Auf einer Downloadseite für Addons zum Spiel World of Warcraft, hab ich eine Datei runtergeladen, welche angeblich ein "win32:agent-kci" sein soll, nen spyware oder keylogger oder sowas zum auspioniern der accounts..
leider hab ich den kommentar erst nachher gelesen.

hab dann erstmal antivir drüber laufnlassn, nichts gefunden.
bin dann auf euren thread mit dem einschickn von verdächtiger software gestoßen, diese beiden links habn auch nichts entdeckt.
hab das als rar dann mal weitergeschickt....

nun meine frage was ist bzw was soll eigntlich so ein "win32:agent-KCI" sein, hab darüber nirgends etwas gefunden, nur etliche ähnliche namen.

irgendwelche tips wie ich sichergehn kann, dass dieses programm ungefährlich war, oder wie ich das loswerde...wie gesagt die programme finden nichts im bezug darauf

hab auch mal sicherheitshalber spybot S&D laufn lassn. hat zwar viel gefunden aber nichts in der richtung.

(falls sich von euch jemand diese Datei ansehen möchte kann ich sie ja per email schickn)
Vllt überreagiere ich da ein bisschen, aber der verdacht liegt ziemlich nahe leider..[hoffe auch das ich hier im richtigen forums abteil bin...es ist schon etwas spät]

Falls erwünscht Hijackfile:
Logfile of HijackThis v1.99.1
Scan saved at 01:41:09, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\csrss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
G:\WINDOWS\Explorer.EXE
G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Java\jre1.6.0_02\bin\jusched.exe
G:\WINDOWS\system32\RunDll32.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\WINDOWS\system32\rundll32.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\DAEMON Tools\daemon.exe
G:\WINDOWS\system\CmSNXeye.exe
G:\Programme\Logitech\SetPoint\SetPoint.exe
G:\Programme\AntiVir PersonalEdition Classic\sched.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\System32\alg.exe
C:\Program Files\Trillian\trillian.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\PROGRA~1\MOZILL~1\FIREFOX.EXE
G:\PROGRA~1\MOZILL~1\FIREFOX.EXE
g:\programme\antivir personaledition classic\avscan.exe
G:\WINDOWS\system32\msiexec.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme\Spybot - Search & Destroy\SpybotSD.exe
G:\Dokumente und Einstellungen\*\Desktop\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.flashget.com/index_en.htm
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "G:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech SetPoint.lnk = G:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - G:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - G:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

Hi,

dein Log ist unauffällig. Allerdings sieht es so aus, dass gerade bei WoW-Addons oft Backdoorserver verbreitet werden, die von Virenscannern nur sehr schwer erkannt werden (sind entsprechend verschlüsselt) und deren Einträge in einem HijackThis nicht zu sehen sind.

Zwei Tests:

Schließe alle Programme. Nun schau mal im Taskmanager unter Prozesse nach, ob es dennoch einen laufenden Browser gibt, Internet Explorer oder Firefox.

Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten. Füge vorher diese Zeile ein:

Zitat:

[CODE]

und dahinter diese:

Zitat:

[/CODE]

In deiner PN-Box findest Du gleich meine Email, schick mir die Datei doch bitte mal.

Gruß, Karl

hat sich was neues ergebn nach neustart des pcs...
kaspersky spammt mich mit blocken des öffnens von ie zu...sowie firefox

nach paar problemen irgendwas machnzu können bevor mich der scanner auslastet...

nochmal spybot s&d ..jetzt kann ich wenigstsn nochmal hier lesn^^


zu dem silent hunter: "der zugriff auf windows script host wurde auf diesem comupter deaktiviert"..

wow, kaspersky ist schnell.

Hello.

Backdoor.Win32.PoisonIvy.ah

Detection for this malware has been added to the next antiviral bases update.

..
nur noch wartn bis update verfügbar und scan durchgelaufn..hoffe es erledigt sich damit.
datei dort eingeschickt.
einzige reaktion bisher.


jetzt muss ichs halt nur aufm pc finden und dann loswerdn^^

das interessante ist aber..das er die datei immernoch nciht als trojaner identifiziert.wenn ich ihn gezielt drauf ansetze mit neuer datenbank(5:52uhr)/(6:25)...vllt doch noch nicht drin^^

hab dann hier gleichnochmal ne frage zu dem
spybot search & destroy. der findet ja reichlich sachen bei firefox/ie etc,
nur wenn man sagt bereinigen. findet er das gleiche beim nächsten mal wieder...??


€: hmm man sollte vllt auch warten bis er fertig immunisiert hat..hat offenbar einige minuten gedauert bis man was sieht

c:\windows\system32\first.exe

Typischer Backdoorserver, verbindet sich zu xrl.no-ip.info, gelegen in Norwegen, vermutlich Stavanger. Keylogger. Die Empfehlung bei Infektion mit einem Backdoorserver lautet, das System neu zu installieren, denn es bleibt unklar, was der neue Administrator in Norwegen alles an dem System verbogen hat. Ich hab zwar die Kommunikation belauscht, aber dummerweise ist die verschlüsselt gewesen.

also auf jedenfall hat er firefox was rumgestellt.
da kaspersky stark meckert beim starten.


inwieweit sind die anderen partitionen belastet?
dh reicht es die windows partition zu killn?

aktive xp installation auf G
inaktive vista insta auf C

sollte nur dann in G zu finden sein nehm ich an?

aber nehm wohl an alle software muss auch mitweg...

gefunden hat der virenscaner die datei nun auch..um 11uhr war update mit dem virus dann erhältlich..

hmm hat der nun die datei desinfiziert oder nicht...eine first datei is immernoch drin.


neue administrator is cool gesagt....starten von nem antivir prog" sie habn nicht genug rechte.."

Das Teil zeckt sich erstmal in die laufende explorer.exe ein und startet dann einen versteckten Browser. Den wohl, um seine Kommunikation mit dem Internet zu erledigen, die Firewall dürfte akzeptieren, dass der Browser auf das Internet zugreift.

Zu plätten reicht die Partition des befallenen Systems aus, bei dir also G:. Die auf diesem System installierte Software muss auch neu installiert werden, da die meiste Software ansonsten nicht funktioniert (fehlende Verknüpfungen, Registryeinträge, usw. in Windows).

Der Pfad oben war der von meinem Testsystem, daher C:, in der Datei "first" (ohne Endung) werden die abgefangenen Tastatureingaben zwischengespeichert um sie später nach draußen zu versenden. Damit Du auch überwacht werden kannst, während dein Rechner nicht online ist. Den Starteintrag kannst Du außer mit Silentrunners auch mit AutoRuns entdecken. Hijackthis zeigt ihn nicht, das ist typisch für diese Klasse von Backdoorservern.

Mit "neuer Administrator" neine ich den Menschen, der über die Backdoor das System fernsteuert. Ob das Teil auch an den Benutzerrechten auf dem System rumdreht, da habe ich nicht drauf geachtet. Es gibt aber Malware, die den lokalen Benutzern die Administratorrechte entzieht, damit es nur noch einen gibt.