Beim Routinecheck nach dem täglichen Internetupdate von Antivir hat dieser folgendes gefunden:
C:\APPS\Nortonav\NIS
NIS.MSI
[FUND!] Ist das Trojanische Pferd TR/OLE.HiddenEXE
WURDE GELÖSCHT!
C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP47
A0017988.MSI
[FUND!] Ist das Trojanische Pferd TR/OLE.HiddenEXE
WURDE GELÖSCHT!
(Der Fundort überrascht mich insofern, daß dieser Norton, in dem's gefunden wird, seit fast 2 Jahren inaktiv und teils deinstalliert ist (hat sich nie komplett deinstallieren lassen)
Ich hab auch nirgends im Internet was zu diesem TR/OLE.HiddenEXE gefunden.

Hier ein Hijackthis-Log:
Logfile of HijackThis v1.98.2
Scan saved at 22:24:42, on 07.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\katz\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B25D8C8F-98C9-4F18-957E-7BC8BF8B50BB}: NameServer = 195.34.133.10,195.34.133.11


Kommt mir eigentlich nicht auffällig vor, oder überseh ich was?

Zur Zeit scannt grad escan seit etwas mehr als 30 min, hat bisher folgendes gefunden:
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\__unin__.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
Das erste davon ist schon seit geraumer Zeit auf meinem Rechner, und es konnte auch hier nicht geklärt werden, was es ist, bei den anderen beiden: Reicht es, sie einfach zu entfernen?

Bitte Antwort, damit ich hier saubermachen kann!
Danke
Eva

Hier die kompletten Funde von escan:
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Dokumente und Einstellungen\katz\Lokale Einstellungen\Temp\__unin__.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001039.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001074.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001091.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP1\A0001122.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\dmfiles.cab tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
File C:\WINDOWS\Temp\Altnet\pmfiles.cab tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.
File C:\WINDOWS\Temp\Altnet\Setup.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.

Kann ich das (bis auf diese eine restore.ins, über die bisher niemand weiß, was das ist, also lass ich sie lieber da) alles einfach entfernen und es ist Ruhe oder ist es schlimmer? Scheint ja (eben bis auf diese eine Datei) nicht in 'kritischen' Verzeichnissen zu liegen?

Grüße und Bitte um Rat
Eva

So. Ich hab den ganzen Dreck jetzt einzeln gesucht und entfernt und http://virusscan.jotti.org/de wg. der restore.ins konsultiert. Die finden:
File: RESTORE.INS
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
EXEPACK

AntiVir
No viruses found (1.48 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (1.16 seconds taken)
ClamAV
No viruses found (0.50 seconds taken)
Dr.Web
not a virus Tool.Prockill (1.17 seconds taken)
F-Prot Antivirus
No viruses found (0.48 seconds taken)
Kaspersky Anti-Virus
not-a-virus:NetTool.PsKill (1.50 seconds taken)
mks_vir
No viruses found (2.25 seconds taken)
NOD32
No viruses found (1.67 seconds taken)
Norman Virus Control
No viruses found (23.12 seconds taken)

....nun ja....dann löschen wir's halt mal und eine davon hab ich sicherheitshalber umbenannt aufgehoben - falls das doch was Wichtiges war.

Hab ich nochwas übersehen oder sollte jetzt wieder alles passen?
Eva

@eva
lade dir clearprog bei www.clearprog.de
programm starten, alle häkchen bei windows und IE setzen, löschen und staunen wieviel mb sich angesammelt hatte.

zur norton gibt es ein deinstallationstool, da schaust du am besten bei symantec

die gefundene ergebnisse von escan, adware und toolbar manuell entfernen.
jedoch NetTool.PsKill nicht entfernen

chaosman

Danke für Info!
Dieses NetTool hab ich jetzt schon aus den System Volume Information...blablabla entfernt, aber das in Windows liegt noch dort.
Clearprog seh ich mir gleich an!

Clearprog hat tatsächlich jede Menge entfernt:
Number of deleted files: 15.978 Entries/Files
Number of deleted filesize: 922,2 MB (966.996.364 Byte)

So...und jetzt hoff ich, dass hier wieder alles sauber ist.

Hi,

das Gleiche ist mir auch passiert.

Nach dem Update von Antivir vor zwei Tagen wurde beim scannen die Warnung ausgegeben bez. TR/OLE.hiddenEXE gelöscht.

Im Internet und bei sämtlichen mir bekannten AV-Herstellern konnte ich vorgestern überhaupt nichts dazu finden.

Auf meinem Rechner wurde ein msi-file im \winnt\installer Verzeichnis entfernt.

Leider habe ich mir den Namen des msi files nicht aufgeschrieben; Der Report ist ebenfalls überschrieben worden.

Es war ein kurzer Name (5 oder 6 zeichen lang), in dem sicher folgende Zeichen auftauchten:9, 6, c, 1. Die weiteren Buchstaben kann ich nicht mehr sicher nennen.

Irgendwie erschien mir dies unheimlich. Da ich mit Router, NAT, Zonealarm und Antivir (tägliche Updates) arbeite, dachte ich, mir könnte dies nicht passieren.

Ist mittlerweile bekannt, was dieser Trojaner anrichtet?

Grüße,
Scanner

also, ich habe die gleiche meldung seid gestern auf dem rechner.. habe auch im internet nix gefunden.. offenbar hat es was mit der systemwiederherstellung zu tun.. habt ihr auch xp drauf ?! dann solltet ihr die ausschalten vor dem neustart und dann nochmal scannen.. ich weiss nicht, obs hilft, weil ich leider zur maloche weg musste..

Es scheint sich wohl um einen Fehlalarm von Antivir zu handeln, daher sollte man aufpassen und keine Dateien löschen, ohne sich vorher zu informieren oder es zunächst am besten ignorieren. Die zunächst hier vorgeschlagene Deaktivierung/Aktivierung der Systemwiederherstellung löscht keine wichtigen Files, schadet also nicht, falls aber die Warnung evtl. wichtige Windowsdateien betrifft, kann das Löschen dann eventuell erst wirklich Probleme bringen.

Siehe auch:

http://www.free-av.de/cgi-bin/ubb/ul...&f=12&t=004918


P.S.: Virenscanner IMMER so einstellen, dass vor einer Aktion/Löscung nachgefragt wird, ein automatisches Löschen bedeutet weniger Aufwand ist aber im Fall eines Fehlalarms u.U. fatal.

na klasse, ich habe mich schon gewundert, warum mein antitrojaner nix fand, habe natürlich alle dateien gelöscht, bin ja gespannt, ob heute abend mein rechner noch läuft..

Die MSI-Files sind nicht wirklich wichtig, solange du nur solche gelöscht hast, brauchst du dir keine Sorgen zu machen. Sie gehören zur Installationsroutine eines Programms und du brauchst sie eigentlich nur, falls du es reparieren willst, für die Funktion eines bereits installierten sind sie nicht nötig. Im Zweifelsfall einfach das Programm neu installieren, dann sind die MSI-Files auch wieder da.

na, dann bin ich ja beruhigt, habe nur das gelöscht, was er gefunden hatte.. danke..

Hallo,

habe auch die Meldung nach dem Update von Antivir bekommen und die Datei gelöcht.Bis jetzt funktioniert noch alles, aber schaun mer mal..

Was mir aufgefallen ist, dass der "Fund" nur auf dem Rechner bei dem Norton Antivirus deinstalliert wurde war.Alle anderen auch XP zeigten die Meldung nicht.Kann sich ja um reinen Zufall handeln....

Zitat:

Zitat von topcarve

Hallo,

habe auch die Meldung nach dem Update von Antivir bekommen und die Datei gelöcht.Bis jetzt funktioniert noch alles, aber schaun mer mal..

Was mir aufgefallen ist, dass der "Fund" nur auf dem Rechner bei dem Norton Antivirus deinstalliert wurde war.Alle anderen auch XP zeigten die Meldung nicht.Kann sich ja um reinen Zufall handeln....

auf meinem rechner war auch mal norton drauf.. obwohl ich mit allen möglichen programmen die registry gesäubert habe, kann ich nichts mehr von norton installieren.. vielleicht hat ja das wirklich en zusammenhang, immerhin ist antivir ja ne konkurenz für die..