Hi,

nein gehe nicht davon aus, dass das am 14.10.2007 08:59 passiert ist. Gehe nur davon aus, dass an diesem Zeitpunkt die Backdoor das letzte mal gestartet ist. Ich habe schon Backdoors gehabt, die sich die MSWINSCK.OCX mitbringen und sie bei jedem Start erneut in system32 legen, damit wird dann auch das Datum aktualisiert.

Gruß, Karl

Zitat:

Zitat von KarlKarl

Hi,

nein gehe nicht davon aus, dass das am 14.10.2007 08:59 passiert ist. Gehe nur davon aus, dass an diesem Zeitpunkt die Backdoor das letzte mal gestartet ist. Ich habe schon Backdoors gehabt, die sich die MSWINSCK.OCX mitbringen und sie bei jedem Start erneut in system32 legen, damit wird dann auch das Datum aktualisiert.

Gruß, Karl

Guter Hinweis,
also kann es sein, dass das Teil schon länger auf meinem System ist und nur da zum letzten mal aktiv war.

Oha, das wusste ich auch noch nicht @ KarlKarl,
danke für den Einwand.
Aber hättest doch wenigstenz die Logs von ihm
durch schauen können, das ist immer so viel.
Nichts desto trotz hab' ich nichts auffälliges gefunden.

Tue mir bitte den Gefallen und werte folgende Datei aus:
* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\shmgrate.exe

8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Beim Googlen treffe ich bei jedem User auf einen Trojaner, jedoch
steht wiederrum oft da, dass sie zum System gehört. Machst du
das bitte?

mfg Cleriker

Zitat:

Zitat von Cleriker

Aber hättest doch wenigstenz die Logs von ihm
durch schauen können, das ist immer so viel.

Hab ich auch, da ich da aber nichts aufregendes gefunden habe, habe ich es nicht rein geschrieben. Bei Tcpview ist mir zwar die Ansicht ohne die Übersetzung in Namen lieber, geht aber auch so.

Code: Alles auswählenAufklappen

ATTFilter

14.10.2007 08:59 109.248 MSWINSCK.OCX
14.10.2007 00:16 53.760 zlib.dll
         

Die erste ist die bereits erwähnte Datei, die zweite kann auch von der Malware mitgebracht worden sein. Ist (dem Namen und der Größe nach) eine harmlose Freeware-DLL für ZIP-Kompression, die überall gerne eingesetzt wird. Man kann sie mal probeweise entfernen, sollte aber ein Backup haben, für den Fall dass ein anderes Programm sie dann vermisst.

Die Escan-Meldungen sind typische Falschmeldungen, nerviges Thema ohne Ende.

Sieht alles danach aus, dass die aktive Backdoor entfernt ist, was sie aber zurück gelassen hat an Systemveränderungen wissen wir nicht.

C:\WINDOWS\system32\shmgrate.exe aus dem Silentrunners ist ein ganz normaler Eintrag, der in jedem Windows vorhanden ist.

Btw: Hier ist doch Acronis Trueimage installiert. Wofür macht man denn ein Image seines Systems, wenn nicht, um es in einem solchen Fall zurückzuspielen?

Zitat:

Hab ich auch, da ich da aber nichts aufregendes gefunden habe, habe ich es nicht rein geschrieben.

Oh sorry, das kahm erst nicht so rüber . . .egal

Zitat:

C:\WINDOWS\system32\shmgrate.exe aus dem Silentrunners ist ein ganz normaler Eintrag, der in jedem Windows vorhanden ist.

ja, denke ich inzwischen auch, aber . . .
C:\WINDOWS\system32\shmgrate.exe -> Trojan.W32.GASTER

mfg Cleriker

Ein Onlinescan der Datei kann nicht nie schaden, aber:

Castlecops
Symantec

Sieht mir danach aus, dass im harten Kampf um eine möglichst große Datenbank Name und Datei des Autostarts verwechselt wurden. Und jetzt schreiben es alle ab und schon gibt es ein neues Naturgesetz

Zitat:

Zitat von Cleriker

Tue mir bitte den Gefallen und werte folgende Datei aus:
* Dateien Online Überprüfen
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Beim Googlen treffe ich bei jedem User auf einen Trojaner, jedoch
steht wiederrum oft da, dass sie zum System gehört. Machst du
das bitte?

mfg Cleriker

Hier die Ergebnisse:

Jotti

Datei: shmgrate.exe
Auslastung: 0% 100%
Status: OK
Entdeckte Packprogramme:
-
Bit9 rapportiert: No threat detected (more info)

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Und jetzt noch Virustotal mit Hash und Dateigröße:

AhnLab-V3 2007.10.20.0 2007.10.19 -
AntiVir 7.6.0.27 2007.10.19 -
Authentium 4.93.8 2007.10.19 -
Avast 4.7.1051.0 2007.10.19 -
AVG 7.5.0.488 2007.10.19 -
BitDefender 7.2 2007.10.19 -
CAT-QuickHeal 9.00 2007.10.19 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.19 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5223 2007.10.19 -
Ewido 4.0 2007.10.19 -
FileAdvisor 1 2007.10.19 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.19 -
F-Secure 6.70.13030.0 2007.10.19 -
Ikarus T3.1.1.12 2007.10.19 -
Kaspersky 7.0.0.125 2007.10.19 -
McAfee 5145 2007.10.19 -
Microsoft 1.2908 2007.10.19 -
NOD32v2 2604 2007.10.19 -
Norman 5.80.02 2007.10.19 -
Panda 9.0.0.4 2007.10.19 -
Prevx1 V2 2007.10.19 -
Rising 19.45.42.00 2007.10.19 -
Sophos 4.22.0 2007.10.19 -
Sunbelt 2.2.907.0 2007.10.19 -
Symantec 10 2007.10.19 -
TheHacker 6.2.9.100 2007.10.19 -
VBA32 3.12.2.4 2007.10.19 -
VirusBuster 4.3.26:9 2007.10.19 -
Webwasher-Gateway 6.6.1 2007.10.19 -

weitere Informationen

File size: 42496 bytes
MD5: c836f4c95314d69b9c799f722199c8fb
SHA1: 72cf02746efdcd7e61733ed76d02f6f66061356c

Könnt ihr damit was anfangen?

Kann ich

Meine shmgrate.exe hat den gleichen MD5 und ich bilde mir ein, keinen W32/Gaster zu haben