Hijack Log - Probleme mit Horst.GV, Trojaner setup.exe Einstellungen

[Ritus]

Sers,

habe folgendes problem: seit ca ner woche kommt ständig die meldung von meinem virenscanner (avast) dass ein trojaner in folgender datei auftritt H:/Downloads/_Videos/setup.exe/[UPX]

Leider taucht er immer und immer wieder auf. Habs mit Tiefenscans (avast) und Onlinescans (trendmicro) probiert etc., hilft aber alles nix, kommt immer wieder. Leider konnte ich auch in meinen prozessen nix auffälliges finden.

ich poste jetzt hier mal mein hijack file, vielleicht kann ja einer von euch helfen.
btw, hab wirklich kaum ahnung von solchen sachen, also bitte eure lösungen verständlich erklären
thx schonmal

PS: uh, hätte ich fast vergessen, ich sitz hier zuhause im wohnheim in nem lan mit so ca 15 leuten, bei denen die setup.exe auch schon aufgetreten ist (bei 3 zumindest). bräuchte also auch ne massentaugliche lösung, will ja nicht alle 15 rechner neuinstallieren müssen.


Logfile of HijackThis v1.99.1
Scan saved at 13:50:59, on 29.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\VDOTool\TBPanel.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wbem\unsecapp.exe
E:\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
E:\Acrobat Pro\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\FreePDF_XP\fpassist.exe
E:\Quicktime\qttask.exe
E:\Spamfighter\SFAgent.exe
E:\RMClock\RMClock.exe
E:\Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\WINDOWS\regedit.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.437\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.50.1:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Pro\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] "E:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Acrobat Pro\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] E:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SPAMfighter Agent] "E:\Spamfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [RMClock] E:\RMClock\RMClock.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154633282078
O17 - HKLM\System\CCS\Services\Tcpip\..\{30BCF051-2E5E-4006-9620-3446FDBA68FC}: NameServer = 132.230.200.201,132.230.200.200
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Der Beitrag wurde von Ritus bearbeitet: 29.01.2007, 14:06

[raman]

Mache mit der Datei bitte einen Kontrollscan bei http://www.virustotal.com/en/indexf.html und sag, wer in der Datei nochetwas findet, oder auch nicht findet.

[Gast_rock_*]

habe folgendes problem: seit ca ner woche kommt ständig die meldung von meinem virenscanner (avast) dass ein trojaner in folgender datei auftritt H:/Downloads/_Videos/setup.exe/[UPX]

ohne jetzt näher auf den log einzugehen... probiere es mit löschen (sofern malware) im abgesicherten modus? Ordner steht da, Unterordner, UND datei steht da.



Der Beitrag wurde von rock bearbeitet: 29.01.2007, 15:06

[Ritus]

ja löschen ist durchaus möglich, aber die datei kommt nach ner weile einfach wieder. ohne dass ich irgendetwas machen kann.

[Gast_rock_*]

auch wenn du die datei im abgesicherten modus gelöscht hast? was ergab der checkvvon raman verlinkt?

lade dir das kleine tool ccleaner runter.
www.ccleaner.com

starte den pc in den abgesicherten modus und führe es aus - gleich in den voreinstellugnen wie es ist auf löschen klicken, ..analysieren kannst du dir sparen in dem fall.

dann links auf den button PROBLEME...ebenso löschen oder eben da suchen lassen. dann löschen/aufräumen.

Ordner DOWNLOADS klingt nach Shareaza oder andere tauschbörse. Wenn es Shareaza ist schau ob da nicht was im ordner GHOST ist (im programm), also wo sich gelöschte oder kommentierte daten befinden. (sofern eingestellt gewesen) alles rauslöschen!

papierkorb leeren.

dann wieder in den normal modus starten...



Der Beitrag wurde von rock bearbeitet: 29.01.2007, 17:44

[Ritus]

so, hier mal die resultate von VirusTotal:

AntiVir 7.3.0.32 01.29.2007 TR/Dldr.Agent.aii.51
Authentium 4.93.8 01.26.2007 no virus found
Avast 4.7.936.0 01.29.2007 Win32:Horst-GV
AVG 386 01.29.2007 no virus found
BitDefender 7.2 01.29.2007 no virus found
CAT-QuickHeal 9.00 01.29.2007 no virus found
ClamAV devel-20060426 01.29.2007 no virus found
DrWeb 4.33 01.29.2007 Trojan.DownLoader.17576
eSafe 7.0.14.0 01.28.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.127 01.29.2007 no virus found
eTrust-Vet 30.3.3358 01.29.2007 no virus found
Ewido 4.0 01.29.2007 Downloader.Agent.aii
Fortinet 2.85.0.0 01.29.2007 BDoor.CMQ!tr.bdr
F-Prot 4.2.1.29 01.26.2007 no virus found
Ikarus T3.1.0.27 01.29.2007 no virus found
Kaspersky 4.0.2.24 01.29.2007 Trojan-Downloader.Win32.Agent.aii
McAfee 4951 01.29.2007 BackDoor-CMQ
Microsoft 1.2101 01.29.2007 no virus found
NOD32v2 2017 01.29.2007 Win32/Medbot.GB
Norman 5.80.02 01.29.2007 W32/Horst.gen20
Panda 9.0.0.4 01.29.2007 Suspicious file
Prevx1 V2 01.29.2007 no virus found
Sophos 4.13.0 01.28.2007 Mal/Behav-080
Sunbelt 2.2.907.0 01.26.2007 no virus found
Symantec 10 01.29.2007 no virus found
TheHacker 6.0.3.159 01.28.2007 no virus found
UNA 1.83 01.29.2007 no virus found
VBA32 3.11.2 01.29.2007 suspected of Trojan-Proxy.Horst.170 (paranoid heuristics)
VirusBuster 4.3.19:9 01.29.2007 Trojan.DL.Agent.RWN


Hab jetzt übrigens folgendes herausgefunden:
Die setup.exe kommt immer wieder (auch wenn ich sie im abgesicherten modus lösche), und zwar weil ich ausversehen auf den bestimmten download ordner (übrigens kein shareaza) schreibrechte innerhalb des LAN-Netzwerkes vergeben hatte.
Hab das jetzt umgestellt, seitdem kommt nix mehr :-)

Das heißt imho, dass ein anderer Rechner im Lan der Verursacher sein muss. Hab die leute mal per mail angeschrieben, dass sie alle nen virenscan über ihr system laufen lassen sollen. Mal sehn ob sich jemand meldet.