Worm.Win32.Huhk.c von G-Data AVK gefunden
 

Seit heute habe ich auch Probleme mit diesem "Ding".
Rechner hochgefahren, ausser World of Warcraft nichts gemacht. PC runtergefahren und beim nächsten Neustart lag die Explorer.exe in der Quarantäne von von meinem G-Data AVK.

Klickt man Virusinformation in der G-Data Meldung, so landet man auf einer 404er Seite - gibts also nicht.
Sucht man per google nach diesem Wurm, findet man nur eine handvoll französischer und russischer Seiten. Keine englischsprachigen oder gar deutschen Seiten.

HiJackthis 1.99 konnte nichts verdächtiges finden und ich bin auch jede Zeile nochmal selbst manuell durchgegangen.
Autostart und alle RUN-Registry Einträge sind auch sauber, d.h. ich finde in denen nur Einträge die ich kenne.
Blacklight Rootkit Eleminator hat auch nichts gefunden.

Könnte es sein das der G-Data AVK da Probleme mit seiner Virensignatur hat?


Zur Sicherheit hier mal das HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:59:42, on 20.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\G DATA AntiVirus\AVK\AVKService.exe
D:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
D:\Programme\cFosSpeed\spd.exe
D:\mysql\bin\mysqld-nt.exe
D:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
D:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
D:\Programme\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\abc123.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - D:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - D:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [AVKTray] "D:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [RocketDock] "D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190538047000
O17 - HKLM\System\CCS\Services\Tcpip\..\{09243B06-3788-4055-B45F-D089F136B5B4}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{09243B06-3788-4055-B45F-D089F136B5B4}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{09243B06-3788-4055-B45F-D089F136B5B4}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{09243B06-3788-4055-B45F-D089F136B5B4}: NameServer = 192.168.1.1
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - D:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - D:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - D:\Programme\cFosSpeed\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySql - Unknown owner - D:/mysql/bin/mysqld-nt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
--
End of file - 6299 bytes

Hi,

Du hast ja eben schon im anderen Thread geschrieben :D schon sehr zufällig, die Idee mit dem Fehlalarm liegt da nahe. Werte doch mal die angeblich verseuchte Datei c:\windows\explorer.exe bei Virustotal aus, wenns ein False-Positive der Kaspersky-Siganturen ist, dann dürfte wohl auch nur die KAV-Engine oder gar keine dort anspringen. Poste dann auch mal dann die Prüfsummen der Datei (md5 und sha1).

Meine explorer.exe (aus Windows 2000):

Nachtrag: Vor ein paar Tagen hat der GDATA schonmal ein Fehlalarm gemeldet....

=> http://www.trojaner-board.de/47119-t...2-gorshok.html
=> http://www.trojaner-board.de/47106-t...tml#post310741

So sieht meine explorer.exe von WinXP aus:

Alle 32 Scanner von Virustotal haben nichts gemeldet, sogar Kaspersky ist still geblieben. ;-)
Sieht also für mich mittlerweile nach einem Fehlalarm von G-Data AVK 2008 aus.
Welche Engines stecken in dem G-Data? Kaspersky und wer noch?

HF9000

http://forum.kaspersky.com/index.php?showtopic=55668
:(

Bei mir hat auch GData diese Virensignatur gemeldet und ich habe nach der Quarantäne der infizierten Datei die Explorer.exe durch das Original (von der xp-CD) ersetzt. Danach hatte GDATA keine Beanstandungen mehr signalisiert!

Dummerweise hatte ich beim ersten infizierten Rechner die Datei gelöscht (war natürlich sehr blöde von mir:headbang:) und dann ging nix mehr mit xp ... Folge: Backup-System musste herangezogen werden!

Mal sehen, was sich hier noch rausstellt und woher der Virus kommen konnte!
Bin kein Experte; jedoch noch lernfähig:Boogie:

Oh man... :headbang::koch:
G-Data hält es ja offenbar nicht nötig darauf auch mal hinzuweisen...

Jo, sieht nach nem Fehlalarm aus. Die gepostete Dateigröße ist auch eine bekannte Dateigröße der explorer.exe. Zwar kein entscheidendes Kriterium, aber ein zusätzliches.

=> File Information - explorer.exe Fehler deinstallieren

Schimpf nicht gleich auf die GDATA-Engine rum...prinzipiell kann das jeder Engine und damit jedem Virenscanner passieren...

Dann hoffe ich mal das wir von weiteren Fehlalarmen verschont bleiben.
In diesem Sinne ... Gute Nacht! :sleepy:

Naja, war ja nicht der erste False Positive und geärgert habe ich mich auch, sowohl darüber das die Datei in Quaratäne landete und die Arbeit mit HJT und Blacklight usw.
Naja, hatte den Vorteil das der Rechner mal wieder gründlich unter die Lupe genommen wurde ;-)

Mir kann ein False-Positive nicht passieren denn ich hab keinen On-Access-Virenscanner im Einsatz! :party: :D

Sondern? :confused:

BRAIN + eingeschränktes Konto + aktuellen Firefox-Browser mit noscript

Virenscanner sind eh nur optionales Beiwerk...:rolleyes:

Auch noch mal hier zur Info: Heise meldet ebenfalls den Fehlalarm

=> heise online - Fehlalarm von Kaspersky legt Windows-Rechner lahm

Lösung des Problems:
http://www.rokop-security.de/index.php?s=&showtopic=16008&view=findpost&p=22382 0


Domino