MultiDropper-BG trojan

anoneu · 10.03.2004, 09:51

Hallo,

in einer exe-Datei hat pestpatrol einen MultiDropper-BG trojan gefunden und gelöscht.

Ich hatte aber zuvor die exe-Datei ausgeführt und zwei Virenscanner sagten nichts zu dieser exe-Datei.

Meine Fragen:

- Was macht dieser Trojan ?

- Ist es damit erledigt (Löschen der Datei) oder gibt es jetzt noch andere Trojaner auf meinem Rechner ?

- Warum wird dies von pestpatrol erkannt und nicht von den anderen Scannern ?

Dank für Eure Antworten, ich hoffe Ihr könnt mir weiterhelfen !

annoneu

Shadow · 10.03.2004, 10:54

du benutzt Pestpatrol, Pestpatrol findet was ... und bist Du auf die Idee gekommen mal bei Pestpatrol nachzusehen, was der Multidropper wäre?

http://pestpatrol.com/pestinfo/m/mul...-bg_trojan.asp

Alias:
BackDoor-QZ [McAfee], BackDoor-Sub7 [McAfee], DDoS.Win32.Palukka [Kaspersky], destructive program [F-Prot], I-Worm.Heather [Kaspersky], MultiDropper-AE [McAfee], MultiDropper-BG [McAfee], security risk or a "backdoor" program [F-Prot], TrojanDropper.Win32.Kapart [Kaspersky], TrojanDropper.Win32.Small.e [Kaspersky], VBS/Generic@MM [McAfee], W32/Cabanas.3018.A [F-Prot], W32/CIH.1003.unknown? [F-Prot], W95/CIH [McAfee], Win32.Cabanas.b [Kaspersky], Win95.CIH [Kaspersky]

Automatic Removal:
PestPatrol detects this.
PestPatrol removes this.

Welche zwei Virenscanner? Wie hast Du diese Virenscanner laufen? Installiert? Welche Version? Update von wann?

Und denke daran: Bitte IMMMER wirklich JEDE absolut JEDE(!) exe Datei anklicken, ohne wenn, aber und BRAIN

mmk · 10.03.2004, 10:55

Hallo, willkommen an Board!

Woher hast du denn die besagte exe?
Da es sich um einen Dropper handelt, ist in der Tat nicht auszuschließend, dass sich nun auf deinem System aktiv ein Trojaner / Backdoor befindet.

Du kannst ggf. ein HijackThis-Log erstellen:
http://www.trojaner-board.de/51130-a...ijackthis.html

Zur grundsätzlichen Schwäche von Virenscannern:
http://oschad.de/wiki/index.php/Virenscanner

anoneu · 10.03.2004, 12:15

Danke für Eure Antworten.

Ich habe diese Datei von einem Freund bekommen, deshalb war ich unvorsichtig.

Ich habe XP SP1, Norton Antivirus 2003 Update neuester Stand, auch als Wächter laufen und zur Überprüfung der Mails(hat die Mail ohne Info durchlaufen lassen). Nach dem Erkennen von pestpatrol habe ich den Norton diese Datei scannen lassen: kein Virus !
Dann habe ich antivir Update neuester Stand scannen lassen: kein Virus !

@ Shadow:
Heißt das pestpatrol hat alles gelöscht ?
Hab mir die empfohlenen Programme geladen:
bei spychecker alles ok, bei den anderen Syware gefunden und Fehler in der Sicherheit des IE.

@ mmk:
Was kann ich mit der Log-Datei von hjt anfangen, viele Dateien sagen mir nichts

Grüße

anoneu

Shadow · 10.03.2004, 12:19

<blockquote>Zitat:<hr />Original erstellt von anoneu:

@ Shadow:
Heißt das pestpatrol hat alles gelöscht ?
[/QUOTE]Hoffentlich, aber nix genaues weiß man nicht
<blockquote>Zitat:<hr />Original erstellt von anoneu:

@ mmk:
Was kann ich mit der Log-Datei von hjt anfangen, [/QUOTE]Hier posten

anoneu · 11.03.2004, 11:57

Hallo,
hier meine log-file:

Logfile of HijackThis v1.97.7
Scan saved at 13:31:13, on 10.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos Security Suite 4\sde.exe
C:\Programme\Steganos Security Suite 4\steganos4.exe
C:\Programme\LAB1.DE\TellTime\Telltime.exe
C:\Dokumente und Einstellungen\HN\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SDE] "C:\Programme\Steganos Security Suite 4\sde.exe" /booting
O4 - HKCU\..\Run: [SSS] "C:\Programme\Steganos Security Suite 4\steganos4.exe" /booting
O4 - HKCU\..\Run: [TellTime] C:\Programme\LAB1.DE\TellTime\Telltime.exe /AUTOSTART
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...872.3334490741
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab

Ist dort was verdächtiges ?

Würde es was bringen auf einen Restore-Punkt bei XP, vor Starten der infizierten exe-Datei, zurückzugehen ?

Danke

Grüße

anoneu

Who Cares · 11.03.2004, 13:04

<blockquote>Zitat:<hr />Original erstellt von anoneu:

1) C:\Dokumente und Einstellungen\HN\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

2) C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\System32\SLEE401.exe
[/QUOTE]1) Hijackthis nicht aus dem Temp-Ordner starten, sonst verlierst du ggfs. Backups davon
-> entpacke HijackThis in einen neuen, eigenen Ordner, und lass es von da laufen

2) was sind die 2 o.g. Programme ? (Muss nicht unbedingt was böses sein)

MultiDropper-BG trojan

Plagegeister aller Art und deren Bekämpfung: MultiDropper-BG trojan