succte.exe?
 

Hallo Forum, bin ein Greenhorn und hoffe, ihr könnt mir helfen.

Beim Einwählen ins Netz schlug ZoneAlarm an und meldete, dass sich logon.exe einwählen will. Das habe ich über ZonAlarm unterbunden (ob's was genützt hat??!). Ich habe dann mal gegoogelt und einige Threads dazu gefunden (auch hier im Forum, wobei ich mit den Tipps nicht allzuviel anfangen konnte...). Nach dem trennen und erneuten Einwählen, sagt ZoneAlarm, dass sich succte.exe einwählen will. Google bietet KEINEN Treffer und auch über die Suche im Forum kam nix raus. Weiß da jemand was??? Bin für alle Hinweise dankbar.
Gruß Gurki

Schön wäre es, wenn du dein Betriebssystem nennen würdest.

Sorry, xp pro, sp1! (Ohne sp2). Weitere Infos gerne!!

Lade dir Hijackthis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Hijack-Log lautet wie folgt:

Logfile of HijackThis v1.98.2
Scan saved at 22:01:28, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\Fast.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\taskswitch.exe
D:\WINDOWS\System32\fast.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\WINDOWS\System32\logon.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\System32\succte.exe
D:\WINDOWS\system32\xcommsvr.exe
D:\Programme\SOFTWIN\BDHome\lmgui.exe
D:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BackgroundSwitcher] D:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] D:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] D:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ThrustTSR] D:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [update run msword] logon.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] succte.exe
O4 - HKLM\..\RunServices: [update run msword] logon.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] succte.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [update run msword] logon.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] succte.exe
O4 - Global Startup: BitDefender Live!.lnk = ?
O4 - Global Startup: Murphy Shield.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{B02759FE-B0BD-4B3E-BDF3-72EB19F66886}: NameServer = 195.71.240.100 193.189.244.205

Habe succte.exe selbst gefunden: Sygate Personal Firewall!! War wohl ein klassisches Eigentor!! Bleibt aber noch das Problem mit logon.exe! Logon.exe wird mit MS Word in verbindung gebracht? Verstehe ich das richtig?? Habe Office small business edition installiert, registriert und aktiviert!! Was will sich da bitte einwählen?? Danke für Tips! Ausserdem hab ich firefox als Standartbrowser und mich würde interessieren, was der IE eintrag zu bedeuten hat. Fragen über Fragen!!

Welchen Virenscanner hast du? Lass ihn mal drüberlaufen.

Habe von 'ner Chio-CD Bit DefenderPro laufen, neue Virusdefinition drauf und er meldet nix!

Naja, wenn du dein Logfile in die automatische HijackThis Auswertung kopierst, werden einige Fixangaben gemacht.
Kannst du die Datei logon.exe finden?

Sonst lies mal hier:
http://www.trojaner-board.de/showthread.php?t=8717

Ein ganz klares NEIN. (auch nicht in versteckten oder sonstigen Ordnern)

Taskmanager?

Da laufen sowohl succte.exe, als auch logon.exe. Sind aber beide auf der Platte (für mich) nicht zu finden! Beide tauchen aber im Verzeichnis Windows\Prefetch als succte.exe-2f6f89ED.pf bzw. als logon.exe-0401D01E.pf auf. Mehr kann ich nicht finden.

Diese Dateien sind versteckt, gehe wie folgt vor:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
D:\WINDOWS\System32\logon.exe
D:\WINDOWS\System32\succte.exe

haste schon mal einen gratis virensacanner wie antivir drüber gegauckelt bei mir half das schon bei 3 wunder. Und vergiss nicht wunder gibst immer wieder. *g*
Ne den hätten wir den genauen Viren Name.
Das wär doch wat. Dann wissen wir von welchem Clan er stammt und welche dateien sie befallen.

Das war kein Eigentor, diese Datei ist defenitiv Malware!
Ausserdem benutzt du ja ZoneAlarm.

Mein Tipp: Aktiver Backdoor Trojaner Rbot!

Da schau an... Für logon.exe bei Jotti folgendes:

AntiVir
Worm/Rbot.QG (1.31 seconds taken)
Avast
Win32:Rbot-DS (4.61 seconds taken)
BitDefender
Backdoor.SDBot.KT (2.72 seconds taken)
ClamAV
No viruses found (4.23 seconds taken)
Dr.Web
Win32.HLLW.MyBot (4.42 seconds taken)
F-Prot Antivirus
W32/Spybot.BCM (0.40 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (5.25 seconds taken)
mks_vir
No viruses found (1.80 seconds taken)
NOD32
Win32/Rbot.AZK (2.31 seconds taken)
Norman Virus Control
No viruses found (48.29 seconds taken)

witzigerweise schlägt Bitdefender bei Jotti und logon.exe an!!

succte.exe lässt sich nicht uploaden, da schlägt Murphy von BitDefender an: Infected by Backdoor.SDBot.Gen

Auf einmal findet der was, es ist unglaublich...

Dann Fix die beiden mal, nachdem du dein Log hierher kopiert hast:
http://www.hijackthis.de/index.php

Deaktiviere mal den Guard von Bitedefender, denn mich würde schon interessieren, um welche Malware es sich bei der succte.exe handelt.

btw: Beende im TaskManager die succte.exe.

Fazit:
Die einzig sichere und vernünftige Lösung deines Problems wird dir hier beschrieben:
http://www.trojaner-board.de/showpos...28&postcount=2

Ehrlich gesagt traue ich mich nicht ganz den guard abzustellen, denn der meldet, dass sowohl succte als auch logon folgendes tun wollen, oder ist das harmlos

...hat versucht einen Registrierungsschlüssel zu ändern: software/MS/WIN/Current/Version/run

Laufen die def. nicht mehr, wenn ich sie im TM abstelle?

Die Autoauswertung spuckt für beide "BÖSE" aus! Ist ein Riesen-Text, soll ich die wirklich Posten??

Trau dich, dein System ist eh schon durchseucht.
Sie werden dann nicht mehr laufen, vorausgesetzt, dass diese Dateien dir überhaupt den Zugriff erlauben.

EDIT: Wie wurde die Malware von den einzelnen AV Scanner benannt?

Ok, I did it!!
für succte.exe folgendes:
File: succte.exe
Status:
INFECTED/MALWARE
Packers detected:
PETITE

AntiVir
No viruses found (5.27 seconds taken)
Avast
No viruses found (12.44 seconds taken)
BitDefender
Backdoor.SDBot.Gen (32.25 seconds taken)
ClamAV
Trojan.Mybot.gen-77 (10.65 seconds taken)
Dr.Web
Win32.HLLW.MyBot.based (18.97 seconds taken)
F-Prot Antivirus
No viruses found (1.43 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (21.81 seconds taken)
mks_vir
No viruses found (3.43 seconds taken)
NOD32
probably unknown NewHeur_PE (probable variant) (7.17 seconds taken)

Taskmanager?

Ok, mein Verdacht wurde bestätigt!
Wende nun dies an:

...sag jetzt bitte nicht, neu aufspielen: Das system ist gerade mal 4 Tage alt! 3 Nächte um die Ohren geschlagen, bis alles wieder so war wie's sein soll...

Das wär der Knaller!!!

zefix... :balla:

@cidre
The requested URL /showpo...228&postcount=2 was not found on this server.

@ cidre: kann ich bestätigen.

@ DonQuijano; Danke für dieses Posting!! Hab schon Paranoia und dachte die Seuche blockiert jetzt alles... Oh Gott!

Wie Cidre schon sagte es ist die einzig vernünftige Lösung. Beachte diesmal die von ihm verlinkte Anleitung aus Post #18 oder alternativ http://board.protecus.de/showtopic.p...me=1097944155&.

Sorry, aber das Board erlaubt keine kopierten Links bzw. übernimmt diese nicht richtig in die Zitatfunktion! :headbang:
Hier nochmal der richtige Link:
http://www.trojaner-board.de/showpos...28&postcount=2

Gibts 'ne halbwegs vernünftige Alternative zum Format??

Tausend Dank bis hierher schon mal, für die super "Lotsen-Dienste"!!
Obwohl das Ergebnis nicht wirklich erfreulich ist, trotzdem Spitzen-Hilfe!!!

Ich würde neu installieren.
(edit: unter Einbeziehung der Ratschläge von cidre ein Image erstellen)
Aber je nachdem was auf Platte ist, würde ich mir einen aktuellen Virenscanner besorgen und mal http://trojaner-board.com/images/smilies/teufel3.gif überlegen, ob ich nicht das System insgesamt update -sp1.

Meiner Ansicht nach, Nein.

Was kann dieser Backdoor.Rbot.gen:

Quelle: http://www3.ca.com/securityadvisor/v....aspx?id=39437

Weiterführende Infos:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Ich werd' wahnsinig!!!

...ich grab meine ganz alte Kiste aus und lass LINUX laufen. So viel steht fest!!

@ cidre: Woher weist Du sowas????????

Na da hab ich wenigstens gleich richtig zugelangt. Quasi 6er im Lotto.

Mal noch 'ne vielleicht blöde Frage:
In Regedit alle Einträge bzgl. den beiden Dateien löschen und die Programme auch? Bringt nix? Nein?

Erfahrung und Wissen. ;)

Ein 6er im Lotto ist weitaus schwieriger.
Die Kompromittierung hätte von DIR vermieden werden können!
Siehe
"Method of Distribution" http://www3.ca.com/securityadvisor/v....aspx?id=39437

Nein, da dies nur die offensichtlichen Dateien oder Registry Keys sind.
Es bleibt immer ein Restrisiko, da du nicht weisst:
Wann die Kompromittierung statt gefunden hat?
Ob und welche Systemdateien verändert bzw. manipuliert wurden?
Ob ein Zugriff bereits auf dein System erfolgte und dadurch möglicherweise sensible Daten an den Angreifer weitergegeben wurden?
Ob irgendwelche Dateien vom Angreifer auf deinem System zwischengespeichert wurden und somit als Server für illegale Dinge fungierte?
usw.

Korrumpierte Systeme sind immer ein Problem. Für den Privatgebrauch ist es so eine Sache - je nachdem was du damit machst und wie deine Netzanbindung ist- für Produktionseinsätze scheiden sie aus.

Das man in 99% der Fälle selbst schuld ist, wenn was schief geht ist mir klar. Trotzdem ist es jetzt ärgerlich!!

P.S: Sorry aber: Kompromittierung=Infektion?

= Entblößung deines Systems

ok,ok.. Ich nerv nicht weiter rum und installiere (mal) wieder neu.

@ cindre und @ DonQuijano

Danke nochmals für eure Hilfe und noch 'nen schönen Abend. Gebe die Leitung frei, für weitere Hilfsbedürftige! Bis denn...

Daniel

Wenn du nerven würdest, dann würde ich dir nicht antworten. ;)

Bedenke, das diese Vorgehensweise zur deiner eigenen Sicherheit dient.

@ cidre
...wenigstens der meines Rechners ;)

Ist zwar OT, würde mich aber zum Schluss interessieren: Du befasst dich wohl professionell mit der Thematik?

Ich beschäftige mich schon lange mit der Thematik, werde aber nicht dafür bezahlt, wenn du das gemeint hast. ;)

Helden des Alltags!! "Der größte Lohn des Künstlers ist der Applaus."
In diesem Sinne... noch viel davon.

Servus!!