Bloodhound.Exploit????

#1 Hallo,
brauchte wieder mal Eure Hilfe.
Bin dem Rat aus dem Hijacker-Forum gefolgt und habe Mozilla Suite installiert und sowohl IE als auch Outlook Express eingemottet. Dabei hat sich nun folgendes Problem ergeben.
Wenn ich mit NAV im abgesicherten Modus einen Systemscan mache, dann findet der Scanner regelmäßig Dateien von der Form wie z.B. DBDE489Fd01 im Verzeichnis

C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Mozilla\Profiles\userprofil\h1pzcm0w.slt\Cache.
(userprofil steht für den jeweiligen Namen des benutzten Mozilla-Profils)

Die Datei wird als Bloodhound.Exploit.6 klassifiziert. Seltsamerweise kann ich aber eine Datei mit dem Namen DBDE489Fd01 mit dem WinExplorer im angegebenen Verzeichnis nicht finden (Ordner-Ansichtsoption: alle Dateien anzeigen). Wenn ich die Datei im NAV manuell lösche, dann wird sie oder eine mit ähnlichem Namen beim nächsten Scan (im abgesicherten Modus) wieder angezeigt.

Wenn ich im normalen Betriebsmodus von WinXP scanne kommt diese „Virusmeldung“ nicht.
Warum reagiert NAV Autoprotect nicht, wenn die „infizierte“ Seite geöffnet wird? Ist es nun ein Virus oder ein Bug?
Wäre sehr dankbar für einen Rat.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#2 Hallo,
dein System ist nicht ausreichend gepatcht!
Lade und installiere das "Kumulatives Sicherheitsupdate für Outlook Express (837009)" => http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-013.htm?gssnb=1

Erstelle zur Sicherheit ein Log-File mit HiJackThis
und poste es hier rein.

Ps.
Auch wenn du IE oder Outlook nicht mehr nutzt, mußt du sie trotzdem aktuell halten.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 @ Cidre

Danke für Deine schnelle Antwort!
Ich bin zwar ein ziemlicher Dilettant was die Arbeit mit dem Comp anbetrifft, aber soviel habe ich doch mitbekommen, dass ich die Updates von MS einspielen muss. Das habe ich denn auch regelmäßig getan und, lt. nochmaliger Überprüfung durch MS Update, es liegen für meinen Rechner keine wichtigen Updates an.
Trotzdem hier zu Sicherheit mein HJT Log (im abgesicherten Modus erstellt). Vielleicht findest Du etwas Verdächtiges:

Logfile of HijackThis v1.98.2
Scan saved at 07:41:53, on 13.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Proxomitron.lnk = C:\Programme\Proxomitron\Proxomitron.exe

Danke schon mal für Deine Mühe!

Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#4 Hallo@Heron
Soweit wie ich dein Log durchgesehen habe...ist es sauber.
Du kannst natuerlich noch mal mit AdAware free
(alle Dateien) scannen., denn nicht alles ist im HijackThis-Log sichtbar.
http://www.lavasoft.de/support/download/
und loesche mit ClearProg
http://www.clearprog.de/
-Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 HiJackThis entfernt keine Dateien nur die Aufrufe in der Registry. Deswegen gehört zu einer 'ordentlichen' Log-Analyse eben, dass man nicht nur sagt, was zu fixen ist, sondern auch welche Dateien manuell zu löschen sind. Ich will mich aber gar nicht davon freisprechen, dass ich das nicht auch mal vergesse zu erwähnen, bei der Masse an Postings...


nur mal so neben bei von mir aus einem anderen Forum zitiert.

#6 Hallo Sabina,

danke für Deine Mühe!
Habe noch einmal mit AdAware SE gescanned und keine verdächtigen Meldungen erhalten.
Seltsamerweise ist das geschilderte "Phänomen" nach dem letzten NAV Update nicht mehr zu reproduzieren.
Es dürfte sich deshalb erledigt haben.
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 @Sabina,

hallo, hätte doch noch eine Zusatzfrage. Habe ClearProg, wie von Dir empfohlen, geladen und die entspr. Dateien gelöscht.
Allerdings kann ich die URL-Liste aus der Menu-Bar von Mozilla nicht löschen, obwohl ich diese Option vorher ausgewählt habe. Die angesurften URL's erscheinen nach wie vor in der Drop-Down-Liste.
Woran könnte das hängen?
mfg
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#8 @Heron
Die eingegebenen URLs lassen sich aus dem System nicht so einfach löschen, wie dies Cookies und Verlauf ermöglichen. Die eingegebenen URLs im Internet Explorer werden unter HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ TypedURLs gespeichert. Man kann diese löschen, indem man den Schlüssel komplett entfernt oder nur die Einträge dort.

Gleiches gilt wahrscheinlich auch fuer den Mozilla
Warum nun <Clearprog< meint, das Proggi loescht , und dann ...nichts, da bin ich ueberfragt.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

erst mal besten Dank für Deine schnelle Antwort. Schade, dass Du mir in dieser Frage nicht weiterhelfen kannst. Werde versuchen, etwas in den Newsgroups von mozilla.org heraus zu bekommen. Sollte ich Erfolg haben, dann poste ich das Ergebnis hierher.

Übrigens kann man beim IE die Liste der besuchten URL's ganz leicht über Extras ==> Internetoptionen ==> Verlauf löschen bereinigen.

Gruß
Heron

P.S.: Das Löschen der URL-Liste in der Browser-Menu-Bar bei Mozilla erfolgt über "Bearbeiten ==> Einstellungen ==> Navigator ==> History ==> Adressleisten-History löschen".
Das Gute liegt oft so nahe! Man muss es nur finden.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch