Habe heute meine erste Negativ-Erfahrun mit SAV Coop 9 gemacht: Der hat doch tatsächlich nen Trojaner durchgehen lassen. Woher ich weiß, daß es ein Trojaner war? Na ja, ca. 3 Minuten nach dem Ausführen der Datei fing mein Rechner an, SPAM-Mails zu versenden, welche der SAV auch noch brav nach Viren gescannt hat und die meisten nicht zustellen konnte. Dafür hat er dann aber brav jeden mal ein Popup gebracht, so ca. 1 bis 5 pro Sekunde.
Die EXE-Datei konnte ich isolieren, aber weder SAV, noch AVG Free noch F-Prot konnten etwas feststellen. Also entweder habe ich etwas super-neues oder einen Exoten. Juhu

Hijackthis meint übrigens folgendes:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:50:20, on 22.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\System\SYMANT~1\VPTray.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\System\Symantec AntiVirus\DefWatch.exe
C:\Programme\System\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\System\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet\etope\etope.exe
C:\Programme\Internet\eMule\eMule.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Internet\Mozilla\Firefox\firefox.exe
C:\Programme\a-squared Anti-Malware\a2scan.exe
C:\Programme\a-squared Anti-Malware\a2wizard.exe
C:\Programme\Internet\The Bat!\thebat.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Download\stng260.exe
C:\PROGRA~1\PACKER\WINZIP\winzip32.exe
C:\PROGRA~1\PACKER\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Grafik\Adobe\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Büro\Mindmanager\Mm6InternetExplorer.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\System\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Grafik\Adobe\Acrobat Reader\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: BOINC Manager.lnk = C:\Programme\Sonstiges\BOINC\boincmgr.exe
O4 - Startup: Miranda IM.lnk = C:\Programme\Internet\Miranda IM\miranda32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\System\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\System\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{07D672CD-48EF-47A9-A3E8-1925143F0D23}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{600F9511-21C2-4B06-963E-EEFC35075BD2}: NameServer = 192.168.2.1,192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EF5893-66ED-4E9C-AF31-50F7ED567F6A}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9545C997-F74D-4FDE-8E0E-350F7464795D}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A17114BC-F550-40EE-AD73-08BB80EEC6A6}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD7654A8-6C24-4F6B-95F0-43FF22ED49D6}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAD25AD6-EAB3-49E9-A73B-6A79B579A09F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{07D672CD-48EF-47A9-A3E8-1925143F0D23}: NameServer = 192.168.0.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Programme\Sonstiges\BOINC\boinc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\System\Symantec AntiVirus\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\System\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\System\SiSoftware Sandra Lite\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\System\SiSoftware Sandra Lite\RpcSandraSrv.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\System\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Netzwerk\Sygate\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\System\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\System\T-DSL SpeedManager\tsmsvc.exe

Also ich sehe nichts außergewöhnliches darin.

Was bereits getan wurde:

- Komplettscan mit SAV 9 (aktuelles Pattern) -> Kein Ergebnis
- Stinger: Nach 2,5h abgebrochen
- F-Prot (aktuelles Pattern) von Boot-CD -> Kein Ergebnis
- Datei isoliert und auf Laptop mit AVG Free gescannt -> Kein Ergebnis
- Datei an Kaspersky, AVG und Sophos eingesendet

Was noch aussteht:

- Scan mit asquared (läuft gerade)
- Scan mit McAfee (Boot CD)
- Scan mit Knoppicillin (Boot CD)

Danke schonmal im Voraus für alle, die etwas zum Thema beitragen können!

@mkammerer

Dein Problem, abgesehen vom unaufhaltsamen Spamen, ist wohl dieses hier:

Zitat:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

..das sieht nach einem alt bekannten Wurm aus..aber überprüfe sie trotzdem nochmal hier, Virustotal, und poste anschliessend das Ergebnis...

Gruß
Daniel

Kaspersky hat sich gemeldet und diesen Schädling als Trojan-Downloader.Win32.Obfuscated.aa. idendifiziert.

http://www.viruslist.com/en/viruses/encyclopedia?virusid=127314

Virustotal meint:

Zitat:

Antivirus Version Update Result
AntiVir 6.35.0.24 07.22.2006 no virus found
Authentium 4.93.8 07.21.2006 no virus found
Avast 4.7.844.0 07.21.2006 no virus found
AVG 386 07.21.2006 no virus found
BitDefender 7.2 07.22.2006 no virus found
CAT-QuickHeal 8.00 07.22.2006 no virus found
ClamAV devel-20060426 07.21.2006 no virus found
DrWeb 4.33 07.22.2006 no virus found
eTrust-InoculateIT 23.72.75 07.21.2006 no virus found
eTrust-Vet 12.6.2305 07.21.2006 no virus found
Ewido 4.0 07.22.2006 no virus found
Fortinet 2.77.0.0 07.22.2006 suspicious
F-Prot 3.16f 07.21.2006 no virus found
F-Prot4 4.2.1.29 07.21.2006 no virus found
Ikarus 0.2.65.0 07.21.2006 no virus found
Kaspersky 4.0.2.24 07.23.2006 Trojan-Downloader.Win32.Obfuscated.aa
McAfee 4812 07.21.2006 no virus found
Microsoft 1.1508 07.23.2006 no virus found
NOD32v2 1.1674 07.22.2006 no virus found
Norman 5.90.23 07.21.2006 no virus found
Panda 9.0.0.4 07.22.2006 Suspicious file
Sophos 4.07.0 07.23.2006 no virus found
Symantec 8.0 07.23.2006 no virus found
TheHacker 5.9.8.179 07.21.2006 no virus found
UNA 1.83 07.21.2006 no virus found
VBA32 3.11.0 07.22.2006 no virus found
VirusBuster 4.3.7:9 07.22.2006 no virus found

Ich hab tatsächlich nen Exoten, cool
Seine Verwanten sind seit ca. einer Woche bei Sophos bekannt....

So, jetzt aber schnell die Knoppicillin-CD rein, da ist Kaspersky drauf, und dann weg mit dem Dreck.

welche Datei hast du denn gescannt? Die, welche ich dir vorgschlagen habe?

Gruß
Daniel

Zitat:

Zitat von [Gc]Sunny

welche Datei hast du denn gescannt? Die, welche ich dir vorgschlagen habe?

Gruß
Daniel

Als erstes die SMSS.exe, aber die war 100% sauber. Dann noch die ursprüngliche exe-Datei die ich in einem Zustand geistiger Umnachtung, wider besseren Wissens und in falschem Glauben an SAV doppelt geklickt hatte - und dabei kam o.g. Scan raus.