virus oder hacker oder beides?

#1 moin,

ich hab hier nicht viel ahnung und mach es deshalb kurz:

gestern hab ich meinen rechner morgens hochgefahren (xp home - mit benutzerpasswort)

da lief noch vor der passworteingabe volles rohr die internetverbindung an. richtig so, als wenn man grad große mengen daten ansaugt.
als ich das passwort eingab, dauerte es bis ich den desktop sehen konnte, und rechts unten in der leiste, wo das avirasymbol sein sollte, war ein blaues dreieck mit spitze nach rechts zeigend (wie auf der playtaste von irgendwas) statt dem avirasymbol. das blieb auch noch ein paar minuten da. bis ich die leitung gekappt habe. dann kam das avirasymbol wieder.

heute fuhr der rechner zwar ohne den internetwahnsinn hoch, aber trotzdem war das blaue dreieck kurz zu sehen - und avira ist heute garnicht mehr aufgetaucht.

scans haben mit avira und MBAM garnix gebracht. Nur spybot hat etwas gefunden: ein reg eintrag mit "windows.security.FirewallOpenPorts".

hat jemand ne idee was hier los sein mag?!

(hatte erst im allgemeinen security forum gepostet, aber ich glaube hier bin ich jetzt wohl besser aufgehoben damit.)

lg konfusius

#2 okay. spybot und avira finden natürlich wie immer nix.

ich hab jetzt mal ad-aware getestet und tatsache: trojan.win32.generic!BT

großartig. warum findet antvir sowas nicht?


der scan der betreffenden datei bei virusscan.jotti.org ergab folgendes:

[ArcaVir]
2010-12-01 Generic.1.1416
[G DATA]
2010-12-01 Nichts gefunden
[Avast! antivirus]
2010-12-01 Nichts gefunden
[Ikarus]
2010-12-01 Trojan-Downloader.Win32.Banload
[Grisoft AVG Anti-Virus]
2010-12-01 Nichts gefunden
[Kaspersky Anti-Virus]
2010-12-01 Trojan-Downloader.Win32.Banload.aene
[Avira AntiVir]
2010-12-01 Nichts gefunden
[ESET NOD32]
2010-12-01 Nichts gefunden
[Softwin BitDefender]
2010-12-01 Nichts gefunden
[Panda Antivirus]
2010-11-30 Nichts gefunden
[ClamAV]
2010-12-01 Nichts gefunden
[Quick Heal]
2010-12-01 Nichts gefunden
[CPsecure]
2010-12-01 Nichts gefunden
[Sophos]
2010-12-01 Mal/Generic-L
[Dr.Web]
2010-12-01 Nichts gefunden
[VirusBlokAda VBA32]
2010-12-01 Trojan-Downloader.Win32.Banload.aene
[Frisk F-Prot Antivirus]
2010-11-30 Nichts gefunden
[VirusBuster]
2010-11-30 Trojan.DL.Banload!s5PmiVXnNDM
[F-Secure Anti-Virus]
2010-12-01 Nichts gefunden


hat jemand erfahrung mit diesem trojan? muss ich den rechner jetzt verbrennen, oder lässt sich noch was machen? das scheissding muss da nämlich schon seit mehr als einem jahr sitzen, die befallene datei ist nämlich schon vor langer zeit ins archiv gewandert. war ja angeblich auch virenfrei (und ist bei jedem monatlichen scan bis heute immer mit gescannt worden. mit antivir.)

#3

Zitat

hat jemand erfahrung mit diesem trojan? muss ich den rechner jetzt verbrennen, oder lässt sich noch was machen? das Schei... muss da nämlich schon seit mehr als einem jahr sitzen, die befallene datei ist nämlich schon vor langer zeit ins archiv gewandert.

Och ob sowas Virenfrei ist läßt sich ja nie so genau sagen, gibs immer mal welche die kommen durch oder waren/sind zu neu. ^^
Nein Verbrennen musste das net, kannst ja die HDD im Notfall putzen. ^^
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 das ding existiert schon mindestens seit 2007, laut google. ruf mal einer bei avira an und sag denen das. *grummel

ich nehm an, ich muss mir jetzt erstmal hijackthis ziehen und dann ergebnisse posten, oder?

würde sich die jemand mit ahnung dann mal anschauen, wenn zeit ist?

und was bedeutet dieses blaue/schwarze dreieck in der schnellstartleiste, das ich beschrieben habe?????

noch was: der trojaner war in der datei freeflvconverter.exe . allerdings wurde er in der gepackten originaldownloadversion nicht gefunden. (download bei chip.de).

sagt uns da noch irgendwas?

#5

Zitat

ruf mal einer bei avira an und sag denen das.

Lohnt sich bei MS Windows doch nicht.

Zitat

ich nehm an, ich muss mir jetzt erstmal hijackthis ziehen und dann ergebnisse posten, oder?

würde sich die jemand mit ahnung dann mal anschauen, wenn zeit ist?

Jo bald wird sich bestimmt nen Helfer melden, hab einfach Geduld.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:56:48, on 01.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Avira\AntiVir Desktop\avshadow.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.hotspotshield.com/g/?c=h
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk.disabled
O8 - Extra context menu item: add to &BOM - D:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1244230807546
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - D:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenSSH Server (OpenSSHd) - Unknown owner - D:\Programme\OpenSSH\bin\cygrunsrv.exe
O23 - Service: UPnPService - Magix AG - D:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 5570 bytes

#7 Das HJT-Log ist unauffällig. Und zu der Sache mit dem Freeflvconverter.exe: das scheint eine Fehlerkennung zu sein. Dazu auch folgendes Thema: http://forum.avira.de/wbb/index.php?page=Thread&threadID=94980

Es kann sein, dass in der Freeflvconverter.exe Routinen enthalten sind, die irgendwelchen Programmroutinen von tatsächlicher Schadsoftware verwendet werden. Somit kann es passieren, dass Virenscanner, deren Heuristik zu stark eingestellt ist, eher zu Fehlererkennungen neigen. Und bei diesen Diensten wie jotti sind die Heuristiken sehr hoch eingestellt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8 hey, vielen dank fürs durchschauen des logs!

ich glaube nicht, dass das was anderes alsn trojaner war.

hatte im ersten posting ja schon beschrieben, was da mit meinem rechner abging.
vielleicht magst du da ja noch mal schauen, wenn du ahnung hast, wär ich dir sehr dankbar!

stichpunkt: -LAN aktivität
-blaues dreieck in schnellstartleiste (sogar ANSTATT des avira-logos)
- völliges verschwinden des avira-logos aus der leiste (schnellstartleiste? ...also rechts unten bei der uhr)

-(fast vergessen: passwörter fürs emailprogramm musste ich auch sehr sehr oft doppelt eingeben)

#9 Was Du beschreibst, lässt nicht zwingend auf ein Schadprogramm schließen. Ich habe zu wenig Erfahrung mit Avira, als dass ich mit Sicherheit sagen könnte, dass das Verhalten normal oder anormal wäre. Aber es wäre nicht das erste Mal, dass Avira ein bisschen ausflippt

Die LAN-Aktivität kann auch durch ein Programm zustande kommen, welches automatisch Updates aus dem Internet bezieht. Also auch erstmal kein Grund zur Sorge. Wenn Du allerdings möchtest, kann ich gerne nochmal über umfangreichere Logs drüberschauen. Dazu bitte mal Schritt 2 und 3 von folgendem Link abarbeiten:
http://board.protecus.de/t40182.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#10 okay, ich habe erst OTL laufen lassen, wie beschrieben (danach klickte ich noch ausm impuls heraus auf "beseitigen" - ich hoffe, das war okay.)

danach hab ich gmer 2mal laufen lassen: ergebnis: abgestürzter rechner auf dem jetzt hier irgendwie garnix mehr so richtig geht. er hat beim wieder hochfahren mehr als 20minuten gebraucht bis ich wieder zugriff auf zB firefox bekam. und irgendwas läuft immernoch im hintergrund und macht alles verdammt langsam. logfile für gmer gibs jetzt natürlich nicht. ist das n abwrackprogramm? hm. naja.

die logs von OTL:


würde ich jetzt wirklich gern posten, aber leider listet das programm haufenweise namen von persönlichen dokumenten auf. das geht nicht.

und nun?

was ist das mit diesem gmer? hier läuft jetzt garnix mehr richtig. im moment kann ich auch kein antivir mehr starten und die mistkrücke braucht jetzt jedesmal mehr als 20minuten bis sie hochfährt. und auch danach ist alles laaaaaaaaaaaaangsam.

ich nehm an ich darf jetzt alles platt machen, großartig.

weiß jemand wie ich bei thunderbird die emails vorher sichern kann? ich brauch da jetzt wirklich ganz ganz dringend hilfe, am besten vorgestern!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

#11 hey leute:

ich hab hier nach anleitung ein programm laufen lassen. jetzt ist hier irgendwie alles im arsch.

was soll ich mir jetzt dazu denken???????????????????????????

*ggrrrrrrr

#12

Zitat

konfusius postete
(danach klickte ich noch ausm impuls heraus auf "beseitigen" - ich hoffe, das war okay.)

Ähm nein. Das war nicht ok - wer weiß, was das getan hat -.-

Ich hab leider nur kurz Zeit, muss jetzt auch schon wieder weg. Vermutlich schaffe ich es erst morgen oder am Samstag, das Problem weiter zu behandeln, deshalb hoffe ich, dass sich in der Zwischenzeit jemand anderes findet, der Dir hier weiterhelfen kann.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#13 tja, nachdem ich OTL ausgeführt hatte, war noch alles okay.

diese GMER-kacke hat mir da ganze system zerstört.

hab grad drei stunden gebraucht, um mir ne knoppix cd zu machen. im moment hab ich nicht übel lust den urheber der software zu verklagen.

naja.

trotzdem danke für das interesse & und den versuch mir zu helfen @ gool!

thema beendet

#14 Auch wenn ich nicht glaube, dass GMER dazu geführt hat, solang Du GMER nicht angewiesen hast, irgendwas zu verändern, da GMER grundsätzlich erstmal nur einen Scan ausführt, der nichts am System ändert.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#15 GMER hat gar nichts getan, es ist nach 20 sek abgestürzt.
(ich schreibe jetzt nicht selbst, sondern muss andere Leute posten lassen)

Folgendes Problem:

habe System Partizipation gelöscht mit Knoppix,
jetzt Neuinstalation von WindowsXP,
Installationsprogramm weigert sich Dateien zu schreiben:
erste Datei :
atmuni.sys

was tun? ich kann nicht insztallieren, was ist da los? Hardwareschaden? Computer wegschmeissen?

Danke für die Hilfe! Ich brauche meinen Computer dringend für meine Arbeit!!

________________________________________________________________________________________
(so, jetzt mit livelinuxcd wenigstens wieder erstmal selbst online)
________________________________________________________________________________________
installationsprobleme windows:

setup kann dateien nicht kopieren:

atmuni.sys
dvdplay.exe
esent97.dll
exe2bin.exe
forcedos.exe
fxshare.chm
gm.dls
ipsecsnp.dll (bis hierhin fortschritt von 25% - dann abbruch durch mich)

was sagt mir das? (die partition wurde durch setup selbst erstellt und formatiert)