Hallo zusammen, hier nochmal ein eigener Thread für mein Problem mit dem Obfustat.ABH-Virus (sehr ähnlich zu diesem Thread hier):

Mein AVG-Virenscanner fand heute den Virus "Obfustat.ABH "in einer (eigentlich vertrauenswürdigen) EXE-Datei, die sich aber im Nachhinein als verseucht herausstellte (das Inide-Spiel "Sumotori-Dreams" in der Version 1.00). Zu dem Zeitpunkt als ich die Datei herunterlud (vor ca. 1-2 Monaten), meldete AVG jedenfalls keine Probleme, also führte ich die EXE aus, und dachte mir nichts weiter dabei. Bei einem intensivem Systemscan heute kam allerdings heraus, dass die Datei verseucht war, eben mit Obfustat.ABH.

Wie gefährlich ist nun das Ding, und wie werde ich etwaige Änderungen wieder los?

Mein Versuch die verseuchte (?) Datei bei Jotti und Virustotal hochzuladen, schlugen fehl, weil aus irgendeinem Grund nur 0 Kb übertragen wurden. Ich befürchte, dass das auf dem Virus zurückgeht, zumal der Windows Explorer abstürzt, sobald man einen Rechtsklick auf die verseuchte Datei versucht.

Mein hijack-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:02, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\SaiMon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\SeaMonkey\seamonkey.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll [Kommentar: Ein Seamonkey-AddIn, dürfte sauber sein]
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SAIMON] C:\WINDOWS\system32\SaiMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://download.windowsupdate.com
O15 - Trusted Zone: h**p://*.windowsupdate.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119819863062
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2) -
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A2CDD3A-CD07-4BB4-8C30-814CB0FEDFBA}: NameServer = 136.199.8.101,136.199.8.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{1615417E-E7F3-4F12-938E-FA3534225CFF}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

--
End of file - 7809 bytes

Hallo,

Zitat:

Mein AVG-Virenscanner fand heute den Virus "Obfustat.ABH "in einer (eigentlich vertrauenswürdigen) EXE-Datei, die sich aber im Nachhinein als verseucht herausstellte

da muss nicht zwangsläufig ein Schädling drinstecken. Es kann sich auch um einen Fehlalarm handeln. Für aussagekräftigere Ergebnisse gibt es z.B. virustotal.com - da kannst du Dateien von mehreren Virenscannern auswerten lassen. Werte die eigentlich vertrauenswürdige Exe-Datei dort doch mal aus und poste die Ergebnisse.

Im Logfile fiel mir nur dieser Eintrag auf:

Zitat:

C:\WINDOWS\system32\SaiMon.exe

Hast du ein Saitek Gamepad oder Joystick?

Zitat:

Zitat von cosinus

Hallo,



da muss nicht zwangsläufig ein Schädling drinstecken. Es kann sich auch um einen Fehlalarm handeln. Für aussagekräftigere Ergebnisse gibt es z.B. virustotal.com - da kannst du Dateien von mehreren Virenscannern auswerten lassen. Werte die eigentlich vertrauenswürdige Exe-Datei dort doch mal aus und poste die Ergebnisse.

Im Logfile fiel mir nur dieser Eintrag auf:

Hast du ein Saitek Gamepad oder Joystick?

Danke für die schnelle Hilfe. Saitek ist in Ordnung, ich hatte tatsächlich mal einen Saitek-Joystick an meinem Rechner. Das dürfte ok sein. Was aber virustotal.com angeht, verweise ich auf meinen vorigen Post:

Zitat:

Zitat von TDO

Meine Versuche die verseuchte (?) Datei bei Jotti und Virustotal hochzuladen, schlugen fehl, weil aus irgendeinem Grund nur 0 Kb übertragen wurden.

Erst dachte ich, es hinge mit meiner Firewall zusammen, aber ich habe es jetzt noch einmal auf einem anderen Rechner versucht, und da klappt der Upload der Datei auch nicht. Zudem treten die gleichen Probleme beim Rechtsklick auf, wie bei meinem zuerst verseuchten Rechner. So ganz sauber scheint mir das zumindest nicht zu sein...

Aber wenn du es genauer nachprüfen möchtest: Bei Chip.de steht die Datei noch zum Download: Hier klicken

Nochmal danke, für die Mühe, die ihr euch hier macht.

Hi,

ich hab die Datei "sumotori.exe" bei Virustotal mal hochgeladen, fünf Virenscanner sprangen an:

Zitat:

Zitat von Virustotal

AVG 7.5.0.476 2007.07.28 Obfustat.ABH
CAT-QuickHeal 9.00 2007.07.28 (Suspicious) - DNAScan
Ikarus T3.1.1.8 2007.07.28 Email-Worm.Win32.Locksky.be
Panda 9.0.0.4 2007.07.28 Suspicious file
Webwasher-Gateway 6.0.1 2007.07.28 Win32.Malware.gen (suspicious)

weitere Informationen
File size: 88064 bytes
MD5: ab8f3b79bf9285ddf94973492c882e18
SHA1: 468f74b01ff7421bc9be45d6c1c11ee08eec6847

Sieht eher nach einem Fehlalarm aus...

Da bin ja erleichtert, dass es ein Fehlalarm ist - das wäre seit 10 Jahren mein erster Virus gewesen, und die Zeit den PC neuzumachen, hätte ich im Moment auch nicht gehabt.

Auf jeden Fall ein dickes Dankeschön für die Hilfe.