neuer Virus??: Backdoor.Win32.PcClient.nj

Hallo liebe Helferlein,
als sich heute der Windows-Explorer und IrfanView aus heiterem Himmel von allein schlossen, kam mir das spanisch vor und ich zog den wöchentlichen Virencheck vor und siehe da, der oben genannte Virus zeigte sich:
Objekt: ExpressDoc.DLL
Pfad: C:\Programme\Ahead\NeroVision
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)
Objekt: ImageProvider.dll
Pfad: C:\Programme\Pinnacle\Studio 8\programs
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)
Objekt: encsession.dll hxfilewriter.dll rmwriter.dll
Pfad: C:\Programme\Real\RealPlayer\producer\Tools
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)

Objekt: A0098097.DLL A0098099.dll A0098100.dll A0098101.dll A0098102.dll
Pfad: C:\System Volume Information\_restore{E241DCDF-8B32-46D1-8598-43DC1CB9AC51}\RP388
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)


Desinfizierung ist nicht möglich mit meinem Antivirenkit2005. Die Datenbank von GDATA sagt: Erkannt seit dem 1.3.2006 ...ist ein Programm, das Win32EXE-Anwendungen infiziert und zur Weiterverbreitung nutzt.

Ich habe diese Dateien löschen können, da ich diese Programme nicht brauche bzw. neu installieren kann. Was ich nun noch von der Wiederherstellung des Systems habe, weiß ich nicht...werd ich sehen..

Aber reicht das? Sind damit auch Systemdateien angegriffen? Was macht genau dieser (!) Virus??? Muss ich nun damit rechnen, dass meine sensiblen Dateien auf anderen Rechnern wieder zu finden sind?
Eigentlich bin ich das Sensibelchen: lasse ständig den Virenwächter laufen und lasse emails überprüfen, nutze Kazaa und Emule seit 2 Jahren nicht mehr aus Spywaregründen, hatte Pestpetrol laufen (brachte aber nichts), habe aktiven Firewall (ZoneAlarm) u n d n u n d a s!

Aber ob nun der Explorer und IrfanView deshalb Feierabend machten???? Ich werde auf jeden Fall alles unternehmen, um zu wissen, was läuft (PC-Welt S.82,83,84).
Wer kennt diesen Virus und seine Auswirkungen???


um Antwort und es freut sich
Monika

 

Wenn die Signaturen erst seit heute existieren, werden nähere Infos dazu noch nirgends online sein, geschweige denn, dass jemand schon was aus Erfahrung weiß..es sei denn, der Autor des Virus liest mit..

Das "backdoor" und das "client" verheißen garnichts gutes, denn diese Sorte Schädling ist 1. dazu gedacht, heimlich weitere Schädlinge nachzuladen, 2. alles, was auf deinem Rechner passiert, zu speichern und ins Netz hochzuladen (insbesondere Passwörter und Banking-Logins, und 3. sich sehr fest im System festzusetzen. Was auch immer du jetzt versuchst, du kannst dir nicht mehr sicher sein, dass der Rechner sauber ist.

Meine Meinung hierzu: neu aufsetzen.

 

Das ist eine neue Variante dieser Backdoor-Familie, was die so treibt kannst du hier lesen:

# Ermöglicht Dritten den Zugriff auf den Computer
# Legt Malware ab
# Speichert Tastenfolgen
# Hinterlässt nicht infizierte Dateien auf dem Computer

http://www.sophos.de/virusinfo/analyses/trojpcclienty.html

War dein Betriebssystem aktuell, SP2 und alle Sicherheitspatches installiert. Die Jungs die ZoneAlarm laufen haben gehören oft zu der Usern die kein SP2 für Win XP installieren wollen / können.

Formatieren ist in dem Fall sicherlich kein schlechter Ratschlag.

 

Hallo,
aber die Pfade in denen der mutmaßliche Backdoor gefunden wird machen mich etwas stutzig, ich würde noch mal eine Gegenprobe der Dateien hier vorschlagen (weiß nicht genau wie das bei in Quarantäne verschobenen Dateien bei G-Data funktioniert.

Wenn sich, wieder meines Erwartens, der Verdacht bestätigen sollte ist auf jeden Fall Neuaufsetzen angesagt, schon allein wegen dem mitgelieferten Rootkit.


Grüße Jasager

 

Hallo Jasager, hallo Wolfgang77, hallo Steppl,
danke dass ihr mir sofort geantwortet habt. Ja Wolfgang und Steppl, ich habe das Schlimme, was ihr aufzählt gelesen und deshalb hier das Problem auch gepostet.
Ja, Jasager, habe deinen Rat angenommen, als Beispiel die Datei von NeroVision wieder "zurückbewegt". Danach in htt://www.virustotal.com scannen lassen, was zunächst nicht ging, da der Antivirenwächter dies nicht zulassen wollte(ein Zeichen, dass der "Virus" noch drin war). Danach den Virenwächter ausgeschaltet und die Datei scannen lassen. Nun staune: alle Virenprogramme (von Antivir über Kaspersky, Sophos bis VBA32) meinten: no virus found.
Ich habe über MS ein ständig aktuelles Windows, also auch SP2 und alle Sicherheitsupdates. Was ich an mir bemängele ist, dass ich vor drei Wochen den Realplayer aktualisiert habe und den nicht gesperrt habe in ZoneAlarm, ebenso nicht Nero.

Ich werde erst mal weiter mein System untersuchen morgen mit den PC-Welt-Tools.
Vielen Dank für eure Hilfe

 

Hallo,
das klingt für mich alles nach einem Fehlalarm (false positive), schon allein die Pfade passen halt so gar nicht zu der Beschreibung. Kaspersky scheint ja die Datei beim Onlinerscan schon nicht mehr zu bemängeln, wahrscheinlich wird auch bald G-Data die Signaturen updaten und dann sollte Problem behoben sein. Allein durch das updaten des Realplayers kannst du dir keine Trojaner fangen, der telefoniert dann vielleicht nach hause und berichtet was du so schaust, aber er macht das System nicht angreifbarer.

Welche Tools meinst du genau?
Ev. solltest du noch mal mit Rootkitrevealer drüber schauen (achte darauf während dem scan sonst nichts zu machen). Aber ich bin der Ansicht das der auch nichts finden wird.


Grüße Jasager

 

Hallo Jasager,
den Rootkitrevealer habe ich schon mal gefahren- alles ok.
Habe soeben pcwlistkill,pcwprocess,pcwautostart runtergeladen...werde davon berichten.
noch einen schönen Tag und vielen Dank
Monika

 

Hier die Auswertung:
Mittlerweile hatte ich ein längeres Gespräch mit GData.
Ich sollte doch einige Tage warten bis neue Virensignaturupdates kommen und dann könnte ich die Viren desinifizieren und die Dateien zurückbewegen - tatsächlich kam das heute nachmittag schon. Ich kann also alles wieder benutzen, was ich nicht gelöscht hatte. GDATA hat das nicht so tragisch gesehen...ich soll abwarten ..wenn mein PC nichts auffälliges mehr vorweist, ist alles ok.
Was der "Virus" (wahrscheinlich nur eine Sicherheitslücke) nun wirklich macht, wurde mir nicht genannt.

an alle.
Monika

 

Ich hatte den Backdoor.Win32.PcClient.nj auch angeblich in msgbsutl.dll (Bestandteil von Seamonkey 1.0). Nach einem Update der Virensignaturen wurde er nicht mehr gemeldet.
Das war bei Kaspersky und der zweite Fehlalarm innerhalb von zwei Tagen. GDATA benutzt u.a. die Kaspersky-Engine und Signaturen neben Bitdefender.