1. #1
    Lt. Commander
    Dabei seit
    Dez 2003
    Ort
    Mittelerde
    Beiträge
    1.160

    Frage zu Spybot Search and Destroy

    Hi,

    seit dem letzten Update bei S & D, findet das prog nach jedem Neustart

    diese 3 Einträge :

    Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv

    Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv

    Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mchInjDrv


    Vor dem Update hat er das nie bemängelt etc. Auch bei meiner Frau findet er das plötzlich!

    Andere Pprogs. wie Adaware oder Hijackthis finden nichts. Auch mein Antivirenprog bescgwert sich nicht.

    Jemand ne Ahnung was das sein kann?


    Gruss und danke!!

    Miniwinni
    Intel Core Duo 3.0 GHz @ 3.8 GHz @ 1,25 V cooled by Artic Cooling Freezer 7 + Liquid Pro WLP, **2 GB Kingston DDR2 800 MHz 5-5-5-15, SB Live Audigy 2 ZS**ATI X1950XTX - 512MB DDR4@ 720 / 2160**SATA DVD Brenner Samsung SH-S183L /Samsung SATA DVD SH-D163A**1 X 74 GB SATA WD Raptor 10.000 U/min **ASUS P5Q , Intel P 45 ICh10***XP Prof.

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Cadet 4th Year
    Dabei seit
    Jul 2001
    Beiträge
    106

    AW: Frage zu Spybot Search and Destroy

    Ich habe folgendes gefunden:

    An folgender Stelle werden Registrierungseinträge erstellt:
    HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv

    Troj/LanFilt-J ist ein Trojaner für die Windows-Plattform.
    Troj/LanFilt-J kann folgende Aktionen starten:

    Speichern von Tastenfolgen
    Stehlen von Daten
    Stehlen von Kennwörtern
    Beenden von Prozessen
    Erstellen von Bildschirm- und Webcamaufnahmen
    Deaktivieren der Windows XP Firewall
    Abschalten der Systemwiederherstellung
    Hoch- und Herunterladen von Dateien
    Verstecken des Trojaners durch Verheimlichungstaktiken.

    Troj/LanFilt-J sendet die gestohlenen Daten an eine remote Website.
    Der Trojaner kann weitere Anwendungen ablegen, um Einwahl-, Instant-Messenger- und E-Mail-Konto-Kennwörter zu stehlen.

    Gruß
    Speedy
    Mein System: Intel i7 3820@4.3 GHz mit Corsair H100, Mainboard: ASUS Rampage IV Extreme, Speicher: 16GByte Kingsten HyperX 1600, POV GeForce GTX 680, Plextor 128 GB SSD, 1 x SATA WD RE4 1 TB, 1x SATA WD RE4 2 TB.

  4. #3
    Ensign
    Dabei seit
    Sep 2005
    Beiträge
    238

    AW: Frage zu Spybot Search and Destroy

    Schau mal hier und suche auf der Seite nach mchInjDrv.
    Vielleicht hilft's ja?
    MSI K9N Neo V2 / Athlon 64x2 Dual Core 5000+ / 2x 1024 MB RAM / 2x 160 GB SATA2 (RAID1) + 1x 160 GB SATA2 / DVD ROM (16/52) + RAM (16/40) / GeForce 6200 256 MB / LG 19" TFT / W-LAN Speedport+Digitus / Samsung 32" TFT(TV) / Canoscan N670U / HP DJ 6540 / MSI BT-Hub / ...
    XP Home / OpenOffice / Notepad++ / Firefox / Thunderbird / Sunbird / UltraVNC / Miranda / Skype / FileZilla / Paint.NET / PhotoPhiltre / ...

  5. #4
    Captain
    Dabei seit
    Aug 2003
    Ort
    in der Mitte
    Beiträge
    3.978
    Wenn die Sonne ganz ganz tief steht, werfen auch Zwerge lange Schatten.

    Otro mundo es posible
    Sed quis custodiet ipsos custodies?

    https://www.youtube.com/watch?v=Mht9k8Sil5A

  6. #5
    Lt. Commander
    Ersteller dieses Themas

    Dabei seit
    Dez 2003
    Ort
    Mittelerde
    Beiträge
    1.160

    AW: Frage zu Spybot Search and Destroy

    Jo danke euch! Habs schon im abgesicherten Modus probiert aber der kommt immer wieder! Stellt sich die Frage, womit bekomme ich den Weg. Habe die Proffessional Edition von AntiVir. Wenn cih das mit S&D beseitige ist es beim nächsten Neustart wieder da. Jemand ne Lösung?

    gruss
    Intel Core Duo 3.0 GHz @ 3.8 GHz @ 1,25 V cooled by Artic Cooling Freezer 7 + Liquid Pro WLP, **2 GB Kingston DDR2 800 MHz 5-5-5-15, SB Live Audigy 2 ZS**ATI X1950XTX - 512MB DDR4@ 720 / 2160**SATA DVD Brenner Samsung SH-S183L /Samsung SATA DVD SH-D163A**1 X 74 GB SATA WD Raptor 10.000 U/min **ASUS P5Q , Intel P 45 ICh10***XP Prof.

  7. #6
    Lieutenant
    Dabei seit
    Mär 2005
    Ort
    Sauerland
    Beiträge
    616

    AW: Frage zu Spybot Search and Destroy

    Du solltest erst mal feststellen, um welche Variante des Virus es sich handelt. Bei Sophos sind 3 Versionen davon gelistet.

    http://www.sophos.de/virusinfo/analy...jlanfiltj.html
    http://www.sophos.de/virusinfo/analy...ojfeutela.html
    http://www.sophos.de/virusinfo/analy...ojfeutelb.html

    Evtl. hilft auch ein Hijackthis-Logfile weiter, das du in diesem Forum oder auch hier auswerten lassen kannst:

    http://www.hijackthis.de/

    Alternativ könntest du auch einen Online-Virencheck durchführen lassen oder mal ein anderes On-Demand-Virenprogramm laufen lassen.

    http://www.heise.de/security/dienste...us/links.shtml

  8. #7
    Ensign
    Dabei seit
    Sep 2005
    Ort
    Oschatz/Sachsen
    Beiträge
    155

    AW: Frage zu Spybot Search and Destroy

    noch ne möglichkeit...wenn sich das ding versteckt klingt das nach nem rootkit...

    hab da letztens was drüber gelesen...

    also du musst einmal OS starten und irgendwie alle dateinamen in eine datei kopieren... da gabs meiner meinung nach en befehl dafür. dann musst du noch mal von nem externen medium booten, also von ner CD oder so..knoppix vlt....dort auch nochmal alle dateien kopieren


    dann musst du die beiden files vergleich, da gabs auch nen windows befehl dafür, hab ihn nur nicht im kopf..

    und nun siehst du welche dateien das rootkit im normalen betriebsmodus versteckt....diese dann manuell löschen...


    wenn du das machen willst, such ich den artikel nochmal raus und guck mal ganz genau nach wie das ging..


    glaube da gabs auch progs dafür....bin mir aber nicht sicher...

    Irie

  9. #8
    Lt. Commander
    Ersteller dieses Themas

    Dabei seit
    Dez 2003
    Ort
    Mittelerde
    Beiträge
    1.160

    AW: Frage zu Spybot Search and Destroy

    Hi,

    danke euch allen!


    Also, Hijack findet nichts aussergewöhnliches, Adaware nicht, Anti Trojan nicht, Antivir Professional nicht, habe sogar Norton mal draufgemacht, auch der findet nichts., Stinger erfolglos etc etc. Auch im abgesichertehn Modus findet keiner der Progs irgendetwas etc.

    Boah ich verzweifele! Wie gesagt kann ihn mit S&D entfernen aber beim nächsten boot ist er wieder da!

    Jemand noch Idee welches prog funkt. könnte?

    Gruss
    Intel Core Duo 3.0 GHz @ 3.8 GHz @ 1,25 V cooled by Artic Cooling Freezer 7 + Liquid Pro WLP, **2 GB Kingston DDR2 800 MHz 5-5-5-15, SB Live Audigy 2 ZS**ATI X1950XTX - 512MB DDR4@ 720 / 2160**SATA DVD Brenner Samsung SH-S183L /Samsung SATA DVD SH-D163A**1 X 74 GB SATA WD Raptor 10.000 U/min **ASUS P5Q , Intel P 45 ICh10***XP Prof.

  10. #9
    Lieutenant
    Dabei seit
    Mär 2005
    Ort
    Sauerland
    Beiträge
    616

    AW: Frage zu Spybot Search and Destroy

    Hast du denn mal geschaut, ob eine der Dateien, die bei Sophos unter "Erweitert" stehen auf deinem Rechner vorhanden sind?

    "Troj/LanFilt-J kopiert sich als "mshost.exe" in den Windows-Ordner und erstellt eine DLL namens "xpcore.dll" im selben Ordner. Diese Dateien sind möglicherweise vor der Ansicht versteckt, da der Trojaner Verheimlichungstaktiken anwenden kann."

    "Troj/Feutel-A kopiert sich als "G-Server.exe" in den Windows-Ordner und erstellt im selben Ordner Dateien namens "G_Server.DLL" und "G_Server_Hook.DLL"."

    "Troj/Feutel-B verschiebt sich als "svchost.exe" in den Windows-Ordner und erstellt 2 DLL-Dateien namens "svchost.dll" und "svchost_hook.dll"."

    Aber Vorsicht: Svchost.exe im Windows\System32-Verzeichnis ist eine Windows-Datei.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •