Frage zu Spybot Search and Destroy

Miniwinni

Lt. Commander
Dabei seit
Dez. 2003
Beiträge
1.271
#1
Hi,

seit dem letzten Update bei S & D, findet das prog nach jedem Neustart

diese 3 Einträge :

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mchInjDrv


Vor dem Update hat er das nie bemängelt etc. Auch bei meiner Frau findet er das plötzlich!

Andere Pprogs. wie Adaware oder Hijackthis finden nichts. Auch mein Antivirenprog bescgwert sich nicht.

Jemand ne Ahnung was das sein kann?


Gruss und danke!!

Miniwinni
 

Speedy

Cadet 4th Year
Dabei seit
Juli 2001
Beiträge
107
#2
Ich habe folgendes gefunden:

An folgender Stelle werden Registrierungseinträge erstellt:
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv

Troj/LanFilt-J ist ein Trojaner für die Windows-Plattform.
Troj/LanFilt-J kann folgende Aktionen starten:

Speichern von Tastenfolgen
Stehlen von Daten
Stehlen von Kennwörtern
Beenden von Prozessen
Erstellen von Bildschirm- und Webcamaufnahmen
Deaktivieren der Windows XP Firewall
Abschalten der Systemwiederherstellung
Hoch- und Herunterladen von Dateien
Verstecken des Trojaners durch Verheimlichungstaktiken.

Troj/LanFilt-J sendet die gestohlenen Daten an eine remote Website.
Der Trojaner kann weitere Anwendungen ablegen, um Einwahl-, Instant-Messenger- und E-Mail-Konto-Kennwörter zu stehlen.

Gruß
Speedy
 
Dabei seit
Sep. 2005
Beiträge
238
#3
Schau mal hier und suche auf der Seite nach mchInjDrv.
Vielleicht hilft's ja?
 

Miniwinni

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2003
Beiträge
1.271
#5
Jo danke euch! Habs schon im abgesicherten Modus probiert aber der kommt immer wieder! Stellt sich die Frage, womit bekomme ich den Weg. Habe die Proffessional Edition von AntiVir. Wenn cih das mit S&D beseitige ist es beim nächsten Neustart wieder da. Jemand ne Lösung?

gruss
 
Dabei seit
März 2005
Beiträge
620
#6
Du solltest erst mal feststellen, um welche Variante des Virus es sich handelt. Bei Sophos sind 3 Versionen davon gelistet.

http://www.sophos.de/virusinfo/analyses/trojlanfiltj.html
http://www.sophos.de/virusinfo/analyses/trojfeutela.html
http://www.sophos.de/virusinfo/analyses/trojfeutelb.html

Evtl. hilft auch ein Hijackthis-Logfile weiter, das du in diesem Forum oder auch hier auswerten lassen kannst:

http://www.hijackthis.de/

Alternativ könntest du auch einen Online-Virencheck durchführen lassen oder mal ein anderes On-Demand-Virenprogramm laufen lassen.

http://www.heise.de/security/dienste/antivirus/links.shtml
 
Dabei seit
Sep. 2005
Beiträge
157
#7
noch ne möglichkeit...wenn sich das ding versteckt klingt das nach nem rootkit...

hab da letztens was drüber gelesen...

also du musst einmal OS starten und irgendwie alle dateinamen in eine datei kopieren... da gabs meiner meinung nach en befehl dafür. dann musst du noch mal von nem externen medium booten, also von ner CD oder so..knoppix vlt....dort auch nochmal alle dateien kopieren


dann musst du die beiden files vergleich, da gabs auch nen windows befehl dafür, hab ihn nur nicht im kopf..

und nun siehst du welche dateien das rootkit im normalen betriebsmodus versteckt....diese dann manuell löschen...


wenn du das machen willst, such ich den artikel nochmal raus und guck mal ganz genau nach wie das ging..


glaube da gabs auch progs dafür....bin mir aber nicht sicher...

Irie
 

Miniwinni

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2003
Beiträge
1.271
#8
Hi,

danke euch allen!


Also, Hijack findet nichts aussergewöhnliches, Adaware nicht, Anti Trojan nicht, Antivir Professional nicht, habe sogar Norton mal draufgemacht, auch der findet nichts., Stinger erfolglos etc etc. Auch im abgesichertehn Modus findet keiner der Progs irgendetwas etc.

Boah ich verzweifele! Wie gesagt kann ihn mit S&D entfernen aber beim nächsten boot ist er wieder da!

Jemand noch Idee welches prog funkt. könnte?

Gruss
 
Dabei seit
März 2005
Beiträge
620
#9
Hast du denn mal geschaut, ob eine der Dateien, die bei Sophos unter "Erweitert" stehen auf deinem Rechner vorhanden sind?

"Troj/LanFilt-J kopiert sich als "mshost.exe" in den Windows-Ordner und erstellt eine DLL namens "xpcore.dll" im selben Ordner. Diese Dateien sind möglicherweise vor der Ansicht versteckt, da der Trojaner Verheimlichungstaktiken anwenden kann."

"Troj/Feutel-A kopiert sich als "G-Server.exe" in den Windows-Ordner und erstellt im selben Ordner Dateien namens "G_Server.DLL" und "G_Server_Hook.DLL"."

"Troj/Feutel-B verschiebt sich als "svchost.exe" in den Windows-Ordner und erstellt 2 DLL-Dateien namens "svchost.dll" und "svchost_hook.dll"."

Aber Vorsicht: Svchost.exe im Windows\System32-Verzeichnis ist eine Windows-Datei.
 
Top