TR/Proxy.Ranky.JB

strawberry22 · 24.05.2008, 00:05

Guten Abend (Morgen?),

habe heute auf meinem PC den Trojaner TR/Proxy.Ranky.JB mit antivir entdeckt. Eingefangen scheine ich ihn mir bei der Installation von Warcraft 3 TFT zu haben, da der Virus nur auftaucht wenn ich versuche das spiel zu starten (das alles aber direkt nach der Installation von der CD, ohne irgendwelche Patches oder sonstwas downgeloadet zu haben). Nach dem ich das Spiel wieder deinstalliert hatte fand Antivir nichts mehr. Probeweise hab ich dann nochmals versucht WC3 zu installieren, als nur RoC installiert war konnte man ohne Probleme das Spiel starten. Als ich das Erweiterungspack wieder installiert hatte tauchte auch der Virus wieder auf.

Anbei noch das HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:44:01, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Michaela\Desktop\HiJackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4169 bytes

Meine Frage ist nun, ob es noch eine Möglichkeit gibt den Trojaner loszuwerden ohne kompletter Neuinstallation..

lg Michaela

Killababe · 24.05.2008, 01:35

Hallo!!!

Hab genau das gleiche Problem. Sobald ich WC3 starten will, kommt die Trojaner-Meldung.

Ist im Temp-Ordner drinne und zwar heißt die Datei "SIntf.dll", die nur auftaucht, wenn das Spiel gestartet wird. Ansonsten ist sie nicht im Ordner.

Ich hab schon ein bisschen gegooglet und das gefunden
Trojaner TR/Agent.BYZ - Viren und andere Sicherheitsrisiken - Avira Support Forum

Letzten Jahr gabs wohl auch sowas...

Komischerweise, hatte ich vor ein paar Stunden noch problemlos gespielt und ohne das ich irgendwas (jedenfalls nicht, dass ich wüsste) verstellt habe und vorhin wieder spielen wollte, kam der Trojaner.

Ich weiß nur jetzt nicht genau, obs wieder so ein Fehler von AntiVir ist, oder diesmal wirklich einer?! Vor allem kann ich mich nicht mehr genau erinnern, wann Antivir geupdatet hat.

Hab auch ehrlich geagt keine Lust mein PC zu formatieren. Das wär das 3.mal in 2 Monaten.

Vor allem, kommts nur bei WC3. Hab schon anderes Spiel getestet.

Doc Gonzo · 24.05.2008, 01:58

Hi,

Hatte vor paar Stunden beim starten von WC3-TFT auch den Alarm.
Ich spiel mit der Original-CD und der Alarm hängt auf jeden Fall mit dem Kopierschutz zusammen.

Ich geh bis auf weiteres mal von ner Falschmeldung aus

nochdigger · 24.05.2008, 05:10

Moin

Zitat:

...und der Alarm hängt auf jeden Fall mit dem Kopierschutz zusammen.

Ich denke auch...

Aber besser die betroffene Datei mal hier
Submit your sample
mit verdacht auf Fehlalarm hochladen.
Benachrichtigung folgt innerhalb weniger Tage.

Bitte auch testen, ob nach einem Update von Antivir die Dateien weiterhin angemeckert werden.

MFG

Doc Gonzo · 24.05.2008, 05:30

Hab ich eben hochgeladen - werd hier wieder posten, sobald die Anfrage geklärt is!

Doc Gonzo

juino · 25.05.2008, 16:01

Hallo,
Ich finde den Temp-Ordner nicht.Wo ist der?

juino · 25.05.2008, 16:15

Und, ist es eine Falschmeldung?

Doc Gonzo · 25.05.2008, 16:15

Hi!

Also standartmäßig lautet der Pfad: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

Schau mal im Explorer in Extras/Ordneroptionen.
Dort gibt es unter Ansicht:
"geschützte Systemdateien ausblenden" - das Häkchen musst deaktivieren und
"Versteckte Dateien und Ordner anzeigen" - da wählst Du "alle ...anzeigen"
Dann siehst Du diesen Temp Ordner

Aber ich würde mit der Neuinstallation noch warten.
Die Wahrscheinlichkeit, daß auf ner viele Jahre alten [kommerziellen] SpieleCD plötzlich ein Trojaner gefunden wird ist äußerst gering - und ich hab dieses Problem eben mit der Original-CD.

Ich hab die Datei zum überprüfen hochgeladen und werd hier Bericht erstatten sobald ich ne Antwort bekommen hab!

panda- · 26.05.2008, 10:15

Ich hab einfach hochgepatcht und danach erschien die Meldung nicht mehr. Eventuell liegt es an der CD in Verbindung mit den neusten Updates von Antivir. Vielleicht haben die etwas als Virus deklariert, was keiner ist. (Ab 1.21 kann man ohne CD spielen)

Doc Gonzo · 26.05.2008, 14:13

So, jetzt ist die analyse von avira fertig:

Zitat:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25026692 SIntfNT.dll 23.94 KB FALSE POSITIVE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
SIntfNT.dll FALSE POSITIVE

Die Datei 'SIntfNT.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Der Fehler wurde bereits behoben - die Datei wird nicht mehr angemeckert!

Gruß
Doc Gonzo

Kann closed werden

strawberry22 · 26.05.2008, 22:13

hm, bin erst heute wieder heimgekommen, sind ja gute news

danke für die raschen antworten!

TR/Proxy.Ranky.JB

Plagegeister aller Art und deren Bekämpfung: TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

[geklärte Falschmeldung] AW: TR/Proxy.Ranky.JB

TR/Proxy.Ranky.JB

Ähnliche Themen: TR/Proxy.Ranky.JB

24.05.2008, 01:58	#3
Doc Gonzo	TR/Proxy.Ranky.JB Hi, Hatte vor paar Stunden beim starten von WC3-TFT auch den Alarm. Ich spiel mit der Original-CD und der Alarm hängt auf jeden Fall mit dem Kopierschutz zusammen. Ich geh bis auf weiteres mal von ner Falschmeldung aus __________________

24.05.2008, 05:30	#5
Doc Gonzo	TR/Proxy.Ranky.JB Hab ich eben hochgeladen - werd hier wieder posten, sobald die Anfrage geklärt is! Doc Gonzo

25.05.2008, 16:01	#6
juino	TR/Proxy.Ranky.JB Hallo, Ich finde den Temp-Ordner nicht.Wo ist der?

25.05.2008, 16:15	#7
juino	TR/Proxy.Ranky.JB Und, ist es eine Falschmeldung?

26.05.2008, 10:15	#9
panda-	TR/Proxy.Ranky.JB Ich hab einfach hochgepatcht und danach erschien die Meldung nicht mehr. Eventuell liegt es an der CD in Verbindung mit den neusten Updates von Antivir. Vielleicht haben die etwas als Virus deklariert, was keiner ist. (Ab 1.21 kann man ohne CD spielen)

26.05.2008, 22:13	#11
strawberry22	TR/Proxy.Ranky.JB hm, bin erst heute wieder heimgekommen, sind ja gute news danke für die raschen antworten!