Trojaner/Virus kontaktiert Verisign Seiten

#1 Hallo alle zusammen!

Vor ein paar Tagen hat sich plötzlich Kerio vor dem Systemstart gemeldet und gebeten Einstellungen bezüglich WindowsNetworking zu machen. Ich hab den Dialog mit Cancel weggeklickt. Dannach waren alle meine Filterregeln verschwunden.

Mein Rechner ist seitdem ein paar mal abgestürzt. Netscape friert manchmal ein und seit 2 Tagen versucht mein Rechner folgende Adressen über Port 80 mit dem Prozess Windows Explorer bei einem rechtsklick auf Dateien und beim Neustart zu erreichen:

crl.verisign.com
Adressräume
198.49.161.---
216.168.254.---
sitefinder.verisign.com

Vor einem Virenscan versucht mein Computer dasselbe über Port 80 mit Norton-Antivirus.

Hab schon Norton mit aktuellen Virusdefinitionen drüberlaufen lassen, Ad-Aware 6.0 und CWSShredder verwendet leider ohne Ergebniss.

Logfile of HijackThis v1.97.7
Scan saved at 03:13:14, on 09.01.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
C:\apache\mysql\bin\mysqld-nt.exe
D:\NAVis\navapsvc.exe
D:\NAVis\AdvTools\NPROTECT.EXE
D:\WINNT\System32\nvsvc32.exe
D:\net\Kerio\Personal Firewall\persfw.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\snmp.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\Tablet.exe
D:\WINNT\System32\vmnetdhcp.exe
D:\WINNT\system32\vmnat.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\WINNT\System32\devldr32.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Sys\Disk Space Monitor\DiskMon.exe
D:\net\Netscape\Netscape\Netscp.exe
D:\sys\WinZip\winzip32.exe
D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 666.555.444.333:22211
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\tex\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\NAVis\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\NAVis\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\NAVis\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: Festplattenanzeige.lnk = D:\Sys\Disk Space Monitor\DiskMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RICOH Gate La.lnk = D:\Caplio Software\RGateL.exe
O9 - Extra button: Rapidspark (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Kann mir jemand sagen ob es sich um einen Trojaner oder Virus handelt und eventuell Informationen zur Abhilfe sagen?

Schon danke im vorraus

#2 Ich kann da so nichts sehen. Du kannst ja mal versuchen, ob das mit einem Windowsupdate zu beheben ist. Verisign sehe ich eher als vertrauenswuerdig an.
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
Verisign sehe ich eher als vertrauenswuerdig an.

Sieh mal diesen Artikel von Spywareinfo.com
http://www.spywareinfo.com/newsletter/archives/0903/24.php
Zeitdem ist bei mir Verisign geblockt
__________
MfG Argus

#4 @raman: Das Problem ist ja nicht wirklich Verisign, sondern das diese Verbindungen aufgebaut werden wenn ich einen Rechtsklick auf eine Datei mache.

@Arnold: Danke für den Link, kannte die Infos schon, war aber trotzdem interessant zu lesen.

#5 Den Artikel kenne ich, denoch sehe ich die als *eher" vertrauenswuerdig an.
__________
MfG Ralf
SEO-Spam Hunter

#6 Die mysteriöse Verbindung zu Verisign könnte unter Umstände auch von Norton stammen.
Diese Beschreibung ist zwar nicht identisch aber die Protagonisten scheinen die gleichen zu sein.
gkweb ist als FirewallLeakTester bekannt und dürfte auch kein Nortonhasser sein da er NAV selber auf seiner Homepage (noch) empfehlt.

Gruß
Ajax

#7 Hallo,

ich habe genau dasselbe Problem und es ist ziemlich "annoying". Bei jedem click mit der rechten Maustaste will Explorer.exe oder auch gern mal eine andere Applikation zu crl.verisign.com connecten.

Ich glaube, ich hab jetzt was gefunden!

Vorübergehende Problemlösung:
Beim Internet Explorer unter Extras -> Erweitert -> Internetoptionen -> "Auf zurückgezogene Zertifikate von Herausgebern überprüfen" das Häckchen wegklicken.

Hier steht auch, warum es so ist:
http://verisign.com/support/vendors/exp-gsid-ssl.html:

Error Condition
If an application uses PKI best practices, it will check that the validity periods of all certificates in the trusted chain do not overlap, and report an error accordingly. Because 24-month certificates issued after 1/8/2002 and 12-month certificates issued after 1/8/2003 would have validity periods in excess of the original Intermediate CA, when you obtained a new GSID that expired beyond 1/6/2004, your server application should have generated an error.

Gruss,
loony

#8 Hey loony, vielen Dank, das hat das Problem ruhig gestellt. Ich hätte nicht gedacht das das Problem mit den Zertifikaten zusammenhängt. Immerhin muss mein Rechner mittels rechtsklick ja keine ssl-verbindung eingehen, oder ist das jetzt schon die Vorstufe von Palladium, wenn jeder rechtsklick ein gültiges Zertifikat benötigt.