Hallo,

merkwürdigerweise habe ich heute beim Durchforsten meines Windows Ordners folgende Ordner gefunden:

C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\zts2.exe

Einen Virus oder anderen Schadcode habe ich auf meinem vor kurzem neu installierten Notebook noch keinen gehabt, wenn ich den unten genannten Scannern glauben darf. Ich hänge mit meinem Notebook an einem größeren Netzwerk, habe Kennwörter für alle Benutzerkonten vergeben und lasse keine Verbindungen über die Windows Interne Firewall zu meiner IP Adresse durch.

Vorab möchte ich kurz erwähnen, was ich schon durchgeführt habe:

1. Mit eScan und aktueller Signatur nach Anleitung, die hier auf dem Board erstellt werden ist, meinen Rechner auf Schadcode durchsucht.

2. Mein Notebook mit AVG Anti-Spyware gescannt.

3. RootkitRevealer und F-Secure BlackLight Beta Scan durchgeführt.

4. Spybot - Search & Destroy ausgeführt.

5. AntiVir Full System Scan durchlaufen lassen.

6. TCPView nach offenen Verbindungen gesucht.

Windows ist mit dem Servicepack 2 sowie dem Automatischen Update auf dem aktuellen Stand.


Durch google.de bin ich auf Informationen gestoßen, die besagen, dies wären alles Dateien von einem Virus, der sich selbstständig über Netzwerk verbreitet. Da die oben gescannten Dateien aber keine Dateien, sondern nur Ordner sind, ist dies für mich sehr fragwürdig, da diese auch leer sind.

Vielleicht habt ihr noch ein paar Vorschläge, die ich zur weiteren Analyse durchführen könnte.

Mit freundlichen Grüßen
David

Hallo,
das sind offenbar Überreste deines eScans. Offenbar legt eScan neuerdings diese Ordner an; im Zusammenhang mit der überarbeiteten eScan-Anleitung wurde am Board vor ein paar Tagen erst darüber geschrieben.
[edit] Hab sogar den Link wiedergefunden. [/edit]

Hallo

Vielen Dank für die schnelle Antwort.
Sehr merkwürdiges Verhalten Aber nut gut, kann nicht geändert werden.

Nette Grüße
David

Hallo und erst mal viele Grüße an alle.

Nun dieser post beruhigt mich einwenig. Ich habe die selben Feststellung wie
ezak gemacht, und ein wenig Panik erlebt .
sowie System nach dem immer wieder einscheinenden Ordnern neu aufgesetzt, mit Sophos,F-Prot usw. gescannt..nichts da..
Mit der 30 Tageversion von eScan gescannt,ohne Ergebnis, nur dann waren auch wieder "diese" Ordner im Window verzeichnis und dazu in Window/System32 ein vcmgcd32.dll und iifgfgf.dll Ordner.

Es ist schon seltsam, weil ich einige Tage eben von eScan-Tool die Meldung erhalten habe "possible.. Fujack..." (im Bord wurde schon darüber berichtet, warscheinlich ein Fehler von escan http://www.trojaner-board.de/37141-p...type-worm.html )

Nun ich werde diese Sache auch weiter verfolgen.
zur Vollständigkeit noch die Logs von Hijack.
Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo,
ich habe mal ne Mail an den Support von Microworld geschickt,hier die Antwort
zum Problem "leere = Ordner"


Hallo Tolotos

das die angegebenen Order erstellt werden ist kein Fehler.
Im Gegenteil.
Es handelt sich dabei um eine Immunisierung gegen die
aktuell gefährlichsten Viren und Würmer.

Beispiel:
Ist der Ordner logo1_.exe vorhanden, kann keine Datei mit
dem Namen logo1_.exe erstellt werden.
Somit wird eine Infektion des Systems verhindert.

Ich hoffe ihre Frage beantwortet zu haben.


Mit freundlichen Grüßen / best regards

MicroWorld Technologies GmbH

Leopoldstr. 244

D - 80807 München

Tel.: +49 (89) 20 80 39 - 223

Fax.: +49 (89) 20 80 39 - 226

Web.: www.microworld.de





Tolotos schrieb:
> Hallo,
> ich habe ein Problem mit dem Scan AntiVirus Toolkit Utility Version 9.1.9
> Nach oder während dem Scannen werden im Windowordner folgende leere Ordner erzeugt:
> logo1_.exe
> rundl132.dll
> rundll16.exe
> zts2.exe
>
> Im Ordner Window/System32 :
> iifgfgf.dll
> vcmgcd32.dll
>
> Das selbe geschieht auch bei der 30 Tage Testversion von e`Scan.
>
> Mein System:
> Windows Workstation
> Windows XP
> Service Pack 2 (Build 2600)
> Ist das normal oder ein Fehler des Programmes.Zumindestens eine beunruhigente Tatsache,da diese "Ordner" dem Namen nach auch "Schädlingen und deren Zubehör"zuzuordenen ist.
> Dieses Problem tritt auch bei anderen PC´s auf.
> Eine Information zu diesem Problem wäre sehr hilfreich.
>
> Mfg
> Tolotos

@ GUA
np , werde in Zukunft darauf achten..

Gruß Tolotos

Naja, also ich finde sowas Panikmache. Man hat das Gefühl die User werden für d**** verkauft.

Der Trick funktioniert zwar, in einem Ordner können nicht gleichzeitig eine Datei und ein Ordner mit dem gleichen Namen sein. Nach welchen Kriterien die ausgerechnet diese paar Dateien ausgewählt haben, bleibt aber schleierhaft. Sind zwar gefährlich, aber wesentlich gefährlicher sind diverse Rootkits, deren Spuren man nicht oder nur sehr schwer bemerken kann. Die ausgewählten Dateien verstecken sich nicht und sind kaum zu übersehen (jedenfalls wenn man minimal auf den Zustand seines Computers achtet).

Allerdings wenn die diese Immunisierung zum Prinzip machen, dann wird der Escan hoffentlich auch mit einer 1000 GByte Platte ausgeliefert um die vielen Ordner aufzunehmen. Bei Malware, die ihre Namen zufällig auswürfelt, dürften alle Festplatten auf der Erde nicht ausreichen.

Im Prinzip muss man jetzt auch noch an die Anleitung zum Escan dranhängen, diese Ordner wieder löschen zu lassen. Ansonsten fallen die beim nächsten Problem auf und es werden falsche Schlüsse gezogen.

Außerdem weiß da der eine Programmierer mal wieder nicht, was der andere macht:

Code: Alles auswählenAufklappen

ATTFilter

Sun May 06 22:58:45 2007 => Scanning Folder: C:\WINNT\logo1_.exe\*.*
Sun May 06 22:59:27 2007 => Scanning Folder: C:\WINNT\rundl132.dll\*.*
Sun May 06 22:59:27 2007 => Scanning Folder: C:\WINNT\rundll16.exe\*.*
Sun May 06 23:14:38 2007 => Scanning Folder: C:\WINNT\system32\iifgfgf.dll\*.*
Sun May 06 23:17:26 2007 => Scanning Folder: C:\WINNT\system32\vcmgcd32.dll\*.*
Sun May 06 23:19:12 2007 => Scanning Folder: C:\WINNT\zts2.exe\*.*