Hallo Zusammen,

habe heute eine Rechner zur Durchsicht bekommen und hab prompt 4 Trojaner in Dateien gefunden, die laut Aussage ausgeführt wurden, aber soweit ich sehen kann bzw. HiJackThis und AntiVir übreprüft hat, keine Schäden angerichtet haben. Der PC verhält sich ganz normal, die Firewall meldet auch nichts.

Natürlich bin ich mir da nicht sicher, deshalb poste ich das einfach mal:

Folgende Trojaner wurden gefunden:
TR/Horst.aae.6
TR/Proxy.Horst.aae.8
TR/Proxy.Horst.aae.9
TR/Proxy.Horst.aae.14

Bei Virustotal habe ich die 4 Datein auch getestet und hab ein sehr durchwachsenes Ergebnis bekommen (immer so um 40%).
Meistens haben folgende Hersteller etwas gefunden:

AntiVir
AVG
CAT-QuickHeal
eSafe
FileAdvisor
F-Secure
Norman
Panda
Prevx1
Rising
Sophos
VBA32
Webwasher-Gateway

Das Log sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 12:51:57, on 06.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\mmc.exe
C:\Dokumente und Einstellungen\xxx\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECDC4290-5478-412F-92E7-BE7FDBECCA5B}: NameServer = 192.168.123.253
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe


Bitte sagt mir was Ihr davon haltet....
Mich würde es auch interessieren was die machen bzw. evtl. gemacht haben...

Vielen Dank schonmal...

MfG
spro

Mal zu den Viren, den TR/Proxy.Horst.aae.14 hatte ich auch mal, ich will nich verdächtigen, aber der kommt aus nem keygen Er erstellt eine Datei, die die Signatur "TR/Drop.Agent.cwr" enthält

Hier mal mein Antivir-Log (Hab mal die Datei, in der der Trojaner enthalten war unkenntlich gemacht, aus verschiedenen Gründen)
Er ist zurzeit sehr verbreitet und soweit ich weiß is das 'n Proxy-Virus ^^

Zitat:

Anti Vir Log:
In der Datei 'C:\Dokumente und Einstellungen\W***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für A***_Ph****_***_Exte****_K***_Only_by_Z**.zip\A***_Ph****_***_Exte****_K***.Only-Z**\Keygen.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Agent.cwr' [TR/Drop.Agent.cwr] gefunden.
Ausgeführte Aktion: Datei löschen

Naja, erstellt scheint die Datei nichts zu haben, da im ganzen System mit AntiVir nichts zu finden ist. Die Dateien heissen hier ganz unterschiedlich, was das für welche sind kann ich nicht sagen, da der Rechner nicht von mir ist... aber ich kann es in Erfahrung bringen indem ich Sie nochmal starte?!

Schicke die Daten (wo du den Virus herhast), wenn du weißt welche, mal hier hin: Jotti Online Malware Scan

Hab die Dateien mal gestartet...

jepp, scheinen Keygens zu sein!

Erstellt wird aber nichts...

was macht dann bitte solch ein Proxy-Virus? Er muss sich doch irgendwo eintragen...

achso hier der Test:
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX
Bit9 rapportiert: Low threat detected (more info)

A-Squared
Keine Viren gefunden
AntiVir
TR/Proxy.Horst.aae.9 gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Proxy.UFS gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Troj.Proxy.W32.Horst.aae gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
W32/Spybot.dam gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Hack.Win32.Keygen.a gefunden
Sophos Antivirus
Mal/Generic-A gefunden
VirusBuster
Keine Viren gefunden
VBA32
Trojan-Proxy.Win32.Horst.aae gefunden

also bei mir hat sich immer was abgesetzt aber (ich benutze auch anti vir) nach dem löschen war alles wieder clean, also scheint dein system sauber zu sein, aber lösche diese daten lieber

Ich hab gerade mal die dateien in einem virtuellen System gestartet und einen Verzeichnismonitor mitlaufen lassen.... die einzigen Dateien die geändert werden sind in folgendem Verzeichnis:

C:\WINDOWS\system32\wbem\Repository\FS

Zitat:

Zitat von spro

Folgende Trojaner wurden gefunden:
TR/Horst.aae.6
TR/Proxy.Horst.aae.8
TR/Proxy.Horst.aae.9
TR/Proxy.Horst.aae.14

MfG
spro

Hallo spro,

wo wurden die gefunden? Pfadangabe bitte.

Bitte Java und Adobe updaten.

Gruß cad

Auf einer separaten Partition D:\Download\


Klar kein Problem mach ich! Warum gerade Adobe und Java?

Sind beide veraltet.

das hätte ich im Zuge dessen sowieso gemacht...

aber zurück zum Problem... kann ich das System meinem Kunden wieder so zurück geben wenn die dateien gelöscht sind oder wird eine Neuinstallation fällig?

Deinem Kunden?

Ja, habe ich doch geschrieben, das System gehört nicht mir...
hab den Rechner von einem bekommen der mich beauftragt hat den mal zu überprüfen und evtl. aufzurüsten.

Deswegen meine Frage...

Das Dir die Kiste nicht gehört, habe ich gelesen.

Das die von einem Kunden ist, bedeutet wohl, Du bekommst Kohle dafür!
Sonst hättest Du Kumpel/Freund gepostet.

Dann solltest Du ja wissen, was noch alles getan werden muss.

Für mich ist hier


EOD

sorry, aber da ist man einmal ehrlich und dann das...

ich möchte nicht wissen wieviele hier unterwegs sind und sich das Wissen zu nutze machen und dafür Kohle verlangen...

profitieren wird aber jeder der das liesst und hier die Diskussion abbrechen würde ich jedenfalls nicht... solche Threads gibt es nämlich genug!