Trojaner der setup.exe erstellt?

[EvilHomer]

Hi, ich habe seit 2 Tagen ein Problem. Immer wieder (ich denke im Schnitt alle 4 Stunden Onlinezeit, aber sehr unregelmäßig) bekomme ich von Kaspersky AV die selbe Viruswarnung. Kaspersky behauptet dann stets die betreffende Datei gelöscht zu haben und ich finde sie danach auch nicht mehr (auch nicht zum beispiel mit Killbox.exe). Aber sie kommt halt immer wieder. Es handelt sich um eine Datei namens setup.exe, die im Folder C:/Dokumente und Einstellungen/All Users/Dokumente zu finden sein soll (natürlich nur, bevor Kaspersky sie löscht ;-)). Der angeblich gefundene Virus nennt sich Trojan-Proxy.Win32.Horst.av, wobei er, laut Google jedenfalls, auch unter dem Namen Backdoor-cmq bekannt sein soll.

Jetzt frage ich mich natülich was los ist, hab auch schon andere Antiviren-Programme durchlaufen lassen, Anti-Spyware-Programme, verschiedene Regcleaner usw, wobei diese sobald der Virus von Kaspersky gelöscht wurde alle nichts verdächtiges mehr finden.

Hat einer ne Idee wo das Problem liegen könnte? Ich hab, falls sich damit jemand auskennt, mal den Hijackthis-Log angehängt.

Homer

 

[Ralf B.]

Laß mal auf www.hijackthis.de auswerten und gegebenenfalls einiges fixen lassen.

 

[EvilHomer]

Und wenn mir die genannte Seite jetzt sagt, ich kann bestimmte Einträge entfernen...wie mach ich das? (sorry, aber mit solchen Sachen hab ich mich noch nie beschäftigt, vielleicht kann mir jemand helfen )

Homer

 

[Spielkind]

@EvilHomer
Besteht dein Problem noch?

Solltest du wieder einmal über die 'infizierte' Datei stoßen versuche dein Scanergebnis zu verifizieren. Prüfe diese doch auf
http://virusscan.jotti.org/de/

Notiere bitte den genauen Speicherort der Schaddatei.

Meiner Meinung nach, sorgt ein Eintrag in deiner Registry dafür das sich der Trojan-DLer immer wieder herstellt. Er dient dazu weiteren Schadcode auf deinen Rechner zu laden. Um diese Einträge permantent zu fixen solltest du die Systemwiederherstellung deaktivieren und in den abgesicherten Modus booten.
http://www.bsi.bund.de/av/texte/wiederher.htm

Normalerweise kann die Datei mit der KillBox gelöscht werden indem in diese der Speicherort der Datei eingetragen wird und mit 'Delete on Reboot' erst beendet und anschliessend gelöscht wird.

Starte anschließend HiJackThis und öffne dein Log. Markiere div. als böse oder dir unbekannte Einträge (Häckchen dran). Fixe die Einträge mit HiJackThis.

Boote erneut, erstelle und prüfe ein HiJAckThis Log zur Kontrolle.

Ich würde mir auch überlegen den Autostart auszumüllen und nicht mehr benötigte Programme zu deinstallieren.

 

[EvilHomer]

Hmm...einfacher gesagt als getan...weil MIR unbekannte Sachen sind ja manchmal schon irgendwelche relevanten windows-dienste...Bräuchte also im prinzip jemanden der mir einige Teile des logs erklärt...leider ist so jemand grad nicht in der nähe :-(

Homer

EDIT: Ich hab grad ne Anleitung für Hijackthis im netz gefunden...und in der steht hijackthis würde nur browser-probleme lösen oder so ähnlich, also ie-probleme...den benutz ich aber garnicht...kann das alos sein das hijackthis einfach nicht das richtige findet?
Link: http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

 

[Spielkind]

Jein. Ursprünglich wurde HiJackThis dazu entwickelt HiJacker für den IE zu entdecken und zu löschen. Daneben eigent es sich auch andere Malware aufzuspüren und entsprechende Prozesse zu beenden.

Ein HiJackThis Log besteht aus 3 Bereichen:
1) die Systeminformationen und der Patchstand (z.B. SP2)
2) unter der Überschrift 'Running Processes' sieht man welche Prozesse derzeit laufen. Bei der Durchsicht versuche ich, z.B. mit Google herauszufinden zu welchen Programmen die einzelnen Prozesse gehören und ob u.U. böse Prozesse dabei sind. Böse Programme müssen von Hand gelöscht werden (->KillBox).
3) die ganzen R- bis O- Einträge.
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Die Auswertung (und ich) stört sich an einigen Einträgen:
>O2 - BHO: (no name) - {52DECB26-447B-4214-B88D-C0E7035CA521} - (no file)
>O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file)
>O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
>O20 - AppInit_DLLs:
>O20 - Winlogon Notify: winyiy32 - winyiy32.dll (file missing)
>O20 - Winlogon Notify: wvwxu - C:\WINDOWS\system32\wvwxu.dll (file missing)
>O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)
Ich denke, das kann gefixed werden (ohne Gewähr!).

Dinge mit denen ich nix anfangen kann:
>O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
>O9 - Extra button: eBay - {60FF3727-80F3-4181-980F-CE95137B6359} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
Weißt du was das ist?

>O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
Sagt mir das dein Java nicht aktuell ist. Afair ist die Version 1.5.0_08 aktuell.

Ich hoffe nix übersehen zu haben.

So, ich habe auch Schwierigkeiten einen Bezug aus deinem Log zu der angesprochenen 'Setup.exe' zu ziehen. Auch wundert mich, das dein Virenscanner die Datei unter 'Dokumente und Einstellungen' findet. Es könnte sich also vielleicht um Malware handeln, welche z.B. noch in einem Temp- Verzeichnis liegt. Oder den Eigenen Dateien. Wo findet dein Virenscanner die Datei 'setup.exe' genau? Lade dir doch einmal das Clearprog und lösche sämtliche Temp- Files. (Option: Alles löschen)
http://www.clearprog.de/programme/clearprog/index_new.php

 

[EvilHomer]

Hab erstmal alle Temps gelöscht mit dem Proggi das du genannt hattest, seitdem (ca. 24 Stunden) trat das Problem auch nicht mehr auf...hoffe ich bin den scheiß jetzt endlich los. Wenigstens kam ich bei der Gelegenheit endlich mal dazu, meinen PC gründlich zu reinigen (Temps, Startmenü usw.) Also danke an alle die versucht haben zu helfen, und ich melde mich falls sich das Problem wiederholt.

Schönes Wochenende noch,
Homer