Hallo allerseits,

Sophos Antivirus hat nach einem Trojaner-Befall (Troj/Agent-GPY und ein weiterer, dessen Namen ich nicht mehr erinnere, betroffen war die Datei mDNSResponder.exe) auf meiner XP-Pro Maschine die Datei "kdzqj.exe" im Ordner "C:\Windows\System32" entdeckt. Sie kann allerdings nicht gescannt werden, da dies einen Interface-Fehler (0xa0040210) bei Sophos erzeugt.

Auch kann ich die Datei im Explorer nicht sehen und andere Programme können sie nicht finden. Scans mit "Rootkit Hook Analyzer" und "Hijackthis" erbrachten keine Hinweise auf die Datei. Es gibt auch keinen aktiven Prozess mit diesem Namen.

Es existiert jedoch ein Eintrag in der Registry zu dieser Datei:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"="kdzqj.exe"

Und wenn ich irgendeine andere Datei (z.B. txt) mit "kdzqj.exe" im Titel erstelle, verschwindet diese ebanfalls!

Kann mir irgend jemand sagen, was da los ist auf meinem PC? Handelt es sich um Malware, und wenn ja, wie bekomme ich sie weg?

Mit bestem Dank

oelchen

Hallo,

wie groß ist die Datei? Kannst du Sie per Mail schicken?

Kannst Sie auch selbst mal bei Virustotal.com hochladen und überprüfen lassen. Dauert ein paar Minuten.

Dem Namen nach ist das ein DNSchanger.
Erstelle einmal ein Combofix Report:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfügen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

@ KleinerMarce:

Das war auch meine erste Idee. Aber da ich diese Datei weder sehen noch hochladen kann (habe ich probiert), fällt das wohl erstmal aus.

@ raman:

Seit dem Befall (heute ca. 14h) ist der PC nicht neu gestartet worden. Und das möchte ich erstmal vermeiden, da Malprogramme ja gerne kleine Ostereier verstecken, die dann beim nächsten Systemstart aktiv werden. Ich habe zwar die Registry von allen verdächtigen Einträgen bereinigt (vgl. Sophos-Removal-Anweisungen), allerdings bin ich mir dafür nicht sicher genug. Kann man es daher irgendwie vermeiden, dass ein Neustart passiert?

Und der Name mDNSResponder kommt vom Apple Bonjour-Service:

Bonjour Service mDNSResponder - Forum - CHIP Online

Allerdings war das bei mir möglicherweise eher ein als solcher getarnter Schädling. Jedenfalls ist das Programm entfernt.

Sichtbar machen kannst du die über die Ordneroptionen. Dort anklicken, dass du auch versteckte Dateien angezeigt haben möchtest! Aber Vorsicht: Dadurch werden auch Sytemdateien angezeigt, da nichts unbedachtes tun!!!

Das ist mir bekannt, selbstverständlich werden bei mir zur Zeit versteckte und Systemdateien angezeigt.

Nur zur Einordnung: ich war mehrere Jahre beruflich als Admin tätig, die gängigen Tricks und Kniffe sind mir bekannt. Das hier ist allerdings neu.