Mchinjdrv enthält Graybird.m

#1 Ich glaube ich habe mich im Unterforum verguckt. Es sollte eigentlich in die Trojaner-Abteilung. Aber Spyware ist auch dabei, also stimmts ja doch irgendwie. Sorry.


Hallo zusammen!

Windows Explorer wollte zum zweiten Mal innerhalb eines Tages ins Internet (verweigert). Daraufhin habe ich mir eine Seite ergoogelt, wo was zu diesem Thema stand und ein empfohlenes Programm (NoAdware) mal runtergeladen und ausgeführt.
Ergebnis: Die NoAdware fand den Backdoor Graybird.M in der Registry mit dem Verweis auf eine Datei in den „Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp\mc21.tmp“, (die nicht existierte).

Hier soll er überall sein:
HKLM_System_ControlSet001_Enum_Root_LEGACY_MCHINJDRV
HKLM_System_ControlSet001_Services_mchInjDrv
HKLM_System_ControlSet004_Enum_Root_LEGACY_MCHINJDRV
HKLM_System_ControlSet004_Services_mchInjDrv
HKLM_System_CurrentControlSet_Enum_Root_LEGACY_MCHINJDRV
HKLM_System_CurrentControlSet_Services_mchInjDrv

Diese Schlüssel kommen nach Löschen beim Neustart wieder. Bemerkenswert hierbei ist, dass die Pest im abgesicherten Modus nicht auftaucht, aber sonst auf allen Konten erscheint. Systemwiederherstellung ist derzeit deaktiviert.
Beim schnellen Benutzerwechsel sind die Schlüssel in der Registry nicht zu finden nachdem sie einmal gelöscht wurden, nach dem Abmelden und Neuanmelden mit anderem Konto schon. Ebenso kommen sie auf ein eingeschränktes Konto, nur mit dem Unterschied, dass die Legacy-Einträge von dort aus nicht gelöscht werden können.

AntiVir fand nichts, Lavasoft-AdAware fand nichts, Spybot Search & Destroy fand NoAdware. Hierzu habe ich in einem anderen Thread hier gelesen dass es ein fake spyware removal tool sein soll, das seinerseits Malware implantiert, also habe ich es wieder runtergeschmissen.
Hijackthis fand nur gutes, Panda fand nichts, das Microsoft Spyware Removal Tool fand auch nichts (hätte mich auch gewundert), nur Escan fand altnet Spyware/Adware und auch cws.therealsearch.

Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Cwshredder fand eine kleine Unsicherheitseinstellung in den ZoneMaps, aber sonst auch nichts. Silent Runners fand die als harmlos bekannte Original-Datei von Nvidia
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "NVDESK32.DLL" ["NVIDIA Corporation"].

Spy Sweeper fand nichts, Bitdefender Free Edition v7.2 fand ein paar (64) I/O-Fehler. Bei dem habe ich aber nicht gesehen, dass er die Registry prüft, und wahrscheinlich hat er die auch ausgelassen.
Dabei lasse ich dieses mchInjDrv extra zunächst mal in der Registry drin, damit die Scanner es auch finden können. Erst bevor ich ins Netz gehe, lösche ich es (Benutzerkonto mit Administratorenrechten; ja, ich weiß, das soll man nicht, aber ich brauche Zugriff auf den MBSA, den ich öfter mal ausführe).

Jetzt habe ich natürlich hier zuerst nach Lösungen gesucht, aber alle Beiträge, die eines der Stichwörter enthalten, schlagen vor, irgendwelche Dateien zu löschen die ich nicht habe. Zum Thema mchInjDrv ist hier noch nichts. Die Beschreibungen von Sophos und Symantec habe ich gelesen, aber sie helfen mir nicht, weil vieles was denen zufolge alles erstellt und verändert wird, nicht auf dem System zu finden ist, außer den genannten Registry-Einträgen.

OS ist Windows XP mit SP2, Browser meistens IE 6 (nachdem der Firefox zu lahm geworden ist) mit den neuesten Patches.

Nun die Fragen:
- Warum findet jedes Programm, wenn überhaupt, was anderes?
- Wo muss ich ansetzen, um den Mist loszukriegen?

Für jede Auskunft außer Formatieren und Neuaufsetzen bin ich dankbar. Falls ihr irgendwelche Scanlogs braucht, ich wusste nicht welche ich reinkopieren soll; es sind einfach zu viele.

Schönen Gruß
Ganzneuer

#2 Kannst Du bitte mal ein HJT-Logfile posten? Evtl. könnte man daraus schon mehr erkennen...

btw. habe auch ich diese Registry-Schlüssel und mit hoher Sicherheit keinen Trojaner oder Sonstwas. Nachdem Du ja bereits herausgefunden hast, dass NoAdware selbst eine Malware ist, könnte es ja auch durchaus sein, dass er diese Meldung nur gemacht hat, um Dir Angst einzujagen, oder weil das Programm einfach nur schlecht ist, denn die anderen AntiSpyware-Programme müssten ja auch was in der Richtung gefunden haben.

Und solltest Du keine Dateien wie yak_tw.DLL etc. bei Dir finden, dann wirst Du den Backdoor auch nicht haben.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo blueslayah,

danke für die schnelle Antwort.

Hier is der HJT-Log

Wegen der zwei Virenwächter die da zu sehen sind: Der Bitdefender ist nur mal so zum Testen installiert und der AV Guard ist inaktiv. Da beißt sich also nichts. Die nvsvc32.exe ist von Nvidia. Laut HJT ungefährlich aber unnötig.


Logfile of HijackThis v1.99.1
Scan saved at 20:28:49, on 22.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\0190 warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\acsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1122042670562
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\acsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE401.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Wegen der Registry-Einträge bin ich erst mal beruhigt, danke. Die werden von allen möglichen Antyspyware-Programmen verwendet, wie ich eben gelernt habe.
Yak-Dateien sind keine vorhanden (gewesen), die für den Graybird.M typisch wären. Da bin ich also wohl einem Hoax aufgesessen. Das kommt davon, wenn man auch mal was neues ausprobieren will.

Was aber mache ich jetzt mit den Escan-Meldungen? Die sind nach wie vor vorhanden.

Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Danke für deine Bemühungen.

Gruß
Ganzneuer

#4 Hi!

Fixe:

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

NEUSTART

Mache mal nen Escancheck:
http://virus-protect.org/escan.html

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#5 Hier ist was noch dazu zu finden:
http://board.protecus.de/t17867-3.htm

und wegen altnet:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453074383
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6 Hi Yourhighness!

Danke für die Antwort. Die beiden verlorenen Einträge habe ich bereits gefixt, weil die automatische Auswertung darauf hinwies (nach dem Kopieren gemacht). Als ich schrieb, der HJT findet nichts schlimmes, da hatte ich den Bitdefender noch nicht installiert, und schlimm ist es ja auch nicht, nur überflüssig.

Zum Escan: Ich mache seit drei Tagen regelmäßig Suchläufe und regelmäßig kriege ich das hier:

Zitat

Was aber mache ich jetzt mit den Escan-Meldungen? Die sind nach wie vor vorhanden.

Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Keine andere Antispy-Software findet irgendwas, nur eben Escan.
Was soll man da machen?

Ratlosen Gruß
Ganzneuer


---------------------------------------------------------------------------

Danke blueslayah,

da haben sich die Einträge grade eben überschnitten.

Ich probiere es dann gleich mal aus.

Gruß
Ganzneuer

#7 Ok, Du wirst Dich dann nochmal melden, wenn das Problem damit gelöst oder nicht gelöst werden konnte?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8 Hi!

Falls Du fragen hast zu der Entfernung wie bei den Links angegeben, meld dich einfach noch mal ;-)

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#9 Hallo blueslayah und Yourhighness,

diese Meldung

Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

wird wohl solange erscheinen wie ich AOL auf dem Rechner habe. Freundlicherweise benennt sie der Logfile von Escan – die Meldungen hatte ich aus dem Dialogfenster rauskopiert (und ich gucke schon ganz zerknirscht).
Die „waol.exe“ wird oft von Spyware benutzt, was der Escan anscheinend weiß. Es ist aber 100% die Original-Datei, die mit der Installation eingesetzt wurde. Also Entwarnung hier.

Zum altnet und dem zweiten Link, der angegeben wurde: http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453074383

Kazaa hatte ich nie, höchstens emule. Da wurden auch durch einen Online-Scan von Pest Patrol (aus dem ersten Link, ganz unten) BearShare-Einträge in der Registry gefunden (und von mir entfernt). Die waren aber insoweit nachvollziehbar, als ich mir von emule vor kurzem ein Zusatztool geladen habe. Ich spekuliere mal, dass nach Deinstallation von emule die Meldung über „altnet“ auch nicht mehr erscheinen würde.
Ein zweiter Suchlauf mit Pest Patrol gerade vorhin ergab 0 Pests.

Die beiden Links hatte ich übrigens auch hier gefunden, nur das Pest Patrol nicht ausprobiert.

Auf die verwaisten Zuordnungen aus dem Escan-Log will ich nicht eingehen, aber das hier würde mich noch interessieren:

Sat Jul 23 10:32:45 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!

Da steht überhaupt kein Wert. Aber das wird auch nicht so wichtig sein.

Jedenfalls bedanke ich mich für eure Anregungen und die Mühe, die ihr euch gemacht habt.
Bis hoffentlich nicht so bald in diesem Sinne ;-)

Frohen Gruß
Ganzneuer

#10 @Ganzneuer
Den eintrag "file missing"ist ein fehler von Hijack This!
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Hoffentlich kriegst du deine up-dates noch von Bitdefender!

Ich benutze selbst eScan als Virusscanner,wenn ich aber den Trailversion benutze wird immer was gefunden,aber mein virusscanner findet nichts
dass nennt man "False positive"
http://securityresponse.symantec.com/avcenter/venc/data/what.false.positive.html

NoAdware schau mal nach bei http://www.spywarewarrior.com/rogue_anti-spyware.htm
__________
MfG Argus

#11 Hi!

Wegen der Escan Testversion, nutzen Nikita und ich immer den escancheck. Damit dürfte es also gehen...

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#12 Hallo Arnold und Yourhighness,

danke für die Info über die Bitdefender-Einträge. Es war schon merkwürdig, die zu sehen. Aber der Bitdefender (Testversion) ist wieder runter, denn der hat mir ja nicht die Registry gescannt, ausgerechnet das was ich am nötigsten gebraucht hätte.

Danke auch für die Liste über die Schurken-(Anti)-Spyware. Ich werde in Zukunft nur den als gut bekannten vertrauen (Lavasoft, Spybot S&D, Spysweeper, Trend Micro, Pest Patrol).

Zum Escan:
Genau diese neue Version habe ich benutzt, escheck, und damit wurde ja gefunden, was nur möglicherweise eine Gefahrenquelle darstellt.
Gut zu wissen, dass man diese Meldungen auch anders interpretieren kann.

Jedenfalls bin ich jetzt wieder ein kleines bisschen schlauer als vor der Anfrage hier im Forum. Danke allen Helfern.

Schönes Wochenende
Ganzneuer