Trojaner (oder was?) Problem – winstat.exe, ide21201.vxd ...

#1 Hi,
ich bin neu hier und komme prompt mit einem Problem – sorry, die Suchfunktion half mir leider nicht.
Alles fing damit an, dass ich endlich mal nach Infos zur Systemsicherheit suchte und beim googlen natürlich erschlagend Vieles fand. Also begann ich erstmal mit Spybot S&D, Ad-Aware ... Was dabei herauskam läßt mich jetzt langsam verweifeln und das inzwischen angelesene Anfänger-Halbwissen bringt mich nicht mehr weiter, sondern nur von einem Prob zum anderen. Somit hoffe ich jetzt sehr auf eure Hilfe – bittee!

Konkrete Problem-„Erscheinungen“:
1. Spybot S&D fand vor längerem folgende Probleme:
a) Windows AdTools: Daten (Datei, fixed)
C:\WINDOWS\system32\ide21201.vxd
b) Wind Updates: Class ID (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
Leider habe ich das nicht wirklich wahrgenommen in den sonst ständig nur auftauchenden Standard-DSO-Exploits und erst gestern suchend gefunden. Keine Ahnung ob a) mit b) überhaupt zusammenhängt?

2. Vor zwei Tagen fand Spybot S&D Folgendes:
Amitis: Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-1376643981-1605034043-2014835873-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ami
Da ging dann das große googlen los, aber ohne Ergebnisse. Allerdings bin ich auf Hijackthis gestoßen.

3. Hijackthis gab dieses als für mich Verdächtiges aus:
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
Die automatische Auswertung des HijackThis Logfiles ergab: O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe – Unbekanntes Programm

4. die Suche nach dem von Hijackthis angegebenem Ordner, ließ mich außer der Datei WinStat.exe auch noch zwei weitere finden: WinStatkeep.exe und WinStatComm.dll

5. WinStat.exe aus der Autostart-Liste glöscht

6. Online-Scan mit http://www.kaspersky.com/de/scanforvirus - Ergebnis:
WinStatComm.dll Infiziert: not-a-virus:AdWare.WinAD.u
WinStatKeep.exe Infiziert: not-a-virus:AdWare.WinAD.k

7. Online-Scan mit Bitdefender –Ergebnis:
C:\Dokumente und Einstellungen\Cola\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VYKN3PCL\index2[1].htm: infected with Exploit.Html.MhtRedir.Gen
C:\Dokumente und Einstellungen\Cola\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81YZCDAN\index2[1].htm: infected with Exploit.Html.MhtRedir.Gen
C:\System Volume Information\_restore{D5C08401-8642-47B8-AC00-289F281373AE}\RP434\A0052378.exe: infected with Adware.Winad.z
C:\System Volume Information\_restore{D5C08401-8642-47B8-AC00-289F281373AE}\RP434\A0052378.exe: deleted
C:\Program Files\Windows AdStatus\WinStatKeep.exe: infected with Adware.Winad.z
C:\Program Files\Windows AdStatus\WinStatKeep.exe: deleted
Und außerdem noch ein Trojan.Small.CR in einer exe-Datei von einem Programm, dass ich mal von einem Freund bekommen habe, jedoch nie nutzte. Da es nicht desinfiziert werden konnte, habe ich es gleich gelöscht.

8. Aus Ratlosigkeit ein “Full Scan” bei http://www.security-check.ch/ mit dem Ergebnis, dass Alles bestens sei. Obwohl die mir auch ausgegeben haben, ich hätte keine Firewall – ähh ... hab ich aber! Oder betrachten die das Dings als nicht vorhanden, weil nur eine Software-Firewall??

Meine Fragen:
Zur Winstat*-Sache: Gogglen bescherte mir, dass es sich dabei wohl um einen Trojaner handelt, der mit einer Kodorjan.exe zusammenhängen soll. Die gibt es aber bei mir nicht. Und ich frag mich:
a) ob das stattdessen irgendwie mit der von Spybot S&D gefundenen Datei, ide21201.vxd, zusammenhängt?
b) ob das eventuelle Trojaner-Programm vielleicht gar nicht aktiv geworden ist (wie krieg ich das heraus?) und ich einfach nur ohne weitere Sorge den Ordner mit den ursprünglich drei Winstat*-Dateien löschen muss?

Zu 7. (Bitdefender-Ergebnis):
Was sagt das denn nun aus und welche Handlungen sollte es nach sich ziehen? Den Ordner Content.IE5 gibt es an der beschriebenen Stelle nicht (mehr?) – hat sich das Problem damit erledigt oder muss ich noch etwas tun?
Den Ordner C:\System Volume Information\_restore{D5C08401-8642-47B8-AC00-289F281373AE}\RP434 gibt es nach wie vor, wenn auch jetzt ohne die A0052378.exe. Ich habe keine Ahnung, wozu der Ordner gut ist oder ob ich den besser gleich komplett löschen soll?

Und überhaupt ... wieso hat mein AVG-Virenscanner, den ich täglich update, rein gar nichts von all dem gefunden

Danke schon mal, dass sich jemand bis hierhin durch gelesen hat. Ich hoffe sehr darauf, dass es Antworten gibt, die mir sagen, dass ich das Ganze jetzt auf sich beruhen lassen kann! Oder?

cola

#2 Hallo!

Bitte mal ein Hijackthis log posten.

Den Ordner Content.IE5 gibts schon, geh mal in den Ordner Temp. Internet Files unter deinem Account und tippe manuell in die Adressleiste Content.IE5 ein, nach einem bestätigen wirst Du dann den Inhalt erblicken.
Der System Volume Information Ordner ist für die Systemwiederherstellung, dort wenns geht am besten nichts löschen, ausser Viren

Ciao

PS. Ja die vxd ist spyware.

#3 Hallo unzen!
... ja den Ordner Content.IE5 habe ich jetzt also im Temp-Verzeichnis gefunden - ich hatte natürlich nur im angegeben Pfad \Lokale Einstellungen\Temporary Internet Files\ geschaut. Der ist zumindest ganz leer bis auf index.dat.

Zitat

Der System Volume Information Ordner ist für die Systemwiederherstellung, dort wenns geht am besten nichts löschen, ausser Viren

Okay, danke, dann hoffe ich mal dass Bitdefender das gelöscht hat, was weg musste ;-)

Zitat

PS. Ja die vxd ist spyware.

Muss ich da jetzt noch etwas Weiteres unternehmen?

Die jetzige Hijackthis-Log zeigt die Winstat.exe nicht mehr an (s.u.) - oder hätte ich die erste Log posten sollen?

Logfile of HijackThis v1.99.1
Scan saved at 15:47:57, on 24.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\PCsicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\NetDevSw\NetDevSW.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\PCsicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Network Device Switch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094972255895
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = msheimnetz
O17 - HKLM\Software\..\Telephony: DomainName = msheimnetz
O17 - HKLM\System\CCS\Services\Tcpip\..\{853D70F7-CD05-4D29-9318-F0A41BE9C682}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Danke für die Antwort! :-)
cola

#4 Hi!

Klar musst Du was tun

Erstens die Winstat Dateien löschen UND die .vxd.

Dann mal im abgesicherten Modus starten, die Systemwiederherstellung deaktivieren und mit den jeweils aktuellsten Definitionen von Spybot/Bitdefender und eScan den PC scannen lassen und alles removen was die anmeckern.

Danach diesen Eintrag mit Hijackthis entfernen:

O4 - Global Startup: Network Device Switch.lnk = ?

Ansonsten sollte alles passen. Den PC neustarten und die Systemwiederherstellung wieder aktivieren.

Nach dem Du alles _so_ gemacht hast wie ich beschrieben habe solltest Du ziemlich sicher wieder ein sauberes System haben.

Mfg

#5 Danke Unzen!

Ich werde Alles abarbeiten, mir escan besorgen und wohl auch die Bitdefender-Free-Edition -- oder kann man auch im abgesicherten Modus einen Online-Scan machen? Ich habe da leider Null Ahnung!

Ach ja ... kann ich eigentlich den ganzen Ordner C:\Program Files\Windows AdStatus löschen oder war der sozusagen schon immer bei XP dabei?

Und, sorry wenn ich nerve, aber könntest du es in % ausdrücken, wie sicher es ist, dass keine Datendateien befallen sind nach der ganzen Prozedur? Die Daten hatte ich nämlich gerade erst vor ein paar Tagen mit neu erworbenem TrueImage gesichert und eine andere Sicherung ist leider nicht da.

Weißt du vielleicht auch noch, was diese Amitis-Sache mit der Extension .ami ist?

mfg
cola

#6 Hallo!

Einmal ein befallenes System und es ist eigentlich nichts mehr wie vorher allerdings bin ich mir ziemlich sicher das es schön clean ist das system, sagen wir 90% ?

Zwecks dem amitis, hier kannst Du diese Beschreibung auch noch vorsichtshalber durcharbeiten, lieber nun mal 1-2 Stunden arbeit als ein defektes System:
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.amitis.b.html

Einen Online Scan im abgesicherten Modus sollte nicht möglich sein da keine Treiber geladen werden (Ich weis nicht welche Internetverbindung Du hast) aber ein aktueller Anti Virus welcher lokal installiert ist, ist besser.

Ja den Adstatus Ordner kannst Du definitiv löschen!

Mfg

#7 Hi,

Na, dann werde ich mich also mit den 90% abfinden - immer noch besser, als wenn ich gar nicht mit dem Thema Sicherheit angefangen wäre und wohl noch lange nix von meinem verseuchten System bemerkt hätte!

Den Link werde ich mit Sicherheit auch durchgehen. Mal sehen wie lange ich für das Komplett-Programm brauche ;-)
Auf jeden Fall melde ich mich danach nochmal, mit einer (hoffentlich) Erfolgsmeldung.

Vielen herzlichen Dank unzen!

cola