Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: sve32win.exe.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.07.2003, 13:29   #1
krukulus
 
sve32win.exe.exe - Icon24

sve32win.exe.exe



Hallo,
habe folgenden Lümmel auf meinem Rechner entdeckt:
sve32win.exe.exe
Hatte sich im Systemordner versteckt.
NAV hat ihn als
Backdoor.SubSeven
isoliert.
Wer kann mir mehr Info's geben; ist die Sache damit erledigt oder steckt noch etwas in der Registrierung; startet irgendetwas unbemerkt mit???
Schon jetzt vielen Dank
Krukulus
__________________
"Wer ohne Rechtschreibfehler ist, werfe den ersten Kugelschreiber"

Alt 19.07.2003, 13:51   #2
CyberFred
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Komisch, die Datei ist bei Google nicht bekannt. Infos zu SubSeven findest du z.B. hier, aber ehrlich gesagt glaube ich nicht dass es ein SubSeven ist. Mache lieber mal einen Scan mit KAV und poste mal den Report von Trojancheck, um zu schauen was noch in der Registry klebt.

ciao
__________________

__________________

Alt 19.07.2003, 14:51   #3
krukulus
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Eben dass macht mich ja auch stutzig; dass Google dies Ding nicht kennt.
Aber wenn zwei Mal .exe hinter dem Dateinam steht, kann es ja bald nichts Gutes sein...
__________________
__________________

Alt 19.07.2003, 14:52   #4
Who Cares
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Du kannst die einzelne Datei auch Online mit KAV scannen (so sie kleiner 1 MB ist), das geht wahrscheinlich erheblich schneller als eine komplette KAV-Trial-Installation

http://www.kaspersky.com/remoteviruschk.html



Alt 19.07.2003, 14:59   #5
Lucky
/// Helfer-Team
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Das heißt nichts, wenn Google die Datei nicht kennt. Die Script Kiddies können die Dateien ja nennen wie sie wollen.

Das mit KAV Online Scan funktioniert aber nur wenn die Datei unter 1 MB ist. Wenn sie grösser sein sollte, dann sende sie an virus@rokop-security.de (gepackt mit einer kleine Info).

Björn [img]graemlins/teufel3.gif[/img]

__________________
Kein Support per PM!

Alt 22.07.2003, 21:26   #6
krukulus
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Nun gut, würde euren Tipps gerne folgen, nur... wie kriege ich das Ding aus der Isolation von NAV heraus, ohne dass ich mir selber wieder ein Kukuksei ins Nest lege ???

Kruki.
__________________
--> sve32win.exe.exe

Alt 22.07.2003, 21:58   #7
CyberFred
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Schau mal in den Quarantäneordner von NAV (also in das Verzeichnis). Da solltest du dann eine Datei finden, die irgendwelche komischen Nummern und Buchstaben hat. Genau das ist dann die infizierte Datei, nur, dass halt ihr Name und ihre Endung umbenannt wurde, sodass sie keinen Schaden mehr anrichtien kann.

ciao
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Alt 23.07.2003, 07:02   #8
krukulus
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Danke für den Tipp; habe die Datei (heißt bei NAV in der Quarantäne 75C6710C.exeund hat 380 kb) bei KAV online checken lassen.

Folgendes Ergebnis:

Current object: 75C6710C.exe
75C6710C.exe Packed: Crypt.Quarantine
75C6710C.exe Packed: UPX
75C6710C.exe Infected: Backdoor.SubSeven.21.c

Wenn jemand einem Dummie wie mir übersetzen könnte...wäre schon klasse !! Dann ein paar Hintergrundinfos, was dieses Mistding bei mir schon angerichtet haben könnte...wäre Sahne !!

So ganz nebenbei: Habe diese geänderte Datei mit NAV scannen lassen; keine Infektion festgestellt. Bei KAV dies Ergebnis. Ist das normal ??

Gruß

Kruki.
__________________
"Wer ohne Rechtschreibfehler ist, werfe den ersten Kugelschreiber"

Alt 23.07.2003, 07:20   #9
CyberFred
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Die ersten beiden Einträge bedeuten, dass die Schädliche Datei gepackt wurde (höchtwahrscheinlich von NAV, um das Teil unschädlich zu machen).
Die letzte Meldung ist die Bezeichnng des eigentlichen Trojaners, SubSeven 2.1.

ciao
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Alt 23.07.2003, 07:23   #10
CyberFred
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



</font><blockquote>Zitat:</font><hr />Original erstellt von krukulus:
So ganz nebenbei: Habe diese geänderte Datei mit NAV scannen lassen; keine Infektion festgestellt. Bei KAV dies Ergebnis. Ist das normal</font>[/QUOTE]Ja, leider ist es das, und wieder mal ein Beweis dafür, dass NAV nicht unbedingt empfehlenswert ist. NAV kann die Datei einfach nicht entschlüsseln, weshalb auch nichts gefunden wird, KAV hingegen kann das schon.

Schon echt lustig, dass NAV seine eigenes verwendeten Packer und Crypter nicht öffnen kann.

ciao
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Alt 23.07.2003, 07:29   #11
krukulus
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Nochmal ich;

habe den Report von Trojancheck als html-Datei und jetzt bitte nicht lachen: wie poste ich ihn ???
__________________
"Wer ohne Rechtschreibfehler ist, werfe den ersten Kugelschreiber"

Alt 23.07.2003, 09:27   #12
CyberFred
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Du gehst in den Report, markierst alles wichtige (also ab Registry-Standardeinträge), drückst Strg+C, gehst hier ins Forum und drückst dann an der gewünschten Stelle Strg+V, um den Report einzufügen.

ciao
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Alt 23.07.2003, 10:31   #13
krukulus
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



So, hier habe ich die Reporteinträge (sofern Ihnahlte vorhanden):

Registry - Standardeinträge
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run NVIEW rundll32.exe nview.dll,nViewLoadHook
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run FinePrint Dispatcher v4 C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NAV Agent C:\PROGRA~1\NORTON~1\navapw32.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run 0190 Warner C:\PROGRA~1\0190WA~1\WARN0190.EXE
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run pdfFactory Dispatcher v1 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run nwiz nwiz.exe /install

Registry - Shell Spawning
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINDOWS\System32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*

Registry - Active Setup
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath C:\WINDOWS\inf\unregmp2.exe /ShowWMP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{26923b43-4d38-484f-9b9e-de460746276c} StubPath %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\&gt;{881dd1c5-3dcf-431b-b061-f3f88e8be88a} StubPath %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED} StubPath %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be} StubPath rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\msmsgs.inf,BLC.Install.PerUser
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340} StubPath regsvr32.exe /s /n /i:U shell32.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath %SystemRoot%\system32\ie4uinit.exe
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820} StubPath C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install

Autostart - Standardeinträge
Pfad Dateiname Link zu
C:\Dokumente und Einstellungen\Krukulus\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\Krukulus\Startmenü\Programme\Autostart\ Wallpaper Aktualisieren.lnk C:\Programme\Desk-Timer\Desk-Timer.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ GoBack.lnk C:\Programme\Roxio\GoBack\GBTray.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ ZoneAlarm.lnk C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe

INI Dateien
Dateiname Wert Inhalt
C:\WINDOWS\win.ini load
C:\WINDOWS\system.ini shell Explorer.exe

Batch und Text Dateien
Dateiname Inhalt
c:\msdos.sys Kein Inhalt
c:\autoexec.bat Kein Inhalt
c:\config.sys Kein Inhalt

Wenn da einer durchblickt: meine Bewunderung !!
Wenn ich dann von einem PC-Guru eine Diagnose bekommen würde: meinen besten Dank !!

Kruki.
__________________
"Wer ohne Rechtschreibfehler ist, werfe den ersten Kugelschreiber"

Alt 23.07.2003, 10:53   #14
Lucky
/// Helfer-Team
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



Also ich kann da keine Malware erkennen, sieht meiner Meinung nach Ok aus. Aber mal schauen was die anderen sagen....

Björn

/edit: rechtschreibung....

[ 23. Juli 2003, 12:15: Beitrag editiert von: Lucky ]
__________________
Kein Support per PM!

Alt 23.07.2003, 11:05   #15
LeoDD
 
sve32win.exe.exe - Beitrag

sve32win.exe.exe



sieht alles gut aus, würd ich sagen [img]smile.gif[/img]
__________________
Erst, wenn man dreimal auf Holz klopfen will, stellt man fest, dass die Welt nur noch aus Plastik und Aluminium besteht.

Antwort

Themen zu sve32win.exe.exe
entdeck, entdeckt, erledigt, folge, folgende, folgenden, irgendetwas, meinem, rechner, registrierung, sache, starte, startet, systemordner, unbemerkt



Zum Thema sve32win.exe.exe - Hallo, habe folgenden Lümmel auf meinem Rechner entdeckt: sve32win.exe.exe Hatte sich im Systemordner versteckt. NAV hat ihn als Backdoor.SubSeven isoliert. Wer kann mir mehr Info's geben; ist die Sache damit - sve32win.exe.exe...
Archiv
Du betrachtest: sve32win.exe.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.