Hallo ich bekam gerade eine Email von meinem bekannten mit folgender Virusnachricht.

Grüß Sie Herr ........

diesmal melde ich mich wegen einer unangenehmen Sache.
Es ist eigentlich das erste Mal, dass ich mir wirklich einen Virus eingefangen habe.
Schon wegen meiner Vorsicht im Internet zu Surfen, ist es mir unerklärlich, auf
welchem Weg sich dieses Teil eingeschlichen hat.

Nicht einmal der Virenscanner kennt ihn, trotz ständiger Aktualisierung !!

Ich habe es eigentlich nur bemerkt, als mein Rechner, bzw. das Modem, lange
Datenpakete nach aussen absetzte.
Beim Hochfahren des Rechners verhielt er sich merkwürdig.

Beim Blick in die verborgenen Autostarts (msconfig, Reiter Systemstarts) fand
ich dann die Einträge 'Snapple.exe' sowie 'syshost32.exe'.
Meine Firewall sowie Virenscanner wurden ständig deaktiviert.

Im Internet fand ich eigentlich nur einen Hinweis (siehe Anlage) welche Einträge
in der Registry betroffen sind.
Das Datum der Herausgabe ist 28.01.2005 !!

Es hat mich eine ganze Weile gekostet, bis ich ihn vom System herunter hatte.
Schlimm ist derzeit nur, dass der Virenscanner nutzlos ist.

Die Anlage:
This file is generated by AppHunter
; Please contact support@cyberdefender.com for more details
[Summary]
Discovered=01/28/2005 04:26:00
ID=152CCFD50539D3206447A5CF55581726
ID2=80384,B6A3F5715C68316D981F99D49D8E41D2
ID3=79360,1AFBEB0B6097955403634CFB801F2667
MD5=2C3C33C53373F0293C65E3F1B8D17A0F
Size=80384
Filename=snapple.exe
Company=N/A
Risk=4.8

[Risk Analyzer]
AutoRun=16
NonBrand=10
FileCreated=4
FileCreatedInWinSys=4
CloneThreat=4
ServiceCreated=10

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
snapple=snapple.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\]
snapple=snapple.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\]
snapple=snapple.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
snapple=snapple.exe

[FileCreated]
c:\windows\system32\snapple.exe=1

[ThreadCreated]
Count=1

Der Virus findet sich in der Registry nicht unbedingt unter dem angegebenen Namen.
Wie es scheint, versteckt er sich auch unter der ausführbaren Datei syshost32.exe.
Auf jeden Fall konnte unter 'Ausführen' msconfig im Reiter Systemstart
in der Spalte Systemstartelement Abx festgestellt werden.
Der dazugehörige Befehl lautet syshost32.exe
Parallel wurde auch snapple.exe ausgeführt.
Beide Befehle scheinen auch mehrfach gestartet zu werden.

Hat jemand diesen Virus schonmal gehabt.

@Firecat
im google findet man nicht viel.
mit welchen Avscanner arbeitest du?
poste mal den ganze pfad.
poste auch ein HJT logfile
download
anleitung

chaosman

Wie schon gesagt der Virus ist bei einem Bekannten von mir aufgetreten,aber ich habe dort nachgefragt und werde sobald ich Antwort erhalte weitere Infos Posten.

Hallo zusammen.

Ich habe gerade mit meinem alten Herren telefoniert. Es sprach von
Problem mit seinem PC (Kann keine Webseite über den IE aufrufen, es öffnet sich
auchtomatisch ein neues IE Fenster und die CPU-Auslastung durch die Snapple.exe beträgt 99 %). Wenn man googelt findet man nur ein Link auf
diesen Thread. Wäre net wenn Ihr evtl. einmal die URL posten könntet, wo Ihr
mehr Über dieses Thema gefunden habt.
Selbst freeav (vs) und spybot finden nix. diese wurden samstag gestartet.
mittlerweile kann mal leider Antivir (freeav) nicht mehr bedienen. Wird wohl
deaktiviert.

Das Problem besteht seit Samstag. Sieht wohl nach einem neuen Virus aus, oder?

@Blumenpflugger
lade escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre
scan dauert mindestens 1 stunde
chaosman

Ich hab den auch bekommen.

Die Sache mit dem Anti-Virus (bei mir Kaspersky) kann man lösen, indem man das Programm deinstalliert, neu installiert und sofort update macht, vor dem nächsten 1. Scan.

Dieser Tip kommt nicht von mir, aber hat funktioniert. Der Hintergrund ist der, dass snapple.exe die Datei Eicar im AV-Programm modifiziert. Dadurch wird das Programm in diesem Fall unbrauchbar.

Obwohl, mal nebenbei bemerkt, Kaspersky in der Qualität ziemlich nachgelassen hat. Das kostenlose avast (http://www.avast.com) geht besser mit Viren um.

In Sache Eliminierung von snapple.exe an sich, musste ich es ebenfalls manuell machen (registry). Einige empfehlen eine Neuaufsetzung des Systems. Bei mir war es nicht erforderlich.

Hallo , ich habe in den letzten Tagen auch immer wieder Probleme mit Viren und Trojanern! Da ist was ganz neues unterwegs! Meine Firewall von Zone Labs haut jeden Tag ein neuen Wurm Virus raus. Aber wie diese aufs System kommen, keine Ahnung!

Vor 4 Tagen hab ich beobachtet das sich der Windows Taschenrechner von allein öffnet! Einfach so beim schreiben oder spielen!

Gestern war mein System defekt musste Windows Repair (XP) machen!
Dann fand ich den Wurm LSRV.EXE den hab ich weg! Danach starteten immer wieder neue Programme wie SMSSE.EXE(Wurm), denn hab ich auch weg.
Dazu startete immer wieder FTP.EXE, ein Programm was zum Datenübertragen ist!
Meine Firewall hat zum Glück immer alles gesperrt!
Das Programm CMD.EXE läuft in einer Simulierten MS-DOS Anwendung oder so und das war vorher nicht und seit dem hab ich ärger!
Jetzt heute morgen musste meine Firewall auch den SNAPPLE.EXE sperren?!
Irgendwo ist doch eine riesen Lücke im System oder wo kommen diese Teile ständig her habe sonst nie Probleme gemacht!

aaaaaaaaaaa


Kann mir einer mehr sagen was ich mit der Datei CMD.EXE machen soll? Denn die ghört ja zu Windows oder?

@ atscho

Du hast unter anderem diesen drauf.
Wenn Du diese Dateien auf Deinem Rechner hast gibt es nur noch das System Neuausetzen. Hilfe dazu findest Du hier

Lese auch mal über Kompromittierung

Ja sehe ich auch so und jetzt werde ich alles FORMATIEREN Laufwerk D: auch NÖTIG? Bislang habe ich auf die 2. Festplatte noch nie zugriffe oder unerwünschte Datein gehabt!

Danke noch mal

Noch eine FRAGE: Mein WIndows Ordner ist FREIGEGEBEN! Ist das RICHTIG? Weil Laufwerk C: wiederrum nicht FREIGEGEBEN ist?!?!? Kenn mich da auch nicht so richtig aus!?!?!

Zitat:

Zitat von atscho

Noch eine FRAGE: Mein WIndows Ordner ist FREIGEGEBEN! Ist das RICHTIG? Weil Laufwerk C: wiederrum nicht FREIGEGEBEN ist?!?!? Kenn mich da auch nicht so richtig aus!?!?!

wenn du das nicht gemacht hast, ist das auch nicht richtig ... wohl eher ein Zeichen für fortgeschrittenes Stadium der Kompromittierung