Hallo,

ich habe mir scheinbar den Tojaner Backdoor.Generic8.GLW eingefangen.

Ich habe bisher mich nur auf das Programm Ewido ( AVG ) Antispyware verlassen. Nachdem dieses nun vom Hersteller eingestellt wurde habe ich zu AVG Internet Security 8.0 gewechselt.

Ein erster Komplettscan meines Rechners ergab das die Datei

C:\Windows\vchost.exe

mit dem Trojaner Backdoor.Generic8.GLW infiziert war.

Diese wurde von AVG Scanner automatisch in die Quarantäne verschoben.

Allerdings findet auch auch bei jedem Scan unter der Rubrik Rootkit ein versteckter Treiber.

Dieser liegt in

C:\Windows\System32\Drivers\a*.SYS

nach jedem Löschvorgang seitens AVG ( und dem damit verbundenen Neustart ) findet sich ein derselbe versteckte Treiber mit anderem Namen wieder.

Die letzten bekannten Namen waren

a9un662f.SYS
ara35lo2.SYS
a6tsuj6m.SYS


Ist dies evtl auf den Tojaner zurückzuführen oder kann dies ( wie ich so verstanden habe ) auf bestimmte Kopierschütze zurückzuführen sein ( Securom o.ä) ?

Ich habe bei mir

Windows Vista Ultimate SP1 ( alle Updates bis 15.12.2008 12:00 Uhr )
AVG Internet Security 8.0 ( 15.12.2008 15.44 Uhr )

Einen HijackThis Log habe ich erstellt.

___________________________________

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17:54, on 15.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\BOINC\boinctray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Nexus Radio\Nexus Radio.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\FRITZ!DSL\FwebProt.exe
C:\Program Files\U-ABIT\uGuru\uGuru.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\FRITZ!DSL\StCenter.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\FTPRush\ftprush.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [boinctray] "C:\Program Files\BOINC\boinctray.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Nexus Radio] C:\Program Files\Nexus Radio\Nexus Radio.exe -0
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ABIT uGuruIII] C:\Program Files\U-ABIT\uGuru\LaunchuGuru.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Program Files\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B68BAEC-C9EA-447A-BD94-DB367A6108E3}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2DA4CFE-A368-4F3E-9345-1C003541C803}: NameServer = 192.168.178.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Program Files\BOINC\boinc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 5355 bytes
         

____________________________________________

Einen Anti-Maleware Log gibt es ebenfalls

____________________________________________

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 6.0.6001 Service Pack 1

15.12.2008 17:24:41
mbam-log-2008-12-15 (17-24-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 235173
Laufzeit: 1 hour(s), 19 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

____________________________________________

Kann mir jemand mehr dazu sagen ?

Oder empfiehlt sich generell eine Neuinstallation des Systems ( unbeliebt ) ?

MfG

*push to the top*

Also ich sage ja immer, wenn Malwarebytes nichts findet dann kann man
schohn mahl aufathmen!

Es kann sich auch um einen Fehlalarm handeln.
Lade die Datei, die sich immer wider neu erstellt bei Virustotal hoch.
Den Log dan hir posten. VirusTotal - Free Online Virus and Malware Scan

Hallo Tundo,

danke für die Antowrt.
Leider kann ich die Datei ausser mit dem AVG Virenscanner leider nicht im Explorer finden.

Ich habe jedoch schon alle versteckten Dateien anzeigen lassen, die Systemdateien werden NICHT ausgeblendet...

Hat jemand eine Idee wie ich den Treiber greifen kann zum auswerten lassen ?

MfG

Hi,

diese Einstellungen für versteckte Dateien, Systemdateien, usw. greifen eben nicht für Rootkits. Demon Tools, Alcohol 120 oder ähnliche Software auf dem Rechner? Dann runter damit und dann nachschauen, ob das Rootkit noch immer gefunden wird.

Gruß, Karl

Hallo,

erstmal vielen Dank an alle die mir geholfen haben !

Nach der Deinstallation von Daemon Tools ist der versteckte Treiber weg.
Habe seitdem 3 Neustarts gemacht, jedes mal gescannt -> nix mehr da =)

Also gehe ich davon aus, dass dieser Treiber harmlos war, also kein Grund zur Panik.

Ich werde nachher Daemon Tools wieder installieren, da ich es andauernd benutze / brauche, mal sehen ob der Treiber wieder kommt.

MfG

Wird er

ist er