Trojaner-Board - Profivirus (?) schwer aufspürbar

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Profivirus (?) schwer aufspürbar (https://www.trojaner-board.de/68063-profivirus-schwer-aufspuerbar.html)

Profivirus (?) schwer aufspürbar

Hallo!

Seit einigen Wochen hab ich einen Virus auf dem PC (welcher sich nicht offensichtlich auswirkt) aber von Virenprogrammen gemeldet wird.

Das verdammt schwere an dem Virus ist, dass er undefinierbar, sprich keinen festen Namen trägt!

Er befindet sich IMMER unter dem Verzeichnis :
C:\Dokumente und Einstellungen\*Username*\Lokale Einstellungen\Temp\xxx.exe

Zitat:

HijackThis Logfilepfad:
O23 - Service: YKOWGNCBVVMYZ - Sysinternals - www.sysinternals.com - C:\DOKUME~1\*****~1\LOKALE~1\Temp\YKOWGNCBVVMYZ.exe

Aus anderen Foren fand ich:
O23 - Service: QUOLI - Sysinternals - www.sysinternals.com - C:\DOKUME~1\BRUNST~1\LOKALE~1\Temp\QUOLI.exe

oder

O23 - Service: XVVKACFZD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1.000\LOKALE~1\Temp\XVVKACFZD.exe

Das verdammtschwere ist, die *.exe Datei hat bei jedem PC einen anderen Namen! Bei mir heißt sie YKOWGNCBVVMYZ.exe .
Ich recherchierte in Foren und stieß dabei auf die merkwürdige Erkenntnis, dass andere Leute im identischen Verzeichnis auch eine *.exe Datei besitzen welche z.B. OVGAMAHF.exe genannt war. Auch diese wurde von Antivirprogrammen gemeldet, konnte aber nicht entfernt werden!

Da der Virus kein festen Namen besitzt, ist es schwer Hilfe zu bekommen. (Wenn ich ein Virus auf dem PC habe gebe ich sein name [xxx.exe] in Google ein und such danach)... Da er immer ein andern Name besitzt, ist das nicht möglich.

Deshalb bitte ich um Hilfe um das Ding zu eleminieren.

Mir ist es besonders wichtig, da in KEINEM Forum dieser Pfad im HijackThisLog je aufgefallen ist!
Man hat es immer übersehen und geraten eScan durchzuführen da die Helfer nichts erkannten.

Hi,

zufällig (oder gar absichtlich) mit RootkitRevealer gespielt? Sieht sehr danach aus.

Gruß, Karl

Hab mir das Programm gerade erst geholt, (halbe Stunde nach meinem Post) ...

Wie kommst denn drauf?

Gruß

edit: nach mehreren Recherchen vermute ich ein Rootkit/Backdoor-Programm zu besitzen (oder auch bekannt als PC in einem Botnetz)

EDIT:
Alle (sichtbaren) Viren entfernt! HijackThis findet kein bösen Logeintrag mehr :)
Hab mehrere Antivir, Antirootkit etc. Programme laufen lassen und mit HijackThis die problemhaften Dateien gefixt.

Ich kenne die Einträge sehr gut. Der Rootkitrevealer wählt sich jedesmal einen zufällig bestimmten Namen aus für den eigentlichen Scanner, damit er nicht so leicht erkannt werden kann. Wenn er nicht korrekt zuende geführt und beendet wird, bleibt jedesmal ein solcher Eintrag zurück.

Mehr kann ich dazu auch nicht sagen. Ich weiß´noch nicht einmal welches Betriebssystem Du hast. Rootkitrevealer ist z.B. nicht für Vista, ist schon sehr alt (und veraltet). Wenn jetzt alle Spuren getilgt sind, lohnt es auch nicht, weiterzuforschen.

Zitat:

nach mehreren Recherchen vermute ich ein Rootkit/Backdoor-Programm zu besitzen (oder auch bekannt als PC in einem Botnetz)

Kann man natürlich nicht ausschließen, die Einträge oben sind aber kein Hinweis darauf. Bei einem solchen Verdacht ist es sinnvoll, den Rechner platt zu machen und ihn neu zu installieren.