|
Win32.Ciadoor.cj oder nur Fehlalarm? Hallo, heute habe ich Spybot Search&Destroy aktualisiert und beim Scan die Meldung erhalten, dass ich den "Win32.Ciadoor.cj" habe. Das Logfile von Spybot sieht so aus: Win32.Ciadoor.cj: [SBI $F8F7B198] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XPROTECTOR Win32.Ciadoor.cj: [SBI $CD1A07CB] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\XPROTECTOR Nun habe ich GData Antivirus 2009 und Jotti (Onlinescanner mit mehreren Modulen) über die Datei Windows/system32/drivers/xprotector laufen lassen, keines der Virenprogramme erkennt den Trojaner. Im Internet finde ich nun gegenläufige Meinungen. HIER liest man, dass dieses File ein Trojaner sei, an anderer Stelle, eine notwendige Systemdatei. Was ist nun richtig. Anbei noch ein Hijackthis-Log. Bitte um Hilfe. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:20:02, on 07.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\HP\KBD\KBD.EXE C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\MICROS~3\wcescomm.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DeskTask\DeskTask.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: Bugnosis - {3A6514CD-A457-11D4-8AF3-000102686B79} - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file) O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125419105453 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c98bd7196be260) (gupdate1c98bd7196be260) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Soweit ich das Logfile selbst auswerten kann, sehe ich dort keinen Trojaner. Vielleicht kann aber ein Versierterer noch mal bitte drüberschauen. Danke euch |
Hi, ich ziehe es nochmal hoch. Bitte um kurze Antwort. |
Hallöle. Editiere bitte zukünftig alle aktiven Links aus deinen logfiles! Ansonsten wird dein Beitrag ignoriert und gelöscht. Wie lautet der vollständige Dateipfad bzw. wie die Endung der Datei? Zitat:
:hallo: Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
ISeeYouXP - XP
|
Zitat:
c:/windows/system32/drivers/xprotector.sys |
Poste bitte nachdem du die Grundsätzlichen Konfigurationen vorgenommen hast zusätzlich zum ISeeYou log noch den kompletten VT Bericht inkl. Hash Wert. Das ISY log bitte erst erstellen nachdem du alles unnötige deisntalliert hast und den Rechner sauber konfiguriert hast. |
Zitat:
ich bin Laie, und weiß nicht, was ein ISeeYou log oder ein VT-Bereich sowie Hash-Wert ist. Wo finde ich diese? |
Hi, würde mich freuen, wenn sich jemand meiner Frage annehmen könnte. Ich habe alles so genau, wie möglich beschrieben. Da es sich um meinen Büro-Rechner handelt, wäre es sehr unschön, wenn hier ein Trojaner sein Unwesen treiben würde. Bisher bin ich leider noch keinen Schritt weiter. |
Ich habe dir weiter unten alles gepostet was du brauchst. Lies dir meine Anleitung bitte nocheinmal genau durch. ;) |
Zitat:
so, nun das Log von Anti-Malware und angehängt den Log von ISeeYou XP. Anti-Maleware hat bis auf einen Hijacker nichts gefunden. ISeeYouXP eigentlich auch nichts, wenn ich das richtig überblicke. Heißt das, SpyBot hatte einen Fehlalarm? Kannst du mir bitte ein FeedBack geben. EDIT: Den ISeeYouXP-Log kann ich nicht anhängen. Es dürfen nur 19 KB angehängt werden, der Log hat aber 140Kb. Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1848 Windows 5.1.2600 Service Pack 3 14.03.2009 20:19:28 mbam-log-2009-03-14 (20-19-28).txt Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|) Durchsuchte Objekte: 238746 Laufzeit: 1 hour(s), 58 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Lade das ISeeYouXP log bei rapidshare hoch und poste den download Link. Lade die Datei "c:/windows/system32/drivers/xprotector.sys" auf virustotal.com hoch und poste das Ergebniss. |
Zitat:
Datei Xprotector.sys empfangen 2009.03.15 00:48:10 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Hier noch der Link zu Rapidshare: http://rapidshare.de/files/46098212/ISeeYouXP.txt.html |
Treffer. Bei dir laufen vermutlich 2 versteckte Prozesse... Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig) Zu Erst: Zitat:
http://virus-protect.org/artikel/bilder/bobby.gif Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. Nach den gleichen Phrasen durchsuche bitte deinen PC.[/QUOTE] Gucke bitte im Taskmanager nach ob du die Proezesse mit den PIDs 1320 und 3952 finden kannst. Auch wenn ich Lust hätte das Ding zu bereinigen muss ich drigned ans Herz legen deinen Rechner neuaufzusetzen... Ich glaube da läuft zusätzlich zu dem vermeindlichen CIADoor noch ein anderes Schadprogramm und wer weiss was noch alles. |
Hallo, der Scan mit dem Reg-Scanner war negativ: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 15.03.2009 13:46:44 for strings: ; 'aeb6717e-7e19-11d0-97ee-00c04fd91972 ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 15.03.2009 13:48:20 for strings: ; '56f9679e-7826-4c84-81f3-532071a8bcc5 ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Einen Prozess mit der Nummer (Namen?) 1320 und 3952 lässt sich auch nicht finden. Wo hast du denn die Information in dem Log gefunden, dass ich eventuell zwei versteckte Prozesse am Laufen habe? |
Ist das der Grund deines Verdachts? Ist ein Auszug aus der ISeeYouXP - ich habe ihn so interpretiert, dass es nicht zwingend ein Virus sein muss, sondern mit dem WINLanMiniport-Treiber zusammenhängen kann. **** PPTP Haxdoor FOUND by this tool! **** CAREFULL HERE THIS WILL ALSO FIND WinLanMiniport Description REG_SZ Point to Point Tunneling-Protokoll (PPTP) Description REG_SZ Point to Point Tunneling-Protokoll (PPTP) Description REG_SZ Point to Point Tunneling-Protokoll (PPTP) Wenn die Reg-Einträge nicht gefunden werden können, ist dann ein CIADoor-Befall unwahrscheinlich. Ich habe GDATA immer über meinem System laufen und schicke auch die gekaufte Vollversion meines U3-Sticks Avast-Virus immer wieder über den Rechner. Kein Programm findet z.B. einen CIADoor oder Ähnliches. Ich habe noch diesen Hinweis im Internet gefunden: XProtector.sys (oreans32.sys, movitel.sys, Oreans.sys) Programme (C:\Windows(WINNT)\system32\drivers) Treiber der Kopierschutzsoftware (Anti-Cracking-Produkt) »Themida« (Nachfolger von XProtector), damit werden Anwendungen/Spiele verschlüsselt und verhindern so, daß man sie in einer virtuellen Maschine laufen läßt. Es ist kein Rootkit, zeigt nur ein ähnliches Verhalten, deshalb kommen oft Fehlalarme von Virenscannern. Einige Games (zum Beispiel das Game PREY) installiert den Treiber , Info Games habe ich auf dem Rechner keine - aber einiges an teurer Originalsoftware (Bildbearbeitung etc. PP) - eventuell hat dies die XProtector.sys installiert. Auf meinen Notebook ist diese Datei nämlich auch vorhanden. Kann es sein, dass sie Teil von Photoshop Elements 7 ist - das läuft bei mir auf Desktop und Notebook. Mein Notebook hängt so gut wie nie am Internet und wird nur dienstlich eingesetzt, daher müsste hier ein Virus/Trojaner eher unwahrscheinlich sein. Da ich auf beiden Rechner Notebook/Desktop dieselbe Software installiert habe, muss die XProtector.sys durch ein Softwareprogramm auf den Rechner gelangt sein, das ich irgendwann mal gekauft habe. |
Zitat:
Zitat:
Das MS Tool zur Entfernung bösartiger Software hat versucht diese beiden Adressen zu erreichen hat aber eine STOP-Fehlermeldung provoziert. Das die Registry Einträge über RegSearch nicht gefunden werden ist sehr merkwürdig da sie im ISeeYouXP log def. gelistet werden. Guck mal nach ob du sie über regedit sehen kannst. Zitat:
|
Zitat:
Die beiden Einträge sind in der Registry, dort, wo du sie vermutet hast. Haben sie definitiv mit Malware zu tun? Kann es nicht sein, dass sie mit dem XProtector, der ja scheinbar von einiger Software installiert wird, zusammenhängen. Ich habe eigentlich kein virentypisches Verhalten auf meinem Rechner. Bei dem CIADoor liest man immer wieder, dass er Firewalls, das Internet etc. blockiert. Auch findet keines der Virenscanner diese Malware. Wie bekomme ich die Malware wieder los? Zum Neuaufsetzen komme ich in den nächsten 3-4 Wochen nicht, das ist ein Prozess, der erfahrungsgemäß bei mir 1-2 Tage dauert. Wir haben hier nur DSL Light, alleine die Updates aus dem Internet würden vermutlich 5-6 Stunden dauern. |
Noch ein Nachtrag: Wir haben hier in unserem kleinen Büro vier untereinander nicht vernetzte Rechner (u.a. ein Laptop, das seltenst im Internet ist), die auch nicht über USB-Stick etc. miteinander kommunizieren. Auf zweien ist auch das XProtector-File drauf und auf allen der Eintrag in der Registry (die zwei nutze nur ich und habe dort identische Software aufgespielt) - die anderen beiden verwalte ich nicht, aber auch hier ist der Eintrag vorhanden: HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ Nur der zweite Eintrag "{56F9679E-7826-4C84-81F3-532071A8BCC5} REG_SZ" ist nicht auf allen vorhanden. Kann es sein, dass dieser Reg-Schlüssel normaler Bestandteil eines Programmes ist, das auf allen Rechnern installiert ist, z.B. dem Backup-Programm? Dass alle vier den Virus abbekommen haben, obwohl sie nicht per LAN verbunden sind und auch darauf geachtet wird, dass sie nicht über USB-Sticks kommunizieren, halte ich für unwahrscheinlich. Wie siehst du das? Danke übrigens, für die viele Zeit, die du in meine Problemlösung investierst, finde ich toll. :aplaus: |
Zitat:
Ist das ein gutes Zeichen? |
Zitat:
Zitat:
Mein Bauch sagt mir, dass du in einem BotNetz hängst bzw. geowned bist. Das du nichts merkst und kein Virensscanner was findet ist nicht ungewöhnlich. http://oschad.de/wiki/Virenscanner http://oschad.de/wiki/HomePage Schwierig mit den Registry Einträgen.. Ich traue der Sache nicht... http://www.google.de/search?q=AEB6717E-7E19-11d0-97EE-00C04FD91972&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a Zitat:
Lasse mal bitte counterspy laufen und poste das log. Und ein Panda log würde ich gerne sehen. Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation |
Zitat:
Ok, werde ich alles machen. Noch kurz ein paar Fragen 1.) Sind CounterSpy und Viper identisch. Finde dort den Downloadlink für CounterSpy nicht, nur für Viper. 2.) Ich arbeite beruflich oft mit Adobe Acrobat Connect Pro Meeting, d.h. nehme an Online-Konferenzen teil. Kann es sein, dass daher die unbekannten Einträge kommen? Dazu muss ja quasi auch eine BackDoor geöffnet werden - oder? Ich kann dann auch anderen den Zugriff auf meinen PC erlauben. Wenn ich z.B. Personen fortbilde, können sie das sehen, was ich auf dem Desktop freigebe. Kommt daher eventuell der Eintrag? 3.) Leider haben wir hier im Moment nur DSL-Light, daher dauert alles sehr lange. Aber ich habe immer die volle Leistung. Wenn mein Rechner Teil eines Bot-Netzwerkes wäre, müsste mir dann nicht Leistung fehlen? |
1) Jop. In VIPRE sollte Counterspy quasi eingebaut sein.. 2) Das könnte die Einträge teilweise erklären.. 3) Nicht zwingend. Die Netz arbeiten selten kontinuierlich sondern nur in "Schüben". |
Panda-Log: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-03-15 23:52:20 PROTECTIONS: 1 MALWARE: 2 SUSPECTS: 2 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== G DATA AntiVirus 18.0 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Donnerstag\cookies.txt[.adtech.de/] 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Freitag\cookies.txt[.adtech.de/] 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Mittwoch\cookies.txt[.adtech.de/] 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Montag\cookies.txt[.adtech.de/] 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Samstag\cookies.txt[.adtech.de/] 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Sonntag\cookies.txt[.adtech.de/] 00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Dienstag\cookies.txt[.adtech.de/] 02915730 Trj/Rebooter.J Virus/Trojan No 0 Yes No G:\Treiber + Downloads\SmitfraudFix.exe ;===================================================================================================================================================== ============================== SUSPECTS Sent Location i ;===================================================================================================================================================== ============================== No C:\Asus\GPS2Blue.exe i i No C:\RECYCLER\S-1-5-21-1065656844-2122956271-3000891388-1009\Dc147.flv i ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description i ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== Die Datei SmitfraudFix.exe ist kein Trojaner, sondern ein Cleaning-Tool, das ich für einen Bekannten vor ein paar Jahren geladen habe, da er angeblich einen Smitfraud auf seinem Rechner gemeldet bekommen hatte. Das Tool wurde auf meinem Rechner nie ausgeführt. |
PS: Vipre habe ich nicht installiert, weil ich dazu hätte GDATA Antivirus 2009 deinstallieren müssen und ich froh bin, dass das diese AV so gut läuft. |
Hier gibt es Counterspy als Stand Alone: http://go.sunbeltsoftware.com/?linkid=410 Das sollte mit G-Data klar kommen... |
Zitat:
Danke dir. Ich bin zurzeit dienstlich unterwegs und kann es erst in paar Tagen ausprobieren. Mein Notebook, mit dem ich gerade arbeite, hat haargenau dieselben Einträge und mit ihm bin ich auch gelegentlich in Adobe Acrobat Meeting Connect Pro online. Ich vermute immer mehr, dass es damit zusammenhängt. Das Notebook nutze ich sonst kaum im Internet. Es käme sonst nur ein Virus über die Installation einer gekauften Software (allenfalls Freeware) in Frage. Auf dem Notebook ist NOD32 installiert, das ebenfalls keinen Virus entdeckt. |
Hi, ich habe eben mit CounterSpy mein Notebook gescannt, da auch hier die XProtector-Datei vorhanden ist. Auch hier wird ein Trojaner, der mit dem XProtector zusammenhängt gefunden: Risk name: Trojan-Downloader.Win32.VB.ahc Source: Scanner Risk level: High Risk category: Trojan Downloader Description: A Trojan Downloader is a program typically installed through an exploit or some other deceptive means and that facilitates the download and installation of other malware and unwanted software onto a victim's PC. A Trojan Downloader may download adware, spyware or other malware from multiple servers or sources on the internet. Advice: This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer's settings without your knowledge and consent, or severely degrade your computer's performance and stability. -------------------------- Ich habe es nun von der Software entfernen lassen. Ein Logfile konnte ich leider nicht finden, aber alle Einträge in der Registry, die angezeigt wurden, hatten mit dem XProtector zu tun. Ich habe keine Ahnung, ob es ein echter Trojaner ist oder aber zu einer Software gehört. Auf dem Notebook befindet sich nur teure Software und das ein oder andere Freewareprogramm, von dem ich eigentlich sicher war, dass es keine Spyware beinhaltet. Bin etwas verunsichert, ob meine Rechner verseucht sind, oder nicht. Ich spiele weder mit den PCs noch mache surfe ich damit auf dubiosen Seiten. Alle haben eine aktuelle Antivirensoftware drauf, alle ServicePacks, eine Firewall etc. pp. Das wäre mein erster Befall seit meinem 386er im Jahr 1992. Fall es ein Trojaner ist/war, ist der Rechner wohl trotz problemloser Entfernung durch CounterSpy nun kompromittiert, oder? Warum haben eigentlich alle Antivirenprogramme, wie GDATA, Avast, NOD32, PANDA etc. keine Malware gefunden, nur SpyBot und CounterSpy? War es nur eine fehlerhafte Virensignatur? |
Kannst du das log nicht wie hier beschrieben finden? http://virus-protect.org/counterspy1.html Hat Counterspy eine Quarantäne oder Backup Funktion? Dann könnten wir die Datei mal an ein führendes Virenlabor schicken und gucken was die dazu sagen. Wenn sie wirklich schädlich ist ist dein rechner kompromitiert ja. Das nur einige AV-Scanner den Schädling finden ist ganz normal. Grade wenn es sich um Spyware und nicht um typische Viren handelt. Viele Schädlinge werden auch von überhaupt keinem Programm gefunden sondern können nur manuell identifiziert werden. |
Zitat:
Die XProtector.sys ist nun jedenfalls weg. Die von dir genannten verdächtigen Registry-Einträge sind noch da - allerdings habe ich heute zwei XP-Rechner von Arbeitskollegen mit Regedit durchforstet, alle haben zumindest den einen Eintrag unter XP - eventuell wird er durch Adobe Connect Pro installiert. Muss ich davon ausgehen, dass trotz der Reinigung meines Rechners durch CounterSpy der Trojaner noch aktiv ist, wenn es einer war? Die Registry-Einträge zum XProtector sind weg, ebenso die XProtector.sys. Kann ich mit irgendeiner Software nachweisen, ob noch versteckte Einträge vorhanden sind? Ich bin dir ewig dankbar für deine kompetente Hilfe! |
Hi, noch ein Nachtrag. Ich überlege mir ein älteres Image von Acronis wiederherzustellen. War leider in der letzten Zeit, was Image-Pflege anbelangt, nachlässig, es müsste ca 6 Monate alt sein. Ich habe noch nie ein Image wiederherstellen müssen. Formatiere ich dazu das Notebook oder macht das Acronis, wenn ich es über die Acronis-Boot-CD starte, selbst, bevor das Image installiert wird. Gibt es hier Tipps, für die Vorgehensweise. Mein Acer-Notebook muss irgendwo eine versteckte Recovery-Funktion haben, denn im Bootscreen gibt es die Möglichkeit "Recovery" zu wählen. Die ist wohl nach der Imagerückspielung verloren, oder? |
Zitat:
Aber ich würde erstmal von einem Fehlalarm ausgehen... Wenn es allerdings wirklich ein Trojaner war dann müssen wir gucken was für einer, mit welchen Funktionen und Absichten dieser betrieben wird. Zitat:
Fange jetzt aber bloß nicht an das selbst zu probieren. Damit macht man meist alles noch schlimmer und nährt die Paranoia. |
Hallo Undoreal, der Log ist etwas chaotisch, ich poste ihn gleich weiter unten. Die Datei liegt noch in Quarantäne. Ich kann sie in die Zwischenablage kopieren lassen oder aber wiederherstellen. Ich könnte auch bis morgen warten, da habe ich wieder Zugriff auf meinen Hauptrechner, wo die XProtect.sys bisher unangetastet liegt und diese zur Vefügung stellen. An welches Labor sendet man sie am besten? GDATA wird sie wohl nicht annehmen, da habe ich schon viele Falsch-Alarme hingesendet und die Signaturen anpassen lassen, da meldete aber eine der Engines von GDATA, dass hier ein Fehler vorhanden ist und ich war mir sicher, dass es ungefährliche Dateien sind. <threat id="47142" name="Trojan-Downloader.Win32.VB.ahc" level="2" category="Trojan Downloader" type="Malware" quarantineId="{85C04909-3DCC-4F5C-80DE-3803D4541BCB}" adviseType="3" canQuarantine="true" author="" optionalScan="0" removalType="0" actionRequested="3" cleanerResult="3"><authorURL></authorURL><desc>A Trojan Downloader is a program typically installed through an exploit or some other deceptive means and that facilitates the download and installation of other malware and unwanted software onto a victim's PC. A Trojan Downloader may download adware, spyware or other malware from multiple servers or sources on the internet.</desc><threatAdviceDetails>This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer's settings without your knowledge and consent, or severely degrade your computer's performance and stability.</threatAdviceDetails><customData></customData><traces><trace type="4" dispValue="c:\WINDOWS\system32\drivers\xprotector.sys"><attr n="path" v="c:\WINDOWS\system32\drivers\xprotector.sys" /><attr n="fileSize" v="40256" /><attr n="md5" v="E87EF942B225B23247DB60DE56F62C1C" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\DisplayName 1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="1" /><attr n="valueName" v="DisplayName" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\0 1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="1" /><attr n="valueName" v="0" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\Count 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="4" /><attr n="valueName" v="Count" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum\NextInstance 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Enum" /><attr n="valueType" v="4" /><attr n="valueName" v="NextInstance" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\ErrorControl 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="ErrorControl" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\ImagePath 2"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="2" /><attr n="valueName" v="ImagePath" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security -1"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security" /><attr n="valueType" v="-1" /><attr n="valueName" v="" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security\Security 3"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR\Security" /><attr n="valueType" v="3" /><attr n="valueName" v="Security" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Start 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="Start" /></trace><trace type="3" dispValue="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPROTECTOR\Type 4"><attr n="hive" v="HKEY_LOCAL_MACHINE" /><attr n="key" v="SYSTEM\CurrentControlSet\Services\XPROTECTOR" /><attr n="valueType" v="4" /><attr n="valueName" v="Type" /></trace></traces></threat> |
Ich würdde die einschicken die definitiv von Spybot und/oder Counterspy gefunden wurde. http://forum.kaspersky.com/index.php?showtopic=42428 |
Zitat:
bin nun etwas erleichtert. Habe es zu Kaspersky geschickt und innerhalb von 60 Min. (!) eine Antwort erhalten: "Hello, tector.sys No malicious code was found in this file." Kann ich mir nun sicher sein, dass es kein Trojaner ist? Der Kaspersky-Support ist ja irre schnell. |
Zitat:
Zitat:
|
Zitat:
Nochmals vielen (!) Dank für deinen außergewöhnlichen Support! Das Forum ist klasse!:aplaus::dankeschoen: |
Hallo, ich bin nun wieder am Büro-PC im Home Office. Dort habe ich eben meine Images, die ich mit Acronis gemacht habe, durchgesehen, überall ist die XProtector.sys auch drauf, die wurde scheinbar schon vor über 6 Monaten installiert. Komischerweise hat Spybot S&D früher nie angeschlagen, obwohl die Datei bereits länger auf beiden Systemen vorhanden ist. Ich scanne gerade mit CounterSpy den Desktop und berichte, falls sich hier noch etwas tut. |
Hallo, hier noch die Antwort vom SpyBot S&D-Team. Sehr nett, dass auch sie sich darum gekümmert haben. "Hello xxx, thank you for sending in the requested files. The analysis showed that it is a false positive with a binary protection software. That means a software that is supposed to prevent reverse engineering. Such software is often used by malware to make analysis harder or prevent it. The vendor of XProtector does not appear to be in business anymore but products using it can still be around. We will correct our detection database to avoid this false positive. The update that will correct this issue will be release on 2009-03-25 best regards" Damit kann das Thema in gelöst umgewandelt werden. Ich habe auf meinem Notebook das File bereits gelöscht, das Notebook läuft aber noch. Könnte das dauerhaft zu einem Problem führen? LG |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board