

TR/OLE.HiddenEXE

TR/OLE.HiddenEXE

TR/OLE.HiddenEXE

TR/OLE.HiddenEXE

TR/OLE.HiddenEXE

Ähnliche Themen: TR/OLE.HiddenEXE

08.12.2004, 09:09	#5
eva	TR/OLE.HiddenEXE Danke für Info! Dieses NetTool hab ich jetzt schon aus den System Volume Information...blablabla entfernt, aber das in Windows liegt noch dort. Clearprog seh ich mir gleich an!

08.12.2004, 09:16	#6
eva	TR/OLE.HiddenEXE Clearprog hat tatsächlich jede Menge entfernt: Number of deleted files: 15.978 Entries/Files Number of deleted filesize: 922,2 MB (966.996.364 Byte) So...und jetzt hoff ich, dass hier wieder alles sauber ist.