BDF meldet "Trojan.DiHide.A" ????

#0
26.06.2004, 15:27
Member

Beiträge: 42
#1 Soeben hat die BitDefender Engine (AVK 2004 prof.) den Trojaner

Trojan.DiHide.A

beim Logitech desktop messenger (in der Datei IADHide.dll) gefunden und gelöscht. Allerdings finde ich nirgends eine Beschreibung der Schadensfunktionen dieses Trojaner's. Hat jemand nähere Informationen ????


siehe auch:

http://de.bitdefender.com/bd/site/virusinfo.php?menu_id=2&dc=1&source=1


Gruß
dalmore
Dieser Beitrag wurde am 26.06.2004 um 15:29 Uhr von dalmore editiert.
Seitenanfang Seitenende
26.06.2004, 21:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum

Unter diesem Namen Trojan.DiHide.A habe ich auch nur die Infos gefunden, die du auch schon hattest.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.06.2004 um 21:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.06.2004, 22:47
Member

Themenstarter

Beiträge: 42
#3 Hallo Sabina

Hier das Log:

Logfile of HijackThis v1.97.7
Scan saved at 22:44:10, on 26.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Transparent Icon Labels\Transparent Icon Labels.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\Photo Express 3.0 SE\CalCheck.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Plextor\PlexTool.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\Mozilla Firebird 07\MozillaFirebird.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\download\Spybot HiJackThis cwshredder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.253.1/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.253.1
;localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Transparent Icon Labels] "C:\Programme\Transparent Icon Labels\Transparent Icon Labels.exe" 0
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\WINLITE\ZAWF.EXE
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: GetRight Taskleisten-Symbol.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.466712963
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4370/mcfscan.cab

MfG
dalmore
Dieser Beitrag wurde am 26.06.2004 um 22:48 Uhr von dalmore editiert.
Seitenanfang Seitenende
27.06.2004, 01:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80
denn es ist bestimmt nicht dein Proxy

neustarten

Ansonsten ist das Log sauber.

Scanne noch mal mit der mwav.exe ...und poste, ob das Tool noch was gefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp

tip\
regsvc.exe
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren...Sicherheitsrisiko
Start\Systemsteuerung\Verwaltung\Dienste

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2004, 11:41
Member

Themenstarter

Beiträge: 42
#5 Hallo Sabina!


Erst einmal VIELEN DANK für Deine Antwort.

1.) Habe "REGSVC.EXE (Remote Registry Service)" deaktiviert. Der Prozess taucht nicht mehr im log auf.

2.) Den von Dir angesprochenen Eintrag habe ich jedoch zunächst noch nicht gefixt.
Hintergrund: ich benutze ein Bankingprogramm und meines Wissens benutzt dieses den btx decoder.
Habe die Befürchtung, das das Programm (Geno Light - Volksbank) dann nicht mehr funktioniert.
Vielleicht liege ich ja total schief????

3.) Download von "mwav.exe" - gescannt -
Folgende Einträge wurden ausgegeben:
C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\gendel32.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.
C:\download\Codecs\DivX\DIVX502.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\download\Codecs\DivX\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Wenn ich das rictig verstehe, sind dies keine (?) Viren oder andere Schädlinge. Bis auf gendel32.exe im root.
Einfach löchen? Kaspersky online scan stuft sie weder als verdächtig, noch als Virus ein!


MfG
dalmore
Seitenanfang Seitenende
27.06.2004, 12:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 #Tool.Win32.Reboot...das ist ein Tool, das den Rechner neu starten kann. Meistens sind das ueberbleibsel von einer Softwareinstallation.....

#btx decoder...geht in Ordnung ...ich habe mich nur gewundert, dass du zwei Proyeintraege hast...und manchmal verstellen Viren den Proxy ;)

#O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

diese Programme wuerde ich aus dem Autostart nehmen

#Trojan.DiHide.A beim Logitech desktop messenger (in der Datei IADHide.dll) gefunden ...ich habe nichts darueber gefunden...hoffentlich ist es kein KeyLogger, denn dann wurde alles, was du angklickt hast, verfolgt.

Am besten, du installierst alles neu von Logitech und nimmst es aus dem Autostart.
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

#Lade AdAware free und scanne (Spyware)
http://www.lavasoft.de/support/download/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.06.2004 um 12:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.06.2004, 13:09
Member

Themenstarter

Beiträge: 42
#7 1.) AdAware hatte ich schon vorher eingesetzt - hat nichts gefunden.

2.) Trojan.DiHide.A beim Logitech desktop messenger (in der Datei IADHide.dll) gefunden
Habe mal weiter gesucht und gefragt (in anderen Foren). Trotzdem war mir Deine Meinung wichtig!!!!!! Ich glaube dies ist die Lösung:

http://www.chip.de/forum/thread.html?bwthreadid=661738

3.) Noch eine BITTE! Schau Dir mal folgendes log an. Ist von meiner Arbeitspartition. Habe auf der Maschine 2x Win 2000 installiert - eine "Schmuddelversion" und eine "Arbeitsversion". Schon mal vielen Dank im Voraus!!!

Logfile of HijackThis v1.97.7
Scan saved at 11:49:33, on 27.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINNT\system32\wuauclt.exe
D:\download\Spybot HiJackThis cwshredder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.253.1/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.0935648148

MfG
dalmore
Seitenanfang Seitenende
27.06.2004, 19:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 @dalmore
1. von der Logitech<Spyware Backweb Lite wusste ich, allerdings nicht, dass dein Virenscanner AntiVirenKit es Trojan.DiHide.A nennt.
Ich wuerde dennoch die Psw. aendern...sicher ist sicher....

2.Das zweite Log sieht sauber aus...
Allerdings solltest du es updaten...ich glaube es gibt schon das Servicepack SP4 fuer Win2000.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.06.2004 um 19:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.06.2004, 21:07
Member

Themenstarter

Beiträge: 42
#9 Hallo Sabina!!

Nochmals vielen Dank für Deine Mühe! Ist nicht selbstverständlich !!!!

by the way: SP4 ist auf beiden Partitionen installiert - oder habe ich mich da geirrt????? (versteh es nicht falsch - kein Vorwurf)

MfG
dalmore
Seitenanfang Seitenende
27.06.2004, 21:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Klar...hatte die falsche Brille auf...und nur auf den Explorer gesehen...
Gruss
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.06.2004 um 21:35 Uhr von Sabina editiert.
Seitenanfang Seitenende