Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWin (https://www.trojaner-board.de/44737-trojan-medbot-100-adware-bho-13-found-sagt-clamwin.html)

KBL 17.10.2007 14:32
Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWin
 
Hallo,

dies ist das erste Mal, daß ich mich mit Computerschädlingen
beschäftigen muß. Deshalb würde ich mich über Eure Hilfe sehr freuen.

Hier die Ergebnisse der Scans, die ich bislang durchgeführt habe:

Datei 4ex4.mhdd.exe

Dies ist die Meldung von ClamWin
Zitat:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\4ex4.mhdd.exe: Trojan.Medbot-100 FOUND
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\4ex4.mhdd.exe: moved to 'C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.4ex4.mhdd.exe'
Daraufhin habe ich VirusTotal befragt:
Code:
Antivirus                  Ergebnis
AhnLab-V3                Win-Trojan/Horst.24576.F
AntiVir        7.6.0.23        TR/Spy.Mormail.1
Authentium        4.93.8        W32/Downloader.gen8
Avast        4.7.1051.0        Win32:Trojan-gen {UPX}
AVG        7.5.0.488        Proxy.EJY
BitDefender        7.2        Trojan.Proxy.Horst.EV
CAT-QuickHeal        9.00                -
ClamAV        0.91.2                Trojan.Medbot-100
DrWeb        4.44.0.09170        Trojan.Spambot
eSafe        7.0.15.0        suspicious Trojan/Worm
eTrust-Vet 31.2.5214        Win32/Boxed!generic
Ewido        4.0                Proxy.Horst.ev
FileAdvisor        1                -
Fortinet 3.11.0.0        W32/Horst.ZDY!tr
F-Prot        4.3.2.48        W32/Downloader.gen8
F-Secure 6.70.13030.0        Trojan-Proxy.Win32.Horst.ev
Ikarus        T3.1.1.12        Trojan-Proxy.Win32.Horst.ev
Kaspersky 7.0.0.125        Trojan-Proxy.Win32.Horst.ev
McAfee        5141                BackDoor-CMQ
Microsoft 1.2908        TrojanProxy:Win32/Horst
NOD32v2        2594        probably a variant of Win32/Medbot.FE
Norman        5.80.02        W32/Horst.ANK
Panda        9.0.0.4                Trj/LootSeek.HF
Prevx1        V2                Malware.Gen
Rising        19.45.12.00        Trojan.Proxy.Horst.aiv
Sophos        4.22.0                Mal/Horst-D
Sunbelt        2.2.907.0                -
Symantec        10        Trojan.Lootseek.AV
TheHacker 6.2.8.093        Trojan/Proxy.Horst.ev
VBA32        3.12.2.4        MalwareScope.Trojan-Proxy.Horst.1
VirusBuster 4.3.26:9                -
Webwasher-Gateway 6.6.1        Trojan.Spy.Mormail.1
weitere Informationen
File size: 24576 bytes
MD5: 1df3f4c016169d2f18901f26d0b57bbd
SHA1: f30c631536ceb088046c67822e277f83aa694096
packers: UPX
packers: UPX
packers: UPX
Prevx info: h**p://fileinfo.prevx.com/fileinfo.asp?PX5=51E63905009BA581606D0019960B9600528C1010
So sieht der Fundort der Datei jetzt aus:
Code:
  c:/Dokumente und Einstellungen/Administrator/Lokale Einstellungen/Temp:

            0 07-16 20:45 Acrobat Distiller 8
          273 07-16 20:45 libFNP_events.log
            0 07-16 20:45 WPDNSE
          410 2006-08-10  jusched.log
            0 2006-08-10  Acrobat Distiller 7
        85470 2006-08-10  lnames.txt.cab
      187993 2006-08-10  lnames.txt
        28894 2006-08-10  fnames.txt.cab
        88071 2006-08-10  fnames.txt
      120055 2006-08-10  domains.txt.cab
      358232 2006-08-10  domains.txt
        51712 2006-08-10  setup.exe
          43 2006-08-10  autorun.inf
          49 2006-08-10  ssd32g.exe.conf
        23040 2006-08-10  31exssd32g.exe
        57344 2006-08-10  6ex1.modul32s.exe
          48 2006-08-10  4.mhdd.exe.conf
          52 2006-08-10  1.modul32s.exe.conf
        49152 2006-08-10  tmp1.tmp
            0 2006-03-12  Adobelm_Cleanup.0001.dir.0001
            0 2006-03-12  Adobelm_Cleanup.0001.dir.0000
        59964 2006-03-12  Adobelm_Cleanup.0001
Da auf dem befallenen Rechner nur ganz selten der Administrator
Account genutzt wird, habe ich die leise Hoffnung, daß noch kein
Schaden angerichtet wurde. Wie kann man das in Erfahrung bringen?

Datei dmcpmpos_dll

Auch hier lasse ich erst einmal ClamWin zu Wort kommen:
Zitat:
C:\WINDOWS\system32\dmcpmpos_dll: Adware.BHO-13 FOUND
C:\WINDOWS\system32\dmcpmpos_dll: moved to 'C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.dmcpmpos_dll'
Und was VirusTotal dazu sagt:
Code:
Antivirus        Ergebnis
AhnLab-V3                  Win-Trojan/KorGameHack.9728
AntiVir        7.6.0.18          ADSPY/Stud.A.1
Authentium 4.93.8        -
Avast 4.7.1043.0          Win32:Trojano-3384
AVG 7.5.0.488                Adware Generic.LRH
BitDefender        7.2        Trojan.Downloader.6588.E
CAT-QuickHeal 9.00        AdWare.Stud.a (Not a Virus)
ClamAV        0.91.2                Adware.BHO-13
DrWeb        4.33                Trojan.DownLoader.6588
eSafe        7.0.15.0        suspicious Trojan/Worm
eTrust-Vet 31.2.5176                -
Ewido        4.0                Downloader.Small.cgu
FileAdvisor        1                -
Fortinet 3.11.0.0        W32/Small.CGU!tr
F-Prot        4.3.2.48        W32/Adware.PL
F-Secure 6.70.13030.0                -
Ikarus        T3.1.1.12        not-a-virus:AdWare.Win32.Stud.a
Kaspersky 7.0.0.125        not-a-virus:AdWare.Win32.Stud.a
McAfee        5130                potentially unwanted program Adware-KeenValue
Microsoft 1.2803        Trojan:Win32/Webprefix
NOD32v2        2562                Win32/Adware.BHO.AA
Norman        5.80.02                W32/Stud.B
Panda        9.0.0.4                Adware/KeenValue
Prevx1        V2                -
Rising        19.43.00.00        Trojan.PSW.KorGame.i
Sophos        4.22.0                MapKon
Sunbelt        2.2.907.0                -
Symantec        10        Adware.Webprefix
TheHacker 6.2.6.075        Adware/Stud.a
VBA32        3.12.2.4        AdWare.Win32.Stud.a
VirusBuster 4.3.26:9        Adware.Stud.D.Gen
Webwasher-Gateway 6.0.1        Ad-Spyware.Stud.A.1
weitere Informationen
File size: 33954 bytes
MD5: 8db7546fca9deacfae4596842c0ec920
SHA1: d2cf434e4972bcfb6759ffbfc36a0ea2068100e3
------------------------------------------------------------

Und dann noch das HJT Log:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 17:51:46, on 16.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\SUperior SU\swtchsvc.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\rundll32.exe
G:\bin\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\$NtUninstallKB911927$\IEXPLORE.EXE
C:\Programme\NDAS\System\ndassvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SUperior SU\susrvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
G:\bin\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {E37D767F-EADE-48BF-A717-ABED67DA3194} - C:\WINDOWS\system32\dmcpmpos.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\bin\MediaPlayerClassic\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IRAssistant] C:\Programme\Dusco\IRAssistant\IRAssistant.exe -noSplash
O4 - HKLM\..\Run: [SUperior Switcher] C:\Programme\SUperior SU\swtchsvc.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ClamWin] "G:\bin\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "g:\bin\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = G:\bin\OpenOffice\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: nxtvepg.lnk = C:\Programme\nxtvepg\nxtvepg.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Web-Recherche: Bild speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#101
O8 - Extra context menu item: Web-Recherche: Bild speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#108
O8 - Extra context menu item: Web-Recherche: Link-Adresse speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#110
O8 - Extra context menu item: Web-Recherche: Markierte Ziele speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#111
O8 - Extra context menu item: Web-Recherche: Markierung speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#104
O8 - Extra context menu item: Web-Recherche: Markierung speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#109
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#102
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#106
O8 - Extra context menu item: Web-Recherche: Ziel speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#103
O8 - Extra context menu item: Web-Recherche: Ziel speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#107
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\bin\WinHTTrack\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\bin\WinHTTrack\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{024A7E0B-E7C7-4C7F-BC0F-9FEE57B8A497}: NameServer = ***.***.***.***,***.***.***.***
O17 - HKLM\System\CCS\Services\Tcpip\..\{1202B693-A762-4FA1-B03F-66C3C3E7B71F}: NameServer = ***.***.***.***
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DA96E7B-783B-4D98-9764-1EFF698DF765}: NameServer = ***.***.***.***,***.***.***.***
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EFE4245-9A80-4D1F-9EE7-9B1106A5E7D5}: NameServer = ***.***.***.***,***.***.***.***
O17 - HKLM\System\CCS\Services\Tcpip\..\{94FBCFD7-D7BF-4209-A118-B4624F1D5427}: NameServer = ***.***.***.***,***.***.***.***
O18 - Protocol: biblioscape - (no CLSID) - (no file)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: suwlnfwd - C:\Programme\SUperior SU\suwlnfwd.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: ipc-daemon - Unknown owner - G:\cygwin\bin\cygrunsrv.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - g:\bin\PostgreSQL\8.1\bin\pg_ctl.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SUperior - Stefan Kuhr Software - C:\Programme\SUperior SU\susrvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
------------------------------------------------------------

Hierzu
Zitat:
O2 - BHO: (no name) - {E37D767F-EADE-48BF-A717-ABED67DA3194} - C:\WINDOWS\system32\dmcpmpos.dll (file missing)
habe ich den Eintrag in der Registry gefunden. Würde es ausreichen,
den Eintrag dort zu löschen?

irrlicht 17.10.2007 17:14
Hallo,
Zitat:
selten der Administrator
Account genutzt wird
Das ist löblich...;)

Zitat:
habe ich die leise Hoffnung, daß noch kein
Schaden angerichtet wurde.
Diese ist berechtigt...;)

Die Funde waren alle in den "Temp" Ordnern.....Dort können sie keinen Schaden anrichten ,solange niemand die exen ausführt/startet.
Dein AV Programm hat sie rechtzeitig erkannt und in die Quarantäne verschoben.
Dort können sie nun bleiben bis zum jüngsten Tag...
...oder du schaust in dein AV Programm rein und suchst dir den Quarantäne Ordner und löscht dessen Inhalt.
Nur den Inhalt nicht den ganzen Ordner...
Danach kannst du noch sicherheitshalber einen Komplettcheck mit deinem AV machen.Dieser sollte im "abgesicherten Modus" von Windows durchgeführt werden.
Was das ist und wie du dorthin kommst,kannst du Google oder eine andere Suchmaschine deiner Wahl entnehmen...
Irrlicht

KBL 17.10.2007 19:11
Herzlichen Dank für Deine Antwort, Irrlicht!
Zitat:
Zitat von irrlicht (Beitrag 299990)
Die Funde waren alle in den "Temp" Ordnern.....Dort können sie keinen Schaden anrichten ,solange niemand die exen ausführt/startet.
Dein AV Programm hat sie rechtzeitig erkannt und in die Quarantäne verschoben.
Gottseidank! :Boogie:
Alles, was ich zur ****.mhdd.exe gefunden hatte, hat sich ziemlich gemein angehört.

Die dmcpmpos_dll war allerdings in .../system32 und scheint sich auch mindestens
in der Registry verewigt zu haben, als sie noch dmcpmpos.dll hieß.
Ich werde leider nicht so richtig schlau aus den Informationen, die ich
über diesen Racker gefunden habe.
"Lädt Code aus dem Internet herunter" sagt Sophos. *shrug*
Zitat:
Zitat von irrlicht (Beitrag 299990)
Danach kannst du noch sicherheitshalber einen Komplettcheck mit deinem AV machen.Dieser sollte im "abgesicherten Modus" von Windows durchgeführt werden.
Das habe ich mal für Freitag oder Sonntag vorgesehen.
Dann habe ich voraussichtlich die nötige Ruhe dafür.
Zitat:
Zitat von irrlicht (Beitrag 299990)
Was das ist und wie du dorthin kommst,kannst du Google oder eine andere Suchmaschine deiner Wahl entnehmen...
Dankeschön, ich hab schon die eine oder andere Anleitung gefunden. :)

KarlKarl 18.10.2007 01:14
Hi,

da bin ich heute mal Spielverderber. Dein Hijackthis Log hat jedenfalls ein Administrator gemacht.

Und dann habe ich noch den hier entdeckt:
Code:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
CastleCops® DirectX Service (DirectService) directx.exe

Gruß, Karl

KBL 19.10.2007 19:09
Zitat:
Zitat von KarlKarl (Beitrag 300056)
da bin ich heute mal Spielverderber.
Alles, was der Wahrheitsfindung dient, ist mir willkommen. ;)
Schönen Dank für den Hinweis!
Ich habe heute eine ziemlich lange escan-Sitzung hinter mir,
aber vor Sonntag komme ich nicht zur Auswertung der Ergebnisse.

Zitat:
Zitat von KarlKarl
Dein Hijackthis Log hat jedenfalls ein Administrator gemacht.
Ja, aber nicht unter dem Account, der "Administrator" heißt.

Gruß,
KBL

KarlKarl 20.10.2007 02:10
Ja, aber ein Benutzer mit Administratorrechten, das ist praktisch gesehen das selbe. Es reicht nicht aus, noch ein Benutzerkonto zu erstellen, sondern man muss es in Systemsteuerung -> Benutzer auch noch zu einem eingeschränkten machen. Das geht aber erst mit dem zweiten zusätzlich angelegten Benutzerkonto, da Windows darauf besteht, dass das erste seine Administratorrechte behalten muss. Stimmt, das ist ziemlich verwirrend und hirnrissig, aber bei der Company erwarte ich auch nicht viel anderes, Sicherheit ist nicht gerade ihr Lieblingsthema.

KBL 21.10.2007 16:55
Zitat:
Zitat von KarlKarl
Ja, aber ein Benutzer mit Administratorrechten, das ist praktisch gesehen das selbe. Es reicht nicht aus, noch ein Benutzerkonto zu erstellen, sondern man muss es in Systemsteuerung -> Benutzer auch noch zu einem eingeschränkten machen.
Meinst Du das allgemein, oder beziehst Du Dich auf die Virus-Scans, die
ich gemacht habe? Weil, den escan habe ich auch mit Admin-Rechten
abgehalten. War das nicht richtig?

Hier ist jedenfalls das Ergebnis:

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL
   
eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/17/2007 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "zlob Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 System found infected with savingbot shopper Spyware/Adware (foxuser.dbf)! Action taken: Keine Aktion vorgenommen.
 System found infected with zlob Trojan-Downloader (date.ico)! Action taken: Keine Aktion vorgenommen.
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen.
 System found infected with xrenoder Spyware/Adware (display.php)! Action taken: Keine Aktion vorgenommen.
 System found infected with zlob Trojan-Downloader (date.ico)! Action taken: Keine Aktion vorgenommen.
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen.
 System found infected with xrenoder Spyware/Adware (display.php)! Action taken: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
 Datei C:\WINDOWS\system32\directx.exe.suspicious//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\31exssd32g.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.ev" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6ex1.modul32s.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\setup.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.es" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp1.tmp infiziert von "Trojan-Proxy.Win32.Horst.zb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.4ex4.mhdd.exe.000.000//UPX infiziert von "Trojan-Proxy.Win32.Horst.ev" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\2c9834b0-7bedde93/BaaaaBaa.class infiziert von "Trojan.Java.ClassLoader.ao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-14b53757-484a52de.zip/BaaaaBaa.class infiziert von "Trojan.Java.ClassLoader.ao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\WINDOWS\$NtUninstallKB873339$\IEXPLORE.EXE__//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\WINDOWS\$NtUninstallKB887472$\IEXPLORE.EXE//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei C:\WINDOWS\system32\directx.exe.suspicious//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei G:\****\gnus\agent\nntp\news.gnus.org\gnus\ding-announce\654 infiziert von "Trojan-Spy.HTML.Bankfraud.ki" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
 Datei G:\****\gnus\agent\nntp\news.gnus.org\gnus\ding-announce\658 infiziert von "Trojan-Spy.HTML.Bankfraud.ki" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
 File C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.dmcpmpos_dll.000//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 File G:\bin\psexec.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.131". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Datei G:\bin\pskill.exe markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
 Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\microsoft\visual foxpro 9\foxuser.dbf
 Offending file found: G:\work\pics\icon pack\icone (ico)\date.ico
 Offending file found: G:\work\pics\icon pack\icone (ico)\games.ico
 Offending file found: G:\work\www\pgadmin\display.php
 Offending file found: G:\work\pics\icon pack\icone (ico)\date.ico
 Offending file found: G:\work\pics\icon pack\icone (ico)\games.ico
 Offending file found: G:\work\www\pgadmin\display.php
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
 Offending Folder found: G:\work\www\admin\libraries\dbi
 Offending Folder found: G:\work\www\admin\libraries\dbi
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\media-codec !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
 C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\434FG1W7\ii_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YVS1YXKJ\iv_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\hamster\hamster.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_CHS_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_CHT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_DE_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_ENU_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_ES_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_FR_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_IT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_JA_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_KO_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\WCE500\ARMV4i\NETCFv1.WM.ARMV4I.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_CHS_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_CHT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_DE_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_ENU_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_ES_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_FR_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_IT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_JA_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_KO_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_pt-BR_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce400\armv4\NETCFv2.ppc.armv4.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\armv4i\NETCFv2.wce5.armv4i.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\armv4i\NETCFv2.wm.armv4i.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\mipsii\NETCFv2.wce5.mipsii.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\mipsiv\NETCFv2.wce5.mipsiv.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\sh4\NETCFv2.wce5.sh4.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
 G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\x86\NETCFv2.wce5.x86.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Gescannte Dateien: 792319
 Gefundene Viren: 27
 Anzahl der desinfizierten Dateien: 0
 Umbenannte Dateien: 0
 Anzahl der gelöschten Dateien: 0
 Anzahl Fehler: 767
 Dauer des Scans bisher: 09:50:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Deaktiviert
 Überprüfung aller Festplatten :Aktiviert
 
Batchstart: 18:03:47,79
Batchende: 18:06:08,28
--------------------------------------------------------------------------------

Ich habe auch noch ein paar Anmerkungen und Fragen dazu:

Welche Warnungen vom escan sind wirklich ernst zu nehmen?

Die "Offending files" und "Ordner" z.B. scheinen mir harmlos zu sein,
andererseits möchte ich eine Warnung vor Zlob auch nicht auf die
leichte Schulter nehmen...

Zitat:
Zitat von eScan
Datei C:\WINDOWS\system32\directx.exe.suspicious//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus.
Die Endung "suspicious" stammt von mir. Ich habe noch Verweise auf
diese Datei in der Registry unter folgenden Schlüsseln gefunden:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DirectService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DirectService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectService

KarlKarls oben erwähnten castlecop-Link folgend, fand ich bei Sophos
u.a. heraus:
Zitat:
Troj/Crybot-B is registered as a new system driver service named "DirectService", with a display name of "DirectX Service" and a startup type of automatic, so that it is started automatically during system startup. Registry entries are created under:

HKLM\SYSTEM\CurrentControlSet\Services\DirectService\

Registry entries are created under:

HKLM\SOFTWARE\Microsoft\DirectHimc\
"HKLM\SOFTWARE\Microsoft\DirectHimc\" steht hier nicht in der Registry.

Bei den castlecops steht außerdem:
Zitat:
Added by an unidentified TROJAN! of the Sdbot family. Note: This worm\trojan is located in C:\%WINDIR%\ folder. Note: This is not the legitimate Windows Process. (Which is found in the System32 folder.) This worm\trojan file is found in the Windows or Winnt folder.
Hier weiß ich nicht, was ich tun sollte. Hilft es, die Registry
aufzuräumen, also die o.a. Schlüssel zu löschen, und die directx.exe
zu löschen?

Zitat:
Zitat von eScan
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\31exssd32g.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.ev" Virus.[...]
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6ex1.modul32s.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.ep" Virus.[...]
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\setup.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.es" Virus.[...]
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp1.tmp infiziert von "Trojan-Proxy.Win32.Horst.zb" Virus.[...]
Datei C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.4ex4.mhdd.exe.000.000//UPX infiziert von "Trojan-Proxy.Win32.Horst.ev" Virus.
Zu diesen Dateien habe ich nur Spuren in dem Temp-Verzeichnis
gefunden. Dort sind noch ein paar .confs und txts und so. Das kann ich
dann wohl alles löschen und dann ist der "Horst" erledigt, richtig?

Zitat:
Zitat von eScan
Datei G:\****\gnus\agent\nntp\news.gnus.org\gnus\ding-announce\654 infiziert von "Trojan-Spy.HTML.Bankfraud.ki" Virus.[...]
Datei G:\****\gnus\agent\nntp\news.gnus.org\gnus\ding-announce\658 infiziert von "Trojan-Spy.HTML.Bankfraud.ki" Virus.
Das war nur versuchtes Phishing und kann keinen Unfug angerichtet haben.

Zitat:
Zitat von eScan
File C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.dmcpmpos_dll.000//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a".
Hierzu gibt es eine ganze Menge Registry-Einträge.
Code:
HKCR\CLSID\{E37D767F-EADE-48BF-A717-ABED67DA3194}\InprocServer32
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E37D767F-EADE-48BF-A717-ABED67DA3194}\iexplore
HKLMACHINE\SOFTWARE\Classes\CLSID\{E37D767F-EADE-48BF-A717-ABED67DA3194}\InprocServer32
HKLMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E37D767F-EADE-48BF-A717-ABED67DA3194}
HKU\S-1-5-21-329068152-2111687655-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E37D767F-EADE-48BF-A717-ABED67DA3194}\iexplore
Löst es das Problem, wenn ich die Einträge lösche und die infizierte
Datei entferne?

Grüße,

KBL

KarlKarl 22.10.2007 05:03
Doch, einen Scan mit Adminrechten zu machen, ist schon richtig. Ich habe vermutet, dass Du das Hijackthis von dem Konto gemacht hast, dass Du normalerweise benutzt und wollte aufzeigen, dass das ein Adminkonto ist auch wenn es nicht "Administrator" heißt. Solltest Du aber wirklich ein eingeschränktes Konto nutzen und nur für das Hijackthis in das Adminkonto gewechselt sein, dann ist es hinfällig. Windows ist einfach so programmiert, dass man immer Adminrechte hat, wenn man sich nicht speziell darum kümmert, sie nicht zu haben.

Escan erzeugt eine Menge Fehlalarme, in den meisten Fällen jedenfalls. Bei dir sind wohl auch ein paar dabei, die meisten halte ich hier aber für echt.

directx.exe Die ist bei dir schon eindeutig identifiziert worden. Du klammerst dich jetzt an den sehr dünnen Strohhalm, dass die Beschreibung bei Sophos nicht exakt mit den Gegebenheiten auf deinem System übereinstimmt. In der Tat stimmt sie nicht ganz, da müsste stehen, dass ein Teil des Namens, unter dem das Teil in der Registry eingetragen wird, zufällig bestimmt wird. Anscheinend haben sie sich bei Sophos damit zufrieden gegeben, einen einzigen Versuch zu machen. Du kannst die Datei ja noch mal bei Virustotal hochladen, aber das wird auch keine Entwarnung bringen, manchmal hat der Escan auch Recht.

Meine Empfehlung lautet, das System platt zu machen und neu zu installieren. Außer der Backdoor (die alleine schon ein guter Grund dazu ist), sind weitere schwere Infekte festgestellt worden. Die Backdoor hat jemand anderes irgendwo auf dieser Welt zum Administrator deines Computers gemacht. Was der mit deinem System alles angestellt hat, weiss ich nicht, er hat auch kein Log hinterlassen, aus dem wir das ersehen könnten. Sicher ist nur, dass es nicht zu deinem, sondern zu seinem Vorteil geschehen ist. Schließlich ist ein Computer, den man benutzen kann, um Spam zu versenden, Server anzugreifen, usw schon was wert, kann man auch gegen Cash vermieten, den lässt man sich nicht so leicht wieder wegnehmen.

KBL 25.10.2007 19:53
Zitat:
Zitat von KarlKarl (Beitrag 300919)
Meine Empfehlung lautet, das System platt zu machen und neu zu installieren.
Gna. Dann muß es wohl sein.
Vielen Dank nochmal für Deine Bemühungen (und auch noch so früh am Morgen, puh!).
Ich geh jetzt mal 'ne lange Liste machen...
Grüße,
KBL


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131