Hallo hallo

Ich hab mal wieder ein paar merkwürdigkeiten auf meinem rechner.
Vorgeschichte:
Ich hab mir die c't 03 spezial gekauft -wegen Knoppicillin,u.a.
Testweise wollte ich nen paar der tools laufen lassen.
Jetzt habe ich aufm rechner Bitdefender und Nod32 installiert.
Die freeversion von Antivir PE läuft auch noch.:P
Um sicher zu gehen, dass da nix ist dass da bereits im Bg werkelt habe ich mir auch gleich den ROOTKIT Unhooker installiert(auch von cd).
Der hatte mir neben ein paar SSDT-hooks(alle von Bitdefender) auch noch nen paar inlineHooks(zur Lib sockspy.dll) und 1-2 inlinecalls angezeigt .
Da ich da nicht online war und keine Ahnung hatte, wem sockspy.dll gehört, habe ich die im abgesicherten Modus verschoben und umbenannt.
Nu weiss ich, dass es eine Lib von Bitdefender ist und hab alles rückgängig gemacht.

Allerdings lässt sich kein Modul von BD mehr aktivieren .
Aktiviert habe ich die 1jahres version bereits - bestätigt mir auch BD.
Aber wenn ich ein Häckchen setzen will für "AAAKTIVIERENNNN" verschwindet es gleich wieder.
Und so ein Verhalten kenne ich bereits vom Norten Antivirus, den mal ein ganz beeser Highjacker erledigt hat.


Da ich noch nicht soviel ahnung hab von den Logfiles von HJT poste ich die mal lieber.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:13, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\Programme\Softwin\BitDefender9\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdswitch.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\bdmcon.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\****************\Download\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161783625650
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFE11CA-3ADC-4D17-ADEB-6012873A331C}: NameServer = 10.10.0.1,192.168.123.1
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 5358 bytes

ich hoffe auf schnelle Hilfe


PS:
Eben wollte sich beim Commit ein php-script auf meinen Rechner ausführen lassen.
Habs zwar nicht gelassen aber trotzdem komisch ???

Ich, nicht Du

Drei Virenprogramme != dreifache Sicherheit.
Dies zum einen. Es kann u.a. vorkommen das sich die Programme so behindern, dass Dein System einfriert. IIRC haben alle drei einen Guard, was die Sache nur problematischer macht.
Mein Rat: Deinstalliere zwei Deiner AV Programme, dann verschwinden bestimmt auch viele komische Meldungen.
Zum anderen sollte man die Finger von Tools / Dateien lassen, wenn man nicht weiß was damit los ist.
Mit einenigen Tools kannst Du ganz schnell Dein System abschießen, dass will ja niemand.
Btw. das HJt Log ist sauber, das commit kommt vom TB-Forum und php Code wird immer nur serverseitig ausgeführt, das macht ihn ja so toll.^^

Bata

Ja
Vielen Dank erst mal

Jetz weiss ich dass sich Nod32 und antivir aber keiner der beiden BD mag. :P

Hab nach einer 8h-Intensivsuche per Knoppicillin auch nix verdächtiges(abgesehen von *) gefunden und antivir und nod erst mal auf eis gelegt.
Und voila
BD rennt und rennt und rennt ....

Was die Merkwürdigkeiten angeht:
Ich weiss, dass php aufm Server ausgeführt(hab nen paar kleine sachen bereits gemacht) wird aber wieso bekomme ich ein "Möchten sie ausführen"-Dialogfenster angezeigt?????
Sollte so nicht sein -vllt nen bug in der Foren-SW?

* ist das neueste HJT
damit hab ich das logfile gemacht
???? Wieso sagt sophos :virus found(Mal/Behav-067) dazu ????
Sophos.de sagt mir nix darüber

Zitat:

Zitat von ICH,nicht DU

* ist das neueste HJT
damit hab ich das logfile gemacht
???? Wieso sagt sophos :virus found(Mal/Behav-067) dazu ????
Sophos.de sagt mir nix darüber

Das versteh ich nicht. Wo wird hier ein Virus gefunden?

Bata

In dem HJT das ich für das log-file benutzt habe.
war frisch heruntergeladen bei wintotal.

Leider hab ich das Sophos-log vom Knoppicillin-durchlauf grad nicht aufm rechner(habs auf Diskette).
ich poste es demnächst nach.

Die Ausgabe war etwa so(nach gedächtnis):

<< virus: c:\dok.......\Downloads\HJT\hijackthis.exe (Mal/Behav-067) >>
<< virus: c:\dok.......\Downloads\HJT\hijackthis.zip (Mal/Behav-067) >>

und das war das frisch gezogene HJT

Google-gerüchten zufolge soll es etwas mit dem UPX-packer zu tun haben.
Aber mehr sagt google und Sophos nicht darüber.

Hi,
dazu gabs mal nen Thread.

Ist in diesem Fall unbedenklich. rost: (wenn du die Datei bei trendmicro oder nem vertrauenswürdigem mirror gezogen hast)

lg myrtille

thx für die aufklärung