Trojan.WIN32.VB.yg - Ist er wirklich weg?
 

Hallo!

Ich bin neu hier und möchte gleich mal etwas fragen, aber erst mal einige Vor-Infos:

Ich habe Windows XP home mit SP 1. Fürs Internet nutze ich den Internet-Explorer und wähle mich mit Hilfe des Smartsurfers von web.de ein.

Gestern - als ich noch nicht online war - zeigte mir meine Firewall (Kerio) an "Anwendung startet andere Anwendung" und dann kam irgendwas von HP-Software. Da ich eine Menge Software von HP drauf habe, klickte ich auf "zulassen". Es erschien das mir schon bekannte Fenster vom Software-Update. Ich schloss es und ging anschließend eine Weile ins Internet. Es ging alles ganz normal, keine besonderen Vorkommnisse.

Als ich die Online-Verbindung trennte und einen routinemäßigen Virenscan mit Kaspersky durchführte, wurde mir Trojan.WIN32.VB.yg angezeigt.
Ich klickte auf "desinfizieren" und darunter war "löschen" bereits markiert. Ich klickte auf "ok". Der Trojaner wurde an anderer Stelle nochmals gefunden, ich tat das Gleiche.

In der Report-Datei von Kasperksy stand dann folgendes 3x untereinander:

C:\Programme\HP\Digital Imaging\Promotions\HPregistration\hpsrg.exe

und dahinter stand je 1x: "Infiziert", "Desinfektion erfolglos", "Gelöscht"

und:
C:\System volume Information\restore{68$377ED-413B-49AD-A747A-A4931EA59283}\RP127\A0008558.exe

und auch hier dahinter stand "Infiziert", "Desinfektion erfolglos", "Gelöscht".

------------------------------------------------------------------------
Ich scannte nach dem Löschen erneut mit Kaspersky sowie auch mit Adaware, Spybot S&D und mit Stinger. Sie haben alle nichts Verdächtiges gefunden.
Die gleichen Scans führte ich dann auch noch im abgesicherten Modus durch. Es wurde ebenfalls nichts gefunden.

Kann ich sicher sein, dass der Trojaner weg ist oder geistert der noch unbemerkt herum? Ich hab nämlich leider nicht allzuviel Ahnung von sowas.

Ich wäre sehr dankbar, wenn mir jemand Tipps geben könnte.

Gruß!
Andrea

Hallo,

also für mich sieht das Ganze nach einer normalen Produkt Registrierung von HP aus. Hast du kürzlich eine neue Software von HP installiert?
Ebenso würde ich ein Fehlalarm von Kaspersky nicht auschließen.

Vielen Dank, Cidre, für die schnelle Antwort. Vielleicht war es ja wirklich nur ein Fehlalarm oder sowas. Allerdings habe ich meine Software von HP ca. 1 Jahr und nichts Neues hinzugefügt. Kaspersky hab ich fast genauso lange, und es hat bis jetzt aber noch nie so auf HP-Software reagiert.

Ich hab mal vorsorglich HijackThis runtergeladen, aber leider kenne ich mich nicht mit logfiles aus. Könnte sich dies bitte mal jemand ansehen?


Logfile of HijackThis v1.99.1
Scan saved at 20:35:57, on 12.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Ma***hi\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http: //srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http: //web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.tiscali.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http: //srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http: //srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http: //de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPpromo psc 1300 series] "C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 1300 series" -r
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http: //-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http: //www.tiscali.de
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0900WA~1\w0svc.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Vielen Dank im Voraus!
Gruß! Andrea

Auch hier, kann ich keine Auffälligkeiten bezüglich Malware feststellen. ;)

Du solltest aber dein System noch updaten!

-> Windows-Update

Vielen Dank an alle beide!
Da bin ich erst mal beruhigt, wenn nichts Auffälliges erkennbar ist. Mein Computer läuft auch ganz normal, da wird schon hoffentlich alles in Ordnung sein.
Die Windows-Updates hatte ich schon geprüft, aber da steht zur Zeit nichts Neues zur Verfügung - mit Ausnahme von SP2, das ich mir nicht aus dem Internet laden will (hab analoges Modem) wegen der langen Downloadzeit.

Gruß!
Andrea

@AndreaMa
Dann musst du CD bestellen: http://www.microsoft.com/windowsxp/d...e/default.mspx

Du kannst auch aus diverse Zeitschriften beigelegten Servicepack2 für WinXP bekommen. Oder leih einmal von deine Freunde/Kollegen eine aus (kannst dir auch eine CD-Kopie machen, diese Software ist frei - korrigiert mir wenn ich irre, ich habs so gemacht).
cudeafmax

Ja, das mit den CD gratis weiß ich. Nur hab ich SP 2 bis jetzt noch nicht installiert, weil man ja immer so viel Schlechtes darüber liest und hört. Es funktioniert bei vielen Leuten vieles nicht mehr, man soll angeblich vorher alle Programme, die nicht zu Windows gehören, deinstallieren usw. Wobei ich bei letzterem nicht weiß, ob das stimmt.

Ich habe eine vorinstallierte Version von Windows XP und keine Installations-CD (nur Recovery) dazu. Deshalb bin ich mir nicht sicher, ob ich's wagen soll oder nicht.

Gruß!
Andrea

@AndreaMa
Ich habe aber viel Schlechtes gesehen, und zwar bei denen, die SP2 nicht installiert haben.
Falsch. Man muss nur vor der Installation die speicherresidenten Antivirus-Tools und Firewalls deaktivieren. Einige Programme müssten u.U. nachträglich repariert werden, was bei mir nicht der Fall gewesen war.

Okay, danke nochmals.
Dann werd ich wohl doch mal SP 2 in Angriff nehmen, wenn man vorher nicht alles deinstallieren muss. Die CD kann ich mir besorgen. Gibt's da sonst noch was Wichtiges zu beachten außer AV-Tools und Firewall deaktivieren?

Gruß!
Andrea

@AndreaMa
Alles ist in der Notiz, die beim Aufruf von Installationsroutine von SP2 erscheint, geschrieben ;).

Aha, alles klar. Danke.

Gruß!
Andrea

Nun möchte ich mich nochmal melden.
Inzwischen hab ich Service Pack 2 drauf und alle Updates aktuell. Vor ein paar Tagen hab ich auch die neue Version vom Antivirenprogramm, Kasperksy 5.0, installiert. Firewall ist wieder die Kerio.

Doch leider ärgert mich jetzt plötzlich der schon erwähnte Trojaner wieder:

Trojan.Win32.VB.yg

Er ist 2x erschienen und mit wurden diese infizierten Dateien angezeigt, die sich nun im Backup von Kaspersky befinden, nachdem ich auf "Löschen" geklickt habe:

C:\Programme\HP\Digital Imaging\Promotions\HPregistration\hpsrg.exe

C:\System volume Information\restore{68E377ED-413B-49AD-A74A-A4931EA59283}\RP10\A0007334.exe

Was könnte das für ein Trojaner sein bzw. ist das überhaupt ein richtiger Trojaner (weil da wieder sowas von "registration" steht)?
An meinem Computer ist mir bis jetzt noch nichts Ungewöhnliches aufgefallen.

Besten Dank im Voraus!
AndreaMa

Schick die Datei C:\Programme\HP\Digital Imaging\Promotions\HPregistration\hpsrg.exe doch mal an newvirus@kaspersky.com mit dem Vermerk, dass es sich um einen Fehlalarm handeln dürfte. Am besten auf englisch.