Hallo liebes Trojaner Team,

ich hoffe ihr könnte mir helfen. EScan liefert ja gerne einmal false positives, doch diesmal bin ich etwas verunsichert und hoffe ihr könnt mir das ganze erklären.

Es geht um folgende "Funde":

Zitat:

Sun Feb 03 11:18:28 2008 => System found infected with clientman Spyware/Adware (mscman.exe)! Action taken: Keine Aktion vorgenommen.
Sun Feb 03 11:18:28 2008 => System found infected with clientman Spyware/Adware (mscman.exe)! Action taken: Keine Aktion vorgenommen.

EDIT: In der Reg stand unter "APPID" die File "MscMan.EXE" drin. Nachdem ich den Eintrag entfernt habe, ist EScan zumindest in diesem Fall ruhiger geworden. Kann ich weitere Einträge, die "mscman" enthalten gefahrenlos entfernen? Z.B. solche Einträge "MscMan.CtMsc"

und

Zitat:

Sun Feb 03 11:18:29 2008 => Offending file found: C:\WINDOWS\iun6002.exe
Sun Feb 03 11:18:29 2008 => System found infected with remacc.multiwebsurv Generic Malware (C:\WINDOWS\iun6002.exe)! Action taken: Keine Aktion vorgenommen.

Erstere Datei "mscman.exe" ist auf/in meinem System nicht vorhanden, wieso aber meckern EScan dann? Welcher Eintrag kann für dieses false(?) positiv verantwortlich sein?

Bei der zweiten Meldung habe ich besagte Datei bei virustotal.com hochgeladen und das Ergebnis war 0/31. Kann ich darauf vertrauen?

Zudem gibt es noch folgende Meldung:

Zitat:

Sun Feb 03 11:18:10 2008 => Key found with NULL Character: HKLM\Software\Microsoft\Windows\CurrentVersion\System !!!
Sun Feb 03 11:18:13 2008 => Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Der Schlüssel ist vorhanden und ich kann, logisch da Nullbyte, nicht darauf zugreifen. Mein System ist vollverschlüsselt. Wäre es möglich das der Schlüssel von der Cryptsoftware angelegt wird? Ihn einfach zu entfernen ist mir etwas zu heiß. (Cryptsoftware ist aktuell CompuSEC)

Über jegliche Hilfe würde ich mich sehr freuen. Danke im Voraus!

PS:
- Windows XP SP2 / alle Updates

moin
Lass mal nen Spywarescan durchführen mit Spybot Search and Destroy

Hi,
eScan arbeitet gern mit Daten aus der Registry. Deswegen müssen die gefundenen Dateien nicht auch auf dem Rechner liegen. Es kann sein, dass es wirklich nur einen Registryeintrag, also einen Verweis auf die Datei, gibt.
Wenn die Spyware bei dir installiert sein sollte, solltest du auch einige der folgenden Dateien finden.
Liste der Dateien runterscrollen

Sagt dir das Programm ClientMan etwas? Befindet sich solch ein Ordner unter Programme? Poste mal nen HJT-Log vllt sieht man da, wer dir den Eintrag beigefügt hat.
Das (willkürliche) Löschen von Registryeinträgen, kann dein System ziemlich zerschießen. Machst du vorher zumindest Backups? Wenn nicht, würde ich dir das dringend empfehlen.
Arbeitest du mit Registrycleanern? Wenn die Einträge auf nichtexistente Dateien verweisen, können(müssen aber nicht) sie an sich entfernt werden.

Bei der 2. Datei habe ich das gefunden: iun6002.exe
Es gibt sowohl eine sichere, als auch eine bösartige Variante. Da deine Datei sauber von VT zurückkam, dürfte sie legitim sein.(Die Datei gehört zu Setupprogrammen, evtl Installshield oder so und wird fürs deinstallieren benötigt.)

lg myrtille

@Trojan & myrtille:

Adaware & Spybot finden nichts. Die haben bei mir auch noch nie etwas gefunden.

Die besagte Software ist nicht auf dem System. Den Ordner Clientman gibt es nicht. EScan findet, wie schon gesagt, nach dem entfernen der APPID Verknüpfung in der Reg auch nichts mehr. Daran hat sich EScan wohl gestoßen.

PS:
Die Liste der Files ist ja schön und gut, aber alle einzeln in das Suchfeld zu hauen würde Tage dauern.

Zitat:

Das (willkürliche) Löschen von Registryeinträgen, kann dein System ziemlich zerschießen.

Ist mir bewusst.

Die Frage "Kann ich weitere Einträge, die "mscman" enthalten gefahrenlos entfernen?" sollte eher wie folgt gewertet werden "Gibt es Windows Dienste die sich ebenfalls dieser Abkürzung bedienen?" Wenn nein, kann ich das ganze auch kicken (bzw. ist das eh schon geschehen, dank google).

Als Regcleaner kommt Regseeker zum Einsatz, wobei sämtliche Regcleaner eines gemeinsam haben. Sie sind ungründlich und die, die "gründlich" sind, zerschießen einem gerne mal das System, weil sie etwas übereifrig arbeiten. *g*


Hat evt. noch jemand ne Idee zwecks:

Zitat:

Sun Feb 03 11:18:10 2008 => Key found with NULL Character: HKLM\Software\Microsoft\Windows\CurrentVersion\System

PS: Wieso stehen hier neue Antworten oberhalb und nicht unterhalb des Startpostings? Der Übersicht dient das nicht wirklich, da 99% aller anderen Foren die Standardversion einsetzen.

HJT Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:22:58, on 03.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\Programme\Avast Antivirus\aswUpdSv.exe
C:\Programme\Avast Antivirus\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\windows\system32\ceisvc.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\nHancer\nHancerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis TrueImageHome\TrueImageMonitor.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\AVASTA~1\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis TrueImageHome\TimounterMonitor.exe
C:\Programme\CE-Infosys\CompuSec\rme.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LeechGet 2007\LeechGet.exe
C:\WINDOWS\system32\RAMAsst.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Avast Antivirus\ashMaiSv.exe
C:\Programme\Avast Antivirus\ashWebSv.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Trillian\trillian.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Total Commander\TOTALCMD.EXE
C:\DOKUME~1\MRBF83~1.MIT\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.25.2.129:80
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Removable Media Utility] C:\Programme\CE-Infosys\CompuSec\rme.exe
O4 - HKLM\..\Run: [Disk Utility] C:\Programme\CE-Infosys\CompuSec\BE.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [AODAssist.exe] C:\Programme\AMD\AMD OverDrive\AODAssist.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2007\LeechGet.exe" -intray
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMAsst.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2007\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2007\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2007\\Parser.html
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1188015411609
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1135619689421
O17 - HKLM\System\CCS\Services\Tcpip\..\{E53F77E8-6142-498E-9229-2EE349A487F7}: NameServer = 192.168.166.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast Antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast Antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast Antivirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast Antivirus\ashWebSv.exe" /service (file missing)
O23 - Service: CE-Infosys Security System (CE-Infosys Security Service) - CE-Infosys GmbH - c:\windows\system32\ceisvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Programme\nHancer\nHancerService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programme\SPAMfighter\sfus.exe

Wobei der eh sauber ist. Ich stelle mir nur die Frage wieso der Adaware Service überhaupt mitläuft wenn es Adwatch eh nur in der Pro Version gibt. :hmm:

@Adawaredienst
Einer meiner Hauptkritikpunkte an Adaware. Nein ich weiß ehrlich gesagt nicht, was der Dienst tut.
Aus Erfahrung kann ich sagen, dass Adaware auch ohne den Dienst problemlos läuft.
@Postingreihenfolge
Da bin ich wahrscheinlich nicht ganz unschuldig dran. Wurde bei einem der letzten Updates geändert. Du kannst es aber einfach bei deinen Einstellungen ändern, wenn du lieber die "normale" Ansicht haben möchtest.
@Dateiliste
Die Liste habe ich auch eigentlich eher reingestellt um zu zeigen, dass ein Registryeintrag noch lange keine Infektion sein muss. Allerdings ist der Eintrag schon seltsam. Ich hab zwar nicht sehr ausführlich gesucht, aber auf Anhieb findet man für die Datei bei google nur die Spyware.
Allerdings kann es natürlich trotzdem sein, dass die Datei von irgendeinem Programm irgendwann aus einem ganz legitimen Grund installiert worden ist. Nicht alle Dateien und RegEinträge aller Programme sind bekannt.
@Registrykey
Gibt es den Schlüssel wirklich als "Sys tem" oder ist das die Boardsoftware gewesen?
Der Schlüssel

Code: Alles auswählenAufklappen

ATTFilter

HKLM\Software\Microsoft\Windows\CurrentVersion\System
         

ist ein Windowsschlüssel und vollkommen legitim. Steht nichts in dem Schlüssel drin, bzw wurde ein früherer Eintrag gelöscht, dann dürfte ein Untereintrag wie folgt aussehen "^@"="" Wobei ^@ die ASCII Interpretation für NULL ist. Also steht da im Endeffekt Nichts=Nichts, was keinerlei Bedrohung für deinen Rechner darstellt.

lg myrtille

Zwecks Adaware Dienst wurde ich schon fündig und Adware 2007 läuft nicht ohne diesen Dienst. Wenn du ihn auf manuell stellst, startet das Programm ihn beim Start mit, beendet ihn beim schließen allerdings nicht mehr. Es ist quasi die Kernkomponente von Adaware 2007.

Lösung:
Programm per start.bat starten:

Zitat:

@ECHO OFF
Ad-Aware2007.exe
sc stop aawservice
@echo Done

Wie kann man ne Batchfile eigentlich nochmal minimiert oder versteckt starten lassen?

Zwecks Datei:

Meine Überlegung dazu war folgende. Es gibt ja massig Software die mit Spyware verseucht war, die in späteren Jahren entfernt wurde. Evt. sind da Regdinge in der Installationsroutine hängen geblieben. Da ich vor kurzem einige Downloadmanager getestet habe, wäre das für mich eine Erklärung.


Das Leerzeichen in "System" ist ein VBB Bug, leider. Tritt auch bei der 3.7 beta auf. Evt. solls auch ne Sicherheitsmaßnahme sein, ka.
Danke für die Info zum Schlüssel. Ich hab ihn nun entfernt, da nen leerer Key unnötig ist und mir das gemecker von Escan auf den Keks geht.

PS:
Im Log konntest du auch nichts verdächtiges erkennen, oder?


Btw. noch etwas anderes. Das Problem haben wohl mehrere Leute, aber weder google, noch die Boardsuche haben mir die Antwort bringen können, da überall der gleiche (falsche!) Rückschluss gezogen wurde.

Mein Router verzeichnet gelegentlich folgendes in den Logfiles:

Zitat:

04.02.2008 10:54:29 **TCP FIN Scan** *meine_interne_IP*, 2868->> 72.14.221.103, 80 (von PPPoE1 - Ausgang)
04.02.2008 10:54:28 **TCP FIN Scan** *meine_interne_IP*, 2856->> 85.13.137.249, 80 (von PPPoE1 - Ausgang)
04.02.2008 10:54:28 **TCP FIN Scan** *meine_interne_IP*, 2822->> 83.246.70.205, 80 (von PPPoE1 - Ausgang)

Die IP Adressen sind die aktuell im IE geöffneten Webseiten! Diese kann ich dann auch mehrere Minuten nicht mehr aufrufen. Nach einigen Minuten ist wieder alles beim Alten. Der Mist nervt gewaltig, ganz ehrlich, und eine Lösung ist mir nicht bekannt.

Das Ganze tritt scheinbar nur bei der TCOM Speedportreihe auf (W700V / W500V usw.) und ist sehr nervig. Hast du da evt. ne Idee wie man das in den Griff bekommen kann?

Keine Antwort mehr auf mein letztes Posting?

Hi,
nein, leider keine Ahnung...

Adaware hab ich offensichtlich zu lange nicht mehr benutzt... das letzte mal tat es jedenfalls problemlos.

Was den Eintrag von DingensMan angeht: Ein Dateiname ist nicht eindeutig und nicht alle Dateien sind via Google auffindbar. Es kann durchaus sein, dass du nie mit der Spy/Adware in Berührung gekommen bist und der Eintrag trotzdem existiert.

Das Leerzeichen ist glaub kein Bug, sondern gewollt um die Seite nicht zu sprengen. (Kann auch sein, dass es da zusätzlich noch von der Softwareeinschränkungen gibt. Aber es zählt glaub nicht als Bug und wird daher nicht behoben. "That's no bug that's a feature" )

Zu deinem Router hab ihc leider keine Idee, daher auch ursprünglich keine Antwort von mir.

lg myritlle