Hallo erstmal - wie die meisten bin ich erst durch ein Problem mit meinem Rechner auf dieses Forum gestoßen und hoffe, dass mir hier geholfen werden kann.

Am letzten Sonntag meldete sich plötzlich Antivir bei mir, dass in der Datei Flashguard.exe (Pfad ../Programme/Flashguard/Flahguard.exe) ein Dropper gefunden worden sei.
Erstmal war der Schreck natürlich groß, aber Antivir konnte die Dateien löschen, und ich war der Meinung, ich hätte noch einmal Glück gehabt.
Heute dann allerdings in der Uni meinen Flashstick an den dortigen PC geschmissen, dort meldete sich direkt der AVG Virenscanner, es sei eben jener Dropper (nur von AVG als Trojaner klassifiziert) gefunden worden, der auch versucht hat, sich auf dem Unirechner festzusetzen.
Ich habe natürlich sofort auf dem Stick nachgesehen, und im Pfad ../System/Security/Flashguard.exe schlummerte auch wieder eben jene Datei.
Dort auch wieder alles gelöscht.

Soweit, so gut. Ich war dann natürlich wieder der Annahme, ich wäre knapp davongekommen.
Nun habe ich allerdings heute Nachmittag den Laptop meiner Freundin auf den Pfad untersucht, und zur Überraschung auch dort den entsprechenden Flashguard-Ordner gefunden, allerdings (noch) ohne die .exe drin.
Ein paar Minuten später erschien diese dann, gleichzeitig startete im Hintergrund der Prozess flashguard.exe .
Ich natürlich sofort mit Antivir drübergezogen, allerdings hat er flashguard.exe nicht(!) erkannt, obwohl die neuesten Definitionen geladen waren.

Meine Sorge ist jetzt:
Kommt das Mistding eventuell auch auf meinem Rechner immer wieder und wird nicht erkannt?
Wieso wurde auf dem Laptop meiner Freundin bei gleichen Virendefinitionen flashguard.exe nicht als Schadprogramm erkannt?
Wie kann ich sichergehen, dass ich den Trojaner bzw. Dropper sicher entfernt hab und wie kann ich die Verbreitung über USB-Sticks verhindern?

Zeitgleich mit dem ersten Fund wurde auch der Ordner ../Programme/Bonjour/ angelegt. Ich hab hier schon im Forum gelesen, dass dies nicht unbedingt ein Schadprogramm sein muss, jedoch hat mich die Tatsache, dass Flashguard bei meiner Freundin nicht gefunden wurde, sensibilisiert. Könnte da eventuell auch ein Schadprogramm hinterstehen, welches vom Dropper installiert wurde und nicht erkannt wird, und sich als Apples Bonjour ausgibt?

Danke im Voraus für die Hilfe!

Hallo nochmal. Ein kleines Update:

Antivir hat gerade eben, sowohl bei meiner Freundin als auch bei mir, ein Backdoorprogramm entdeckt, das in einer Datei, die seit ewigen Zeiten anstandslos durch den Scanner gekommen ist. Hier der Bericht von AntiVir:

Der Suchlauf über die ausgewählten Dateien wird begonnen:
-------------------------------------
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\emu\wgens\kaillerasrv\kaillerasrv.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde gelöscht.
------------------------------------
Ich hab auch im CC Cleaner die Startup Dateien durchforstet und da den Flash Guard gefunden und gelöscht.

Was kann ich sonst noch machen?

Hallo,
das hier mal bei Virustotal hochladen und das komplette Ergebnis posten:

Zitat:

C:\emu\wgens\kaillerasrv\kaillerasrv.exe

Erstelle zudem noch ein HijackThis Logfile und poste es hier, vergiss aber nicht alle aktiven Links und persönliche Namen zu editieren.

mfg

Nochwas:

Zitat:

Kommt das Mistding eventuell auch auf meinem Rechner immer wieder und wird nicht erkannt?
Wieso wurde auf dem Laptop meiner Freundin bei gleichen Virendefinitionen flashguard.exe nicht als Schadprogramm erkannt?
Wie kann ich sichergehen, dass ich den Trojaner bzw. Dropper sicher entfernt hab und wie kann ich die Verbreitung über USB-Sticks verhindern?

Zu
1.) Schadprogramme lassen sich ungern löschen
2.) Das kann ich dir leider nicht sagen
3.) Indem du das machst => Neuaufsetzen
4.) Indem du den USB Stick formatierst:
- bei gedrückter Shift-Taste anschließen (so wird die Autorun-Funktion unterdrückt)
- Rechtsklick und auf Formatieren.. gehen

mfg

Hi,

danke für die schnelle Antwort. AntiVir hat die Datei bereits gelöscht die ist nicht mehr vorhanden, von daher kann ich die leider nicht mehr hochladen.
Hab allerdings mal ein HijackThis File erstellt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:16, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\antivir personaledition classic\avnotify.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Zemtron/Eigene%20Dateien/Dreamweaver%203/Z_EXPLORER/zxp.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [BOTray] C:\WINDOWS\BOTray.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .WAV: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 7206 bytes
         

Ok, dann fixe bitte folgendes:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Zemtron/Eigene%20Dateien/Dreamweaver% 203/Z_EXPLORER/zxp.htm

Zitat:

C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

Bewusst installiert?

Lade dir dann Malwarebytes herunter (Link in meiner Signatur) und lass ihn einen Komplett-Scan durchführen; bei der Installation und des Scans musst du den AntiVir Guard und evtl. andere Hintergrundwächter deaktivieren.

mfg

Danke für die Info!

Werd das morgen mal durchlaufen lassen.
Im schnellen Modus hat das Prog bisher nichts gefunden.

Ist es denn theoretisch möglich, aus so einer Nummer noch mit einem "blauen Auge" davonzukommen?

Zitat:

Danke für die Info!

Werd das morgen mal durchlaufen lassen.
Im schnellen Modus hat das Prog bisher nichts gefunden.

Komplett-Scan wäre angebracht, schneller Scan ist sinnfrei

Zitat:

Ist es denn theoretisch möglich, aus so einer Nummer noch mit einem "blauen Auge" davonzukommen?

Kommt darauf an, auf was du andeutest

mfg

Also, im Grunde hoffe ich nur, dass ich dieses Mistding wieder vollständig entfernt bekomme, ohne meinen Rechner und den meiner Freundin vollständig neu aufsetzen zu müssen.

Bin im Moment noch im Büro, kann daher noch nichts neues über den Stand der Dinge sagen, aber im Moment sieht es so aus, dass ich:

- Die schadhaften Dateien löschen konnte
- Mit CC Cleaner den startup Eintrag von Flashguard löschen konnte
- AntiVir im Moment nichts mehr findet
- Super AntiSpyware nichts mehr findet
- Der Prozess flashguard.exe nicht mehr ausgeführt wird

Wie sicher kann man denn dann davon ausgehen, dass man so einen Mist vollständig entsorgt bekommen hat?

Zitat:

Wie sicher kann man denn dann davon ausgehen, dass man so einen Mist vollständig entsorgt bekommen hat?

Je nachdem, um welche Art Schadprogramm es sich handelt.

Danke nochmal für die immer schnellen Antworten!

Ich hab mich noch ein wenig quer im Internet informiert, anscheinend ist man sich über die Gefährlichket von flahsguard nicht so ganz einig.
Einzig den Hinweis fand ich brauchbar:

http://blog.threatfire.com/2008/06/removal-tool-no.html

Das Problem, dass ich einfach habe, ist der Umstand, dass auf dem Rechner 8 Semester Arbeit schlummern, und ich keine Möglichkeit sehe diese zu sichern, da sich der Mist ja auch per USB weiterverbreitet.

Falls Malwarebytes nichts mehr finden sollte im vollständigen Test, kann ich mir dann denn sicher sein, dass ich meinen PC noch ansatzweise gerettet hab, oder könnte sich das Schadprogramm unbekannt noch im Rechner befinden und irgendwann wieder loslegen?

Zitat:

Falls Malwarebytes nichts mehr finden sollte im vollständigen Test, kann ich mir dann denn sicher sein, dass ich meinen PC noch ansatzweise gerettet hab, oder könnte sich das Schadprogramm unbekannt noch im Rechner befinden und irgendwann wieder loslegen?

1.) Ja, MalwareBytes ist in der hinsicht recht aggressiv
2.) Das, was du hattest nicht, da es sich nicht um einen Backdoor Server oder Rootkit handelt.

Deine Semester Arbeit(en) sind keine ausführbaren Dokumente oder?
Wenn nicht, kannst du diese auch auf CD/DVD brennen.

mfg

Ok, super. Da fällt mir schonmal ein erster Stein vom Herzen.
Ich meld mich dann heute am Abend nochmal, wenn Malwarebytes den kompletten Scan durchgezogen hat.

Vielen Dank nochmal für die kompetente Hilfe!

Gern geschehen

Zitat:

Zitat von Dark Viruz

2.) Das, was du hattest nicht, da es sich nicht um einen Backdoor Server oder Rootkit handelt.

Deine Semester Arbeit(en) sind keine ausführbaren Dokumente oder?
Wenn nicht, kannst du diese auch auf CD/DVD brennen.
mfg

Wäre es denn theoretisch möglich, dass der Dropper den Backdoorserver, den Antivir gefunden und gelöscht hatte, in die .exe eingebaut hat?
Wäre es denn dann damit ausgestanden, dass ich den mutmaßlichen Backdoorserver entfernen konnte und den Dropper ebenfalls entfernt habe?

Zitat:

Wäre es denn theoretisch möglich, dass der Dropper den Backdoorserver, den Antivir gefunden und gelöscht hatte, in die .exe eingebaut hat?

Seien wir mal froh, das Malware keine Intelligenz hat

Zitat:

Wäre es denn dann damit ausgestanden, dass ich den mutmaßlichen Backdoorserver entfernen konnte und den Dropper ebenfalls entfernt habe?

Backdoor Server kann man nicht so leicht entfernen, nur durch Neuaufsetzen kann man sicher gehn, das wieder alles i.O. ist: Technische Kompromittierung
Bei Droppern ist das anders, theor. ist jedes Setup.exe ein Dropper, da es Software auf deine HDD installiert.
Das was du meinst, ist ein Trojan-Downloader. Dieser ladet neue Schadprogramme und installiert diese

mfg