|
Windows Sicherheitsupdate erstellt merkwürdige Ordner Hallo zusammen! Ich hab zwar keine Ahnung ob ich wirklich hier richtig (wenn nicht, dann verschieb es bitte jemand), aber zumindest geht meine Vermutung dahin, dass es sich um einen Trojaner oder ähnliches handeln könnte. Also, auf dem PC meiner Eltern spielen sich in letzter Zeit recht merkwürdige Dinge ab.. Auf dem Rechner ist Windows 2000 installiert und da ist es ja normal das hin und wieder, wie ich jetzt gelesen habe ungefähr einmal im Monat, ein Sicherheitsupdate kommt. Die ganze Zeit war das auch so und wir haben diese Updates immer schön brav installiert. Seit neuestem kommen diese Update aber andauernd gerade in der letzten Stunde ungefähr 5-6 Stück, was aber sicher doch nicht normal ist, oder? Wenn man dann auf installieren klickt macht er irgendwas und behauptet er sei fertig. Wenige Minuten später will er dann das nächste installieren. Eine Endlosschleife... Aufgefallen ist mir jetzt das jedesmal wenn er ein solches Update installiert ein neuer Ordner auf einer Partition erscheint die für Spiele u.ä. genutzt wird. Nicht auf der Partition auf der das System liegt. In diesem Ordner ist dann ne Textdatei mit irgendeinem ellenlangen Protokoll auf Englisch mit dem ich nichts anfangen. Irgendein Zugriff wird da dokumentiert so wie es mir scheint. Der ganze Prozess dauert so im Schnitt drei Sekunden. Merkwürdig ist auch die Bezeichnung der Ordner, z.B.: 18a5b937bab5192bf7 oder 12f6c7d74ac360ae91e0dc. Aufgefallen ist mir noch das diese angeblichen Sicheheitsupdates offenbar für das SP2 sind, obwohl SP4 installiert ist. Einen Virencheck habe ich gemacht, der allerdings nur einen wohl "harmlosen" Virus entdeckt und eliminiert hat. Das Problem bestand weiterhin. Als nächstes habe ich dann einen Check nach Trojanern und sonstiger Malware gemacht, der auch prompt 776 Treffer gelandet hat. Diese Treffer habe ich einfach mal in Quarantäne geschickt, da ich mit den meisten Sachen nichts anfangen konnte und ich Bedenken hatte irgendetwas zu zerstören was vielleicht noch gebraucht wird. Nützt diese Quarantäne denn irgendwas, denn geändert an dem Problem hat sich nichts? Kann damit irgendwer was anfangen und mir erklären was das sein soll? Vielen Dank für jede Hilfe, bin ziemlich ratlos. Gruß Edith: Der Virencheck wurde mit Antivir gemacht und der zweite Check nach Trojaner hiermit: a-squared Free 2.0 |
Hat hier niemand mal zumindest ne Idee? Bin auch für Mutmaßungen offen und wenn noch irgendwelche Infos gebraucht werden, nur fragen... |
Hallo, also als erstes solltest du uns mal sagen, was für ein "harmloser" Virus gefunden wurde.....wenn möglich mit Pfadangabe usw. Dann wäre ein Hijacktis LOG nicht verkehrt...alles dazu in meiner SIG! Mal sehen ob man daraus was sieht...dann sehen wir weiter! Gruß Mellosun |
Hi und danke für deine Reaktion! Zunächst das Ergebnis des Virenscans: Antivir hat unter dem folgenden Pfad (C:\WINNT\systems32\ezPobStub.exe) etwas erkannt was er als verdächtigen Code mit der Bezeichnung HEUR/Malware bezeichnet hat. Die entsprechende Datei konnte nicht gelöscht werden, weshalb Antivir sie unter Quaratäne gesetzt hat. Das HiJackThisLog sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 12:19:39, on 06.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\LVCOMSX.EXE C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINNT\system32\P2P Networking\P2P Networking.exe C:\WINNT\system32\internat.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe E:\PROGRA~1\WINZIP\wzqkpick.exe E:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: ReplaceSearchCtl Class - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINNT\system32\replaceSearch.dll (file missing) O2 - BHO: Cas Class - {B5F3970B-745E-46AC-B890-E08F69777D80} - C:\WINNT\system32\ca2.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = E:\Programme\VR-Networld\vrtoolcheckorder.exe O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing) O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Ich hoffe jemand hier kann was damit anfangen, denn ich kann es nicht wirklich. Wär also nett wenn jemand nen Blick draufwerfen könnte. Danke schön und schöne Grüße |
Also ich kenn mich mit Windows 2000 ja nicht sonderlich aus aber ich denke das mit dem merkwürdigen ordner sollte normal sein. Zumindest ist das bei Windows XP ein bekanntes Phänomen. Dazu ein Link:CHIP Online - Forum Homepage Questions (HPQ) - [HPQ] msxml4-KB927978-enu.log - 1 Ich habe zwei solche Ordner übrigens auf meine Daten Partition: enthalten jeweils eine Datei die ungefähr so heißt: msxml4-KB927978-enu.log Ich würde mir über die Ordner keine Gedanken machen wenn es bei dir so ist wie bei mir und mich mehr auf den Trojaner konzentrieren. Böse Einträge sollten sein: C:\WINNT\system32\P2P Networking\P2P Networking.exe Dazu wieder ein Link: Symantec Security Response - Adware.P2PNetworking Dein Antivirenprogramm hat außerdem schon ganze Arbeit geleistet. Es hat einiges an adware rausgehauen. Die verbleibenden Registryeinträge noch fixen. Sollte so ziemlich alles adware gewesen sein wo hinten (file missing) dransteht. Des weiteren mal überprüfen ob die von Antivir gefundene Datei noch existiert und wenn ja diese bei Virustotal hochladen: http://www.virustotal.com/en/indexf.html |
Zitat:
Zitat:
Kann ich diese Sachen einfach löschen und wie mache ich das? Ich beutze hin und wieder das Programm Tuneup Utilities, damit kann man die Registry bereinigen. Genügt das, oder muss ich da tiefer einsteigen? Vielen Dank für die Hilfe. Schönen Gruß |
Hallole, ja, daß mit TuneUp würde mich auch interessieren. Schafft es das Programm tatsächlich, die Registry zu bereinigen, oder sollte man das wirklich manuell machen? Gruß Wally |
Ja du sollst auf der Seite die ich verlinkt hab die Datei die von Antivir als Virus erkannt wird hochladen. Außerdem hast du ja mit Hijackthis dein Logfile erstellt. Nach einem Scan öffnet sich ja ein kleines Fenster in dem du böse Einträge ankreuzen kannst. dann muss es noch einen Button geben der Fix Checked Heißt also machst du noch mal einen check mit HJT und kreuzt alles böse an und klickst auf fix checked. Und Tune Up säubert natürlich keine bösen Einträge es säubert z.B. nur den Autostart was das System eventuell schneller macht. Bitte natürlich das Ergebniss von Virustotal dann posten bzw. sagen ob es die Datei überhaupt noch gibt. |
Zitat:
|
Hi! Hab die Datei mal bei Virustotal hochgeladen: Zitat:
Das Problem mit den Updates scheine ich jetzt auch im Griff zu haben, der Lösungsvorschlag aus dem Link hat zumindest bis jetzt funktioniert. Im Logfile von HiJackThis habe ich neben den genannten (wo "file missing" dahinter steht) noch ein paar weitere Einträge gefunden die mit "no file" bezeichnet wurden. Kann ich die auch löschen bzw. sind das potentiell bedenkliche Sachen? Allen danke schön für die Hilfe. Schönen Gruß |
Hi, es wurde nichts gefunden, weil die Datei verhindert hat, dass sie ausgewertet wird. Wie du selbst sehen kannst ist die ausgewertete Dateo 0b groß, das heißt einfach leer. Falls du die Datei nochmal auswerten lassen willst würde ich empfehlen sie vorher in zb. virus.exe umzubenennen. Was dein Logfile angeht: Die Einträge "no file" und "file missing" sind nicht von Bedeutung weil die Erkennung da nicht wirklich richtig funktioniert. Was man allerdings aus deinem Log erkennen kann, ist dass du dir die searchbar eingefangen hast. Also fängst du am besten damit an dir die killbox herunterzuladen, Dann fixt du mit HJT folgende Einträge: Zitat:
Anschließend bitte die beiden Dateien Zitat:
Dann solltest du fertig sein. :) Kennst du folgende Datei, bzw kannst mir sagen was sie tut? Zitat:
In die Falle bin ich heute auch schon getappt. :o (nur, dass ich gleich empfohlen hab neuaufzusetzen, weil p2pnetworking.exe ein Backdoortrojaner ist :heilig: ) P2P networking/p2p networking.exe ist eine legitimie Windowsdatei p2p networking/p2pnetworking.exe und p2pnetworking/p2pnetworking.exe sind dagegen Trojaner, meistens mit Backdoor. DIe von dir verlinkte Adware erstellt folgende Dateien im bereits bestehenden Ordner p2p networking: %System%\P2P Networking\Peer-to-peer networking.exe %System%\P2P Networking\Marshal.dll %System%\P2P Networking\P2P Networking.eng %System%\P2P Networking v126.cpl %System%\P2P Networking\Cache\*.* %System%\P2P Networking\Cache\Database %Windir%\Downloaded Program Files\WebP2PInstall.dll Die p2p networking.exe ist da nicht dabei. ;) lg myrtille |
Hi myrtille! Die von dir angesprochene Datei kenne ich jetzt nicht, könnte mir aber vorstellen das die von einem Update des Firefox stammt, da ich den einmal über web.de upgedatet habe. Diese andere Datei mit dem p2p networking, was bewirkt die denn? Habe sie nämlich bereits gelöscht und bis jetzt aber noch keine Auswirkungen festgestellt. Muss man die haben? Was sind die beiden für die Dateien (C:\WINNT\system32\replaceSearch.dll C:\WINNT\system32\ca2.dll)? Handelt es sich hierbei um Trojaner oder wie? Die Searchforit Toolbar war mir auch aufgefallen und wäre bei nächster Gelegenheit gelöscht worden. Woran erkenne ich denn an den Logfiles welche Dateien ich löschen kann weil sie problematisch sind? Würde das ganze ja doch gerne verstehen damit ich mir vielleicht irgendwann auch mal selbst helfen kann... Danke schön und Gruß |
Die beiden erwähnten Dateien gehören zu der Searchforit-Toolbar und sind sozusagen das was diese Toolbar am Leben hält. Durch ein simples Fixen dürftest du die nämlich nicht los werden. Um die Bar loszuwerden einfach den Anweisungen aus meinem ersten Post befolgen, denk ich. Was die p2p networking.exe Datei angeht: Sie ist nicht böse, allerdings auch nicht unbedingt notwendig. Ich schaue so Sachen meist hier nach(die Datei zB unter Startup List). Mal abgesehen davon, dass man nach ner Weile nen Blick entwickelt. (Mein Tip ist übrigens, dass sie noch da ist. ;) Ganz so leicht lassen sich solche Dateien meist nicht löschen.) Wenn du jetzt erstmal ein sauberes Logfile hast, würde ich das speichern und regelmäßig auf neue Einträge prüfen und die dann bei Bedarf kontrollieren. (Die neu erstellten Logs am besten ebenfalls speichern, so kann man bei einem Befall immerhin nachvollziehen wie lange was aufm Rechner ist) Wenn du sicher gehen willst kannst du die web.de-Datei ja auch noch bei virustotal auswerten lasen, auch wenn ich nicht glaub, dass sie bedrohlich ist. lg myrtille |
Hi, in der Tat ist die p2p Datei immer noch da...Dann werde ich sie jetzt einfach mal in Ruhe lassen. Habe das neueste Logfile gespeichert und werde das bei Bedarf wie vorgeschlagen immer mal wieder kontrollieren. Die Datei von Web.de werde ich auch mal noch überprüfen und wenn sich noch was ergibt das Ergebnis hier posten, sie sollte aber eigentlich harmlos sein. Also, vielen Dank allen Helfern und bis zum nächsten Mal. :lach: Schönen Gruß |
Zitat:
Jetzt will ich es aber wissen... :D Wo hast du gelesen das die o.g. Datei eine System-/Windowsdatei ist? :confused: Zitat:
P2PNetworking - Adware P2PNetworking - Advertise(Werbung) Aber nirgends konnte ich ersehen das es sich oftmals auch um einen Backdoor handelt?! Zitat:
Arbeite bitte das hier ab: 1.) Kurzanleitung datfind.bat: * Lade dir die datfind.zip * Entpacke das Archiv auf den Desktop * 1. Doppel-klick DATFINDBAT *2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) * 3. auf das Command Fenster klicken und beliebige Taste drücken * 4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) * 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) * 6. Wiederhole Schritt 3 und speichere als temp.txt * 7. Wiederhole Schritt 3 und speichere als down.txt * 8. Wiederhole Schritt 3 und speichere als c.txt * 9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig) 2.) Und poste nochmals ein neues Hijacklog. Gruß Sunny |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board