|
4 Viren in Dateien, aber System sauber? Hallo Zusammen, habe heute eine Rechner zur Durchsicht bekommen und hab prompt 4 Trojaner in Dateien gefunden, die laut Aussage ausgeführt wurden, aber soweit ich sehen kann bzw. HiJackThis und AntiVir übreprüft hat, keine Schäden angerichtet haben. Der PC verhält sich ganz normal, die Firewall meldet auch nichts. Natürlich bin ich mir da nicht sicher, deshalb poste ich das einfach mal: Folgende Trojaner wurden gefunden: TR/Horst.aae.6 TR/Proxy.Horst.aae.8 TR/Proxy.Horst.aae.9 TR/Proxy.Horst.aae.14 Bei Virustotal habe ich die 4 Datein auch getestet und hab ein sehr durchwachsenes Ergebnis bekommen (immer so um 40%). Meistens haben folgende Hersteller etwas gefunden: AntiVir AVG CAT-QuickHeal eSafe FileAdvisor F-Secure Norman Panda Prevx1 Rising Sophos VBA32 Webwasher-Gateway Das Log sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 12:51:57, on 06.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\mmc.exe C:\Dokumente und Einstellungen\xxx\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{ECDC4290-5478-412F-92E7-BE7FDBECCA5B}: NameServer = 192.168.123.253 O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe Bitte sagt mir was Ihr davon haltet.... Mich würde es auch interessieren was die machen bzw. evtl. gemacht haben... Vielen Dank schonmal... MfG spro |
Mal zu den Viren, den TR/Proxy.Horst.aae.14 hatte ich auch mal, ich will nich verdächtigen, aber der kommt aus nem keygen ;) Er erstellt eine Datei, die die Signatur "TR/Drop.Agent.cwr" enthält ;) Hier mal mein Antivir-Log (Hab mal die Datei, in der der Trojaner enthalten war unkenntlich gemacht, aus verschiedenen Gründen) Er ist zurzeit sehr verbreitet und soweit ich weiß is das 'n Proxy-Virus ^^ Zitat:
|
Naja, erstellt scheint die Datei nichts zu haben, da im ganzen System mit AntiVir nichts zu finden ist. Die Dateien heissen hier ganz unterschiedlich, was das für welche sind kann ich nicht sagen, da der Rechner nicht von mir ist... aber ich kann es in Erfahrung bringen indem ich Sie nochmal starte?! |
Schicke die Daten (wo du den Virus herhast), wenn du weißt welche, mal hier hin: Jotti Online Malware Scan |
Hab die Dateien mal gestartet... jepp, scheinen Keygens zu sein! Erstellt wird aber nichts... was macht dann bitte solch ein Proxy-Virus? Er muss sich doch irgendwo eintragen... achso hier der Test: Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: UPX Bit9 rapportiert: Low threat detected (more info) A-Squared Keine Viren gefunden AntiVir TR/Proxy.Horst.aae.9 gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Proxy.UFS gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Troj.Proxy.W32.Horst.aae gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control W32/Spybot.dam gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Hack.Win32.Keygen.a gefunden Sophos Antivirus Mal/Generic-A gefunden VirusBuster Keine Viren gefunden VBA32 Trojan-Proxy.Win32.Horst.aae gefunden |
also bei mir hat sich immer was abgesetzt aber (ich benutze auch anti vir) nach dem löschen war alles wieder clean, also scheint dein system sauber zu sein, aber lösche diese daten lieber |
Ich hab gerade mal die dateien in einem virtuellen System gestartet und einen Verzeichnismonitor mitlaufen lassen.... die einzigen Dateien die geändert werden sind in folgendem Verzeichnis: C:\WINDOWS\system32\wbem\Repository\FS |
Zitat:
Hallo spro, wo wurden die gefunden? Pfadangabe bitte. Bitte Java und Adobe updaten. Gruß cad |
Auf einer separaten Partition D:\Download\ Klar kein Problem mach ich! Warum gerade Adobe und Java? |
Sind beide veraltet. :) |
das hätte ich im Zuge dessen sowieso gemacht... aber zurück zum Problem... kann ich das System meinem Kunden wieder so zurück geben wenn die dateien gelöscht sind oder wird eine Neuinstallation fällig? |
Deinem Kunden? |
Ja, habe ich doch geschrieben, das System gehört nicht mir... hab den Rechner von einem bekommen der mich beauftragt hat den mal zu überprüfen und evtl. aufzurüsten. Deswegen meine Frage... |
Das Dir die Kiste nicht gehört, habe ich gelesen. Das die von einem Kunden ist, bedeutet wohl, Du bekommst Kohle dafür!:koch: Sonst hättest Du Kumpel/Freund gepostet. Dann solltest Du ja wissen, was noch alles getan werden muss. Für mich ist hier EOD |
sorry, aber da ist man einmal ehrlich und dann das... ich möchte nicht wissen wieviele hier unterwegs sind und sich das Wissen zu nutze machen und dafür Kohle verlangen... profitieren wird aber jeder der das liesst und hier die Diskussion abbrechen würde ich jedenfalls nicht... solche Threads gibt es nämlich genug! |
hallo mein antivir hat ähnliches gemeldet. gibt es noch weitere infos zu diesem TR/Horst.aae.6?? würde mich sehr interessieren, bin auch nur rein privat hier. danke vorab :) |
Hallo pesto, um zu zeigen, dass ich nicht nur helfe wenn ich was dafür bekomme meld ich mich und poste mal das was ich danach gemacht habe: Nachdem ich in einem virtuellen System die Datei(en) auf einem frisch installierten System mit AntiVir und einem Verzeichnismonitor gestartet habe, hab ich feststellen müssen das weder neue Dateien noch Dateien (die wichtig wären) verändert wurden. Auch eine Überprüfung danach mit verschiedenen Scannern haben auf dem System nichts gefunden... leider war das System von meinem "Kunden" auf dem die Dateien gestartet wurden, dermassen überladen von unnützem Zeug und Rückstände von alter schlecht gelöschter Software, so das ich mich entschlossen habe ihm es komplett neu auzusetzen... somit war die Unsicherheit, ob doch was beschädigt wurde, weg... klar, das ist jetzt nicht das was Du hören wolltest, aber zu Deiner Meldung hab ich aber noch eine Frage: wurde die Datei vorher schonmal ausgeführt oder nicht? Wenn nicht und es kam die Meldung, lösch die Datei und alles ist in Ordnung! Wenn doch, stehe ich natürlich auch da und frage mich bis heute... wurde was beschädigt, verändert oder sonstwas oder ist/war das ein reiner Fehlalarm?! Zu sagen, das Dein System sauber ist, möchte oder getraue ich mich nicht! ...vielleicht kommt doch noch eine andere aussagekräftigere Antwort dazu! MfG spro |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board