Hallo,
habe folgenden Lümmel auf meinem Rechner entdeckt:
sve32win.exe.exe
Hatte sich im Systemordner versteckt.
NAV hat ihn als
Backdoor.SubSeven
isoliert.
Wer kann mir mehr Info's geben; ist die Sache damit erledigt oder steckt noch etwas in der Registrierung; startet irgendetwas unbemerkt mit???
Schon jetzt vielen Dank
Krukulus

Komisch, die Datei ist bei Google nicht bekannt. Infos zu SubSeven findest du z.B. hier, aber ehrlich gesagt glaube ich nicht dass es ein SubSeven ist. Mache lieber mal einen Scan mit KAV und poste mal den Report von Trojancheck, um zu schauen was noch in der Registry klebt.

ciao

Eben dass macht mich ja auch stutzig; dass Google dies Ding nicht kennt.
Aber wenn zwei Mal .exe hinter dem Dateinam steht, kann es ja bald nichts Gutes sein...

Du kannst die einzelne Datei auch Online mit KAV scannen (so sie kleiner 1 MB ist), das geht wahrscheinlich erheblich schneller als eine komplette KAV-Trial-Installation

http://www.kaspersky.com/remoteviruschk.html

Das heißt nichts, wenn Google die Datei nicht kennt. Die Script Kiddies können die Dateien ja nennen wie sie wollen.

Das mit KAV Online Scan funktioniert aber nur wenn die Datei unter 1 MB ist. Wenn sie grösser sein sollte, dann sende sie an virus@rokop-security.de (gepackt mit einer kleine Info).

Björn [img]graemlins/teufel3.gif[/img]

Nun gut, würde euren Tipps gerne folgen, nur... wie kriege ich das Ding aus der Isolation von NAV heraus, ohne dass ich mir selber wieder ein Kukuksei ins Nest lege ???

Kruki.

Schau mal in den Quarantäneordner von NAV (also in das Verzeichnis). Da solltest du dann eine Datei finden, die irgendwelche komischen Nummern und Buchstaben hat. Genau das ist dann die infizierte Datei, nur, dass halt ihr Name und ihre Endung umbenannt wurde, sodass sie keinen Schaden mehr anrichtien kann.

ciao

Danke für den Tipp; habe die Datei (heißt bei NAV in der Quarantäne 75C6710C.exeund hat 380 kb) bei KAV online checken lassen.

Folgendes Ergebnis:

Current object: 75C6710C.exe
75C6710C.exe Packed: Crypt.Quarantine
75C6710C.exe Packed: UPX
75C6710C.exe Infected: Backdoor.SubSeven.21.c

Wenn jemand einem Dummie wie mir übersetzen könnte...wäre schon klasse !! Dann ein paar Hintergrundinfos, was dieses Mistding bei mir schon angerichtet haben könnte...wäre Sahne !!

So ganz nebenbei: Habe diese geänderte Datei mit NAV scannen lassen; keine Infektion festgestellt. Bei KAV dies Ergebnis. Ist das normal ??

Gruß

Kruki.

Die ersten beiden Einträge bedeuten, dass die Schädliche Datei gepackt wurde (höchtwahrscheinlich von NAV, um das Teil unschädlich zu machen).
Die letzte Meldung ist die Bezeichnng des eigentlichen Trojaners, SubSeven 2.1.

ciao

</font><blockquote>Zitat:</font><hr />Original erstellt von krukulus:
So ganz nebenbei: Habe diese geänderte Datei mit NAV scannen lassen; keine Infektion festgestellt. Bei KAV dies Ergebnis. Ist das normal</font>[/QUOTE]Ja, leider ist es das, und wieder mal ein Beweis dafür, dass NAV nicht unbedingt empfehlenswert ist. NAV kann die Datei einfach nicht entschlüsseln, weshalb auch nichts gefunden wird, KAV hingegen kann das schon.

Schon echt lustig, dass NAV seine eigenes verwendeten Packer und Crypter nicht öffnen kann.

ciao

Nochmal ich;

habe den Report von Trojancheck als html-Datei und jetzt bitte nicht lachen: wie poste ich ihn ???

Du gehst in den Report, markierst alles wichtige (also ab Registry-Standardeinträge), drückst Strg+C, gehst hier ins Forum und drückst dann an der gewünschten Stelle Strg+V, um den Report einzufügen.

ciao

So, hier habe ich die Reporteinträge (sofern Ihnahlte vorhanden):

Registry - Standardeinträge
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run NVIEW rundll32.exe nview.dll,nViewLoadHook
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run FinePrint Dispatcher v4 C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NAV Agent C:\PROGRA~1\NORTON~1\navapw32.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run 0190 Warner C:\PROGRA~1\0190WA~1\WARN0190.EXE
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run pdfFactory Dispatcher v1 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run nwiz nwiz.exe /install

Registry - Shell Spawning
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINDOWS\System32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*

Registry - Active Setup
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath C:\WINDOWS\inf\unregmp2.exe /ShowWMP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{26923b43-4d38-484f-9b9e-de460746276c} StubPath %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{881dd1c5-3dcf-431b-b061-f3f88e8be88a} StubPath %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED} StubPath %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be} StubPath rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\msmsgs.inf,BLC.Install.PerUser
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340} StubPath regsvr32.exe /s /n /i:U shell32.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath %SystemRoot%\system32\ie4uinit.exe
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820} StubPath C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install

Autostart - Standardeinträge
Pfad Dateiname Link zu
C:\Dokumente und Einstellungen\Krukulus\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\Krukulus\Startmenü\Programme\Autostart\ Wallpaper Aktualisieren.lnk C:\Programme\Desk-Timer\Desk-Timer.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ GoBack.lnk C:\Programme\Roxio\GoBack\GBTray.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ ZoneAlarm.lnk C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe

INI Dateien
Dateiname Wert Inhalt
C:\WINDOWS\win.ini load
C:\WINDOWS\system.ini shell Explorer.exe

Batch und Text Dateien
Dateiname Inhalt
c:\msdos.sys Kein Inhalt
c:\autoexec.bat Kein Inhalt
c:\config.sys Kein Inhalt

Wenn da einer durchblickt: meine Bewunderung !!
Wenn ich dann von einem PC-Guru eine Diagnose bekommen würde: meinen besten Dank !!

Kruki.

Also ich kann da keine Malware erkennen, sieht meiner Meinung nach Ok aus. Aber mal schauen was die anderen sagen....

Björn

/edit: rechtschreibung....

[ 23. Juli 2003, 12:15: Beitrag editiert von: Lucky ]

sieht alles gut aus, würd ich sagen [img]smile.gif[/img]