SocksA.exe und FileKan.exe!

Jamirohead · 23.09.2007, 13:46

Hallo,

in meinem Ordner system32 in Windows habe ich 2 dateien, die trojaner sind.
Nach malware scan als: Trojan.Win32.VB.atg, TR/VB.atg.2 oder Trojan.Vb.Atg identifiziert.

Wenn ich die 2 Dateien einfach lösche erscheinen die nach einem Neustart wieder.
Da sie auch im system32 ordner sind wollte ich fragen, wie man das professionell angeht.

mfg

KarlKarl · 23.09.2007, 14:42

Hi,

ein TB-erfahrener User weiß bestimmt, dass als erstes die Frage nach dem HijackThis kommt

Gruß, Karl

Jamirohead · 23.09.2007, 15:00

Logfile of HijackThis v1.99.1
Scan saved at 15:58:18, on 23.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Winamp\Winamp.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\p@ghm@ni\Eigene Dateien\Meine Programme\S E C U R I T Y\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {E810EF9B-F363-451B-A219-EC6EC00719CC} - C:\WINDOWS\System32\awtss.dll (file missing)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BSserver] FileKan.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: NVIDIA nView-Desktop-Manager.lnk = C:\WINDOWS\system32\nvtuicpl.cpl
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157190506218
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)

KarlKarl · 23.09.2007, 15:53

Da hast Du ja voll zugelangt:

Code:

ATTFilter

O2 - BHO: (no name) - {E810EF9B-F363-451B-A219-EC6EC00719CC} - C:\WINDOWS\System32\awtss.dll (file missing)
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKCU\..\Run: [BSserver] FileKan.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.

Mach das mit folgender/n Datei/en auf einer dieser beiden Seiten, bevorzugt bei VirusTotal:

C:\WINDOWS\System32\awtss.dll
C:\WINDOWS\System32\SocksA.exe
C:\WINDOWS\System32\FileKan.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\wdfmgr.exe

Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden). Solltest Du Dateien nicht finden oder hochladen können, dann teile uns das ebenfalls mit.

Beim Googeln habe ich ein Log von dem System gefunden, fast ein Jahr alt. Schon damals war es schwer verseucht ohne dass was passierte. Ist wohl die beste Idee, es einfach mal wieder neu zu machen, noch dazu einige dieser Einträge einen Backdoorverdacht bedeuten.

Jamirohead · 24.09.2007, 12:08

Hallo,

danke erstmal für die Antwort.

Hallo,

Datei SocksA.exe empfangen 2007.09.24 12:58:41 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 31/32 (96.88%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.22.0 2007.09.21 Win-Trojan/VB.49152.C
AntiVir 7.6.0.15 2007.09.24 TR/VB.atg.2
Authentium 4.93.8 2007.09.23 W32/Worm.AOC
Avast 4.7.1043.0 2007.09.24 Win32:Trojan-gen. {VB}
AVG 7.5.0.485 2007.09.23 Generic2.GCE
BitDefender 7.2 2007.09.24 Win32.Worm.VB.BO
CAT-QuickHeal 9.00 2007.09.24 Trojan.VB.atg
ClamAV 0.91.2 2007.09.24 Trojan.VB-283
DrWeb 4.33 2007.09.24 Trojan.Kanfile
eSafe 7.0.15.0 2007.09.23 Win32.Whybo
eTrust-Vet 31.2.5159 2007.09.24 Win32/Cacfu.E
Ewido 4.0 2007.09.20 Trojan.VB.atg
FileAdvisor 1 2007.09.24 High threat detected
Fortinet 3.11.0.0 2007.09.24 W32/VB.ATG!tr
F-Prot 4.3.2.48 2007.09.23 W32/TrojanX.QEW
F-Secure 6.70.13030.0 2007.09.24 Trojan.Win32.VB.atg
Ikarus T3.1.1.12 2007.09.24 Trojan.Win32.VB.atg
Kaspersky 4.0.2.24 2007.09.24 Trojan.Win32.VB.atg
McAfee 5125 2007.09.21 W32/USBAgent
Microsoft 1.2803 2007.09.24 Worm:Win32/Cacfu.B
NOD32v2 2546 2007.09.24 Win32/VB.EL
Norman 5.80.02 2007.09.24 W32/VBTroj.EHJ
Panda 9.0.0.4 2007.09.24 Trj/VB.RZ
Prevx1 V2 2007.09.24 -
Rising 19.42.02.00 2007.09.24 Trojan.VB.vtj
Sophos 4.21.0 2007.09.24 Troj/VB-CWP
Sunbelt 2.2.907.0 2007.09.22 Trojan.Win32.VB.atg
Symantec 10 2007.09.24 W32.SillyFDC
TheHacker 6.2.5.067 2007.09.24 Trojan/VB.atg
VBA32 3.12.2.4 2007.09.23 Trojan.Win32.VB.atg
VirusBuster 4.3.26:9 2007.09.23 Backdoor.VB.ESE
Webwasher-Gateway 6.0.1 2007.09.24 Trojan.VB.atg.2

weitere Informationen
File size: 49152 bytes
MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=d88f7c6c15585404c30c92a11c429c36

Datei FileKan.exe empfangen 2007.09.24 13:01:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 31/32 (96.88%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.22.0 2007.09.21 Win-Trojan/VB.49152.C
AntiVir 7.6.0.15 2007.09.24 TR/VB.atg.2
Authentium 4.93.8 2007.09.23 W32/Worm.AOC
Avast 4.7.1043.0 2007.09.24 Win32:Trojan-gen. {VB}
AVG 7.5.0.485 2007.09.23 Generic2.GCE
BitDefender 7.2 2007.09.24 Win32.Worm.VB.BO
CAT-QuickHeal 9.00 2007.09.24 Trojan.VB.atg
ClamAV 0.91.2 2007.09.24 Trojan.VB-283
DrWeb 4.33 2007.09.24 Trojan.Kanfile
eSafe 7.0.15.0 2007.09.23 Win32.Whybo
eTrust-Vet 31.2.5159 2007.09.24 Win32/Cacfu.E
Ewido 4.0 2007.09.20 Trojan.VB.atg
FileAdvisor 1 2007.09.24 High threat detected
Fortinet 3.11.0.0 2007.09.24 W32/VB.ATG!tr
F-Prot 4.3.2.48 2007.09.23 W32/TrojanX.QEW
F-Secure 6.70.13030.0 2007.09.24 Trojan.Win32.VB.atg
Ikarus T3.1.1.12 2007.09.24 Trojan.Win32.VB.atg
Kaspersky 4.0.2.24 2007.09.24 Trojan.Win32.VB.atg
McAfee 5125 2007.09.21 W32/USBAgent
Microsoft 1.2803 2007.09.24 Worm:Win32/Cacfu.B
NOD32v2 2546 2007.09.24 Win32/VB.EL
Norman 5.80.02 2007.09.24 W32/VBTroj.EHJ
Panda 9.0.0.4 2007.09.24 Trj/VB.RZ
Prevx1 V2 2007.09.24 -
Rising 19.42.02.00 2007.09.24 Trojan.VB.vtj
Sophos 4.21.0 2007.09.24 Troj/VB-CWP
Sunbelt 2.2.907.0 2007.09.22 Trojan.Win32.VB.atg
Symantec 10 2007.09.24 W32.SillyFDC
TheHacker 6.2.5.067 2007.09.24 Trojan/VB.atg
VBA32 3.12.2.4 2007.09.23 Trojan.Win32.VB.atg
VirusBuster 4.3.26:9 2007.09.23 Backdoor.VB.ESE
Webwasher-Gateway 6.0.1 2007.09.24 Trojan.VB.atg.2

weitere Informationen
File size: 49152 bytes
MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=d88f7c6c15585404c30c92a11c429c36

Die anderen 3 Dateien ließen sich auch mit den Einstellungen und mit der Suchfunktion nicht finden.

mfg

KarlKarl · 24.09.2007, 13:26

Hab mich noch ein wenig durch deine gesammelten Threads hier gelesen, und dabei hat sich der Eindruck vesrstärkt, dass das System mal eine Runderneuerung gebrauchen könnte, sprich Systempartition formatieren und neu installieren.

Wenn dir das nicht zusagt (ich kann mir das doch glatt vorstellen), dann lösche die beiden Dateien und auf zum nächsten Problem.

Jamirohead · 24.09.2007, 14:08

Hallo KarlKarl,
ich nehme deinen Tip gerne an, jedoch ist das Problem, dass ich dann die ganzen Programme (Scanner, Drucker, sonstige Progs) neu installieren müsste...meine dateien könnte ich auf D verschieben, aber das mit den ganzen Programmen usw...die beiden Dateien einfach zu löschen geht ja nicht, weil sie nach einem Neustart wieder da sind.

mfg

KarlKarl · 24.09.2007, 17:41

Programme neu installieren gehört auch dazu. Ich habe eine Menge deiner Threads hier gelesen und mir ist aufgefallen, dass es in dem System andauernd Probleme gibt und immer wieder Sachen klemmen. Der letzte O23 Eintrag dürfte eine Backdoor sein oder gewesen sein, im Zeitalter der Rootkits kann man sich da nicht so sicher sein. Wenn die Dateien nach dem löschen wieder auftauchen, heißt das, dass auf deinem System noch was versteckt ist, was sie wieder herstellt. Eine aufwendige Untersuchung bis in die letzten Abgründe von Windows dauert mit Sicherheit länger als die Neuinstallation, ohne dass sie die Sicherheit bietet, dass wirklich alles in Ordnung kommt. Und so ganz nebenbei würde die Neuinstallation dafür sorgen, dass dann wieder alles in Ordnung ist. Ist wirklich eine Empfehlung, schließlich willst Du mit dem Computer ja wohl andere Sachen machen, als die Ursachen von Problemen zu suchen.

Jamirohead · 26.09.2007, 21:02

HI karlkarl, ja du hast mit Sicherheit Recht...nur habe ich mit meinem PC keinerlei Probleme..also, Programme stürzen nicht von allein ab, der Pc selbst stürzt nicht einfach so ab...laut meinen alten Beiträgen könnte der Eindruck erweckt sein, ich habe so ziemlich 0 Ahnung davon, aber so ganz auf den Kopf gefallen bin ich nun auch nicht..ich klicke nicht auf jeden Link..emails, die ich nicht kenne landen sofort in den Papierkorb, keine Ausführung irgendwelcher exe.dateien usw.
Naja, jednefalls läuft der Rechner prima, nur halt die 2 dateien..

mfg

KarlKarl · 26.09.2007, 21:47

Na wenn Du keine Probleme hast, ich habe auch keine. Dann war der ganze Thread ja überflüssig.

Jamirohead · 28.09.2007, 20:47

Wie gesagt ging es mir nur um eine Hilfestellung, diese 2 Dateien los zu werden...ob ich nun mein System neu aufsetzen soll, ist zwar ein gut gemeinter Rat, befriedigt mich persönlich allerdings nicht.
Also wenn jemand weiß, wie das gehen soll, bitte melden.

mfg

23.09.2007, 14:42	#2
KarlKarl /// Helfer-Team	SocksA.exe und FileKan.exe! Hi, ein TB-erfahrener User weiß bestimmt, dass als erstes die Frage nach dem HijackThis kommt Gruß, Karl __________________

24.09.2007, 13:26	#6
KarlKarl /// Helfer-Team	SocksA.exe und FileKan.exe! Hab mich noch ein wenig durch deine gesammelten Threads hier gelesen, und dabei hat sich der Eindruck vesrstärkt, dass das System mal eine Runderneuerung gebrauchen könnte, sprich Systempartition formatieren und neu installieren. Wenn dir das nicht zusagt (ich kann mir das doch glatt vorstellen), dann lösche die beiden Dateien und auf zum nächsten Problem.

26.09.2007, 21:47	#10
KarlKarl /// Helfer-Team	SocksA.exe und FileKan.exe! Na wenn Du keine Probleme hast, ich habe auch keine. Dann war der ganze Thread ja überflüssig.

23.09.2007, 13:46	#1
Jamirohead	SocksA.exe und FileKan.exe! Hallo, in meinem Ordner system32 in Windows habe ich 2 dateien, die trojaner sind. Nach malware scan als: Trojan.Win32.VB.atg, TR/VB.atg.2 oder Trojan.Vb.Atg identifiziert. Wenn ich die 2 Dateien einfach lösche erscheinen die nach einem Neustart wieder. Da sie auch im system32 ordner sind wollte ich fragen, wie man das professionell angeht. mfg

24.09.2007, 14:08	#7
Jamirohead	SocksA.exe und FileKan.exe! Hallo KarlKarl, ich nehme deinen Tip gerne an, jedoch ist das Problem, dass ich dann die ganzen Programme (Scanner, Drucker, sonstige Progs) neu installieren müsste...meine dateien könnte ich auf D verschieben, aber das mit den ganzen Programmen usw...die beiden Dateien einfach zu löschen geht ja nicht, weil sie nach einem Neustart wieder da sind. mfg

28.09.2007, 20:47	#11
Jamirohead	SocksA.exe und FileKan.exe! Wie gesagt ging es mir nur um eine Hilfestellung, diese 2 Dateien los zu werden...ob ich nun mein System neu aufsetzen soll, ist zwar ein gut gemeinter Rat, befriedigt mich persönlich allerdings nicht. Also wenn jemand weiß, wie das gehen soll, bitte melden. mfg

SocksA.exe und FileKan.exe!

Plagegeister aller Art und deren Bekämpfung: SocksA.exe und FileKan.exe!