Trojaner-Board - Netzwerkvirus greift Internetverbindung an (rhscft.exe)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Netzwerkvirus greift Internetverbindung an (rhscft.exe) (https://www.trojaner-board.de/88218-netzwerkvirus-greift-internetverbindung-rhscft-exe.html)

Netzwerkvirus greift Internetverbindung an (rhscft.exe)

Hallo,
ich habe vor nicht allzu langer Zeit hier ein Netzwerk eingerichtet. Die PCs stehen alle hier im Haus und sind privat genutzt.
Nun habe ich an zwei PC in dem jeweils freigegebenen Netzwerk-Ordner für den Computer eine exe Datei gefunden.
Die hatte verschiedene Namen. Eine habe ich ausgeführt, aus Neugier ;-)
Danach verschwand sie und es tauchte das Verbindungsfenster von XP auf. (verbinden mit..)
Aufgefallen ist mir gleich das dieses Fenster in der Taskleiste ein anderes Symbol verwendete, nämlich genau das was auch das Programm verwendete.
Die Datei war auch nach einem Neustart nicht mehr da und es öffnete sich ca. 4 mal das "verbinden mit.." fenster mit dem symbol der verschwundenen exe. datei.
Auf einem anderen Computer habe ich dieselbe datei gefunden, jedoch nicht ausgeführt. hier die daten:

Name: rhscft.exe
Beschreibung: FLPG778701HZ39K31AFMBAHERS
Copyright: WWEJ551601XA39G31SBPQNCZHT
Wert (Dateiversion): 988.258.243.12
Kommentare: MCWK318501BQ39I31KOSHWBVLW
Sprache: Belarussisch

gescannt aber nicht als Virus erkannt.
Im Anhang ein Bild von der Datei mit dem typisch verwendetem Symbol.

Das ding macht sicherlich nix gutes...

Lade mal diese Datei auf VirusTotal hoch und Poste hier mal alles was die sagen..
hxxp://www.virustotal.com/de/

Zitat:

Ergebnis: 14/42 (33.34%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.31 2010.07.15 Trojan.Win32.Otran!IK
AhnLab-V3 2010.07.15.01 2010.07.15 -
AntiVir 8.2.4.12 2010.07.15 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.15 -
Avast 4.8.1351.0 2010.07.15 AutoIt:Balero-E
Avast5 5.0.332.0 2010.07.15 AutoIt:Balero-E
AVG 9.0.0.836 2010.07.15 Packed.AutoIt
BitDefender 7.2 2010.07.15 -
CAT-QuickHeal 11.00 2010.07.15 -
ClamAV 0.96.0.3-git 2010.07.15 Trojan.Autoit-77
Comodo 5439 2010.07.15 TrojWare.Win32.Autoit.~d01
DrWeb 5.0.2.03300 2010.07.15 Win32.HLLW.Autoruner.based
eSafe 7.0.17.0 2010.07.15 -
eTrust-Vet 36.1.7710 2010.07.15 -
F-Prot 4.6.1.107 2010.07.15 -
F-Secure 9.0.15370.0 2010.07.15 -
Fortinet 4.1.143.0 2010.07.15 -
GData 21 2010.07.15 -
Ikarus T3.1.1.84.0 2010.07.15 Trojan.Win32.Otran
Jiangmin 13.0.900 2010.07.15 TrojanDownloader.Zlob.xcl
Kaspersky 7.0.0.125 2010.07.15 -
McAfee 5.400.0.1158 2010.07.15 W32/Autorun.worm.zf.gen
McAfee-GW-Edition 2010.1 2010.07.15 W32/Autorun.worm.zf.gen
Microsoft 1.5902 2010.07.15 -
NOD32 5282 2010.07.15 Win32/Packed.Autoit.Gen
Norman 6.05.11 2010.07.15 -
nProtect 2010-07-15.02 2010.07.15 -
Panda 10.0.2.7 2010.07.15 -
PCTools 7.0.3.5 2010.07.15 -
Prevx 3.0 2010.07.15 -
Rising 22.56.03.04 2010.07.15 -
Sophos 4.55.0 2010.07.15 -
Sunbelt 6587 2010.07.15 Trojan.Win32.AutoIt.gen.1 (v)
SUPERAntiSpyware 4.40.0.1006 2010.07.15 -
Symantec 20101.1.1.7 2010.07.15 -
TheHacker 6.5.2.1.316 2010.07.15 -
TrendMicro 9.120.0.1004 2010.07.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.15 -
VBA32 3.12.12.6 2010.07.15 Trojan.Autoit.F
ViRobot 2010.7.12.3932 2010.07.15 -
VirusBuster 5.0.27.0 2010.07.15 -

Hab den Rest mal weggelasen.

OK..Jetzt haben wir die Bestätigung das es sich um einen Trojaner handelt.

Also du hast geschrieben du hast sie ausgeführt und dort erscheind ein Verbindungs Fenster jedes mal wenn du den PC anhasst.

Lade dir bitte mal den CCleaner runter.
CCleaner - Download - CHIP Online

Öffne CCleaner. Geh danach auf EXTRAS -> Dann auf Autostart

Und schau dort in der Liste ob du diese .exe findest.
Wenn ja drauf Drücken dann auf -> EINTRAG LÖSCHEN.

Falls nicht mach mal bitte einen Screenshot.

Dann den PC neustarten und somit haben wir sie erstmal aus dem AutoStart raus.

die war im autostart nicht zu finden.
Sie wurde aber im security task manager entdeckt. War die gefährlichste datei aufm pc. Stand ganz oben. Hab sie dort in Quarantäne gesteckt.
Mit dem "Malwarebytes' Anti-Malware" Programm wurden ebenfalls zwei Infizierte Objekte gefunden. Hier die Logs dazu:

Zitat:

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.

Nach diesen Aktionen wird nichts infiziertes oder gefährliches (im task manager) mehr gefunden, und die datei ist aus dem autostart raus. Ich finde (bisher) auch keine exe. der mehr.