Trojanerfund - HijackThisLog liegt bei

Liebe Forumsmitglieder,

Antivir Personal Free hat heute nach dem letzten Update folgende Meldungen gebracht:

Trojaner TR/Crypt,XPACK.Gen in E:\Farcry\Farcry.exe und in E:\Farcry\Bin32\Farcry.exe

Ein Komplettscan brachte dann noch folgende Meldung:

Trojaner TR/Spy.Gen in E:\Need for speed porsche\gimme.dll

Momentan sind diese Dateien in Quarantäne.

Mein Hijack-Log schaut so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:37:40, on 07.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows SteadyState\SCTSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\CheckPoint\SSL Network Extender\slimsvc.exe
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
D:\programme\systemprogramme\Perfect Disk 8\PDAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
D:\programme\systemprogramme\Perfect Disk 8\PDEngine.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Windows SteadyState\Bubble.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\programme\systemprogramme\Dexpot\dexpot.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\systemprogramme\keycounter\keycounter .exe
C:\WINDOWS\system32\wbem\unsecapp.exe
D:\programme\systemprogramme\logitech\MouseWare\sy stem\em_exec.exe
D:\programme\systemprogramme\Mozilla Firefox\firefox.exe
D:\programme\systemprogramme\Hijackthis\HijackThis .exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805. 4472\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\programme\systemprogramme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: pcwPrivilegien - {1D7A52EE-FBCB-4F46-AD2A-9C0ABAA20BC0} - D:\PROGRA~1\SYSTEM~1\pcwRunAs\PCWPRI~1.DLL
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Bubble] C:\Programme\Windows SteadyState\Bubble.exe
O4 - HKLM\..\Run: [Logoff] C:\Programme\Windows SteadyState\SCTUINotify.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Dexpot 1.4] D:\programme\systemprogramme\Dexpot\dexpot.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Verknüpfung mit keycounter.lnk = D:\programme\systemprogramme\keycounter\keycounter .exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\programme\systemprogramme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\programme\systemprogramme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\programme\systemprogramme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\programme\systemprogramme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {541AEDD4-20E8-4E6F-B12B-0FDD38BB712F} (Centricity Web ViewApp Control 3.0 SPa02) - http://172.28.11.81/ami/install/amiviewer.cab
O16 - DPF: {54FF454A-8F37-4406-8797-4C3607918A85} (Centricity Web ViewApp Control 3.0) - http://172.28.11.81/ami/install/amiviewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...b?972401875390
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/st...r_4.0.21.0.cab
O16 - DPF: {988E583E-D78B-4BC5-8011-7F6674484D9C} (Centricity Web ViewApp Control 3.0 SPa05) - http://172.28.11.81/ami/install/amiviewer.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Programme\CheckPoint\SSL Network Extender\slimsvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: PDAgent - Raxco Software, Inc. - D:\programme\systemprogramme\Perfect Disk 8\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\systemprogramme\Perfect Disk 8\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7058 bytes

Bitte teilt mit Eure Meinungen mit.

Vielen Dank!
Michael

 

Hallo mst21

Bei den beiden Meldungen handelt es sich meiner Meinung nach um Fehlalarme. Aber mal was anderes. Warum arbeitest du mit total veralteter Software? Adobe Reader gibt es mittlerweile in Version 9.2, du arbeitest mit Version 5. Vom Java Runtime Environment 5 gibt es mittlerweile Update 22, du arbeitest noch mit Update 10 (ich würde hier aber gleich auf Java Runtime Environment 6 Update 17 umsteigen).

Gruß
Nevok

 

Bei den vielen veralteten Programme würde sich der PSI lohnen.
http://www.pcwelt.de/start/sicherheit/sicherheitsluecken/news/199500/neue_version_von_secunia_psi/

Die Dateien kannst du hier hoch laden mit Verdacht auf Fehlalarm:
http://analysis.avira.com/samples/index.php
Die benachrichtigen dich dann per Mail über das Ergebnis.
Vorher noch mal die Signaturen aktualisieren und die Dateien scannen.
Fehlalarme halten oft nur bei zum nächsten Update.

 

Danke für die Antworten.

Das mit PSI ist mittlerweile erledigt, die Programme sind aktuell.

Ich habe die "zweifelhaften" Dateien schon beim Fund an Avira gemailt, Antwort kam bisher noch nicht (Wochenende?).

Mal schauen, was noch passiert.

Michael

 

Du kannst auch noch die Original Dateien von den CDs scannen.

 

Ich habe die Dateien von der Far-Cry-CD gescannt; sie sind ok.

Da die CD allerdings in die Jahre gekommen ist (kleiner Sprung am inneren Rand) und nur noch sehr, sehr zögerlich vom Laufwerk erkannt wird, habe ich mir vor ca 6 Wochen einen No-CD-Patch besorgt.

Natürlich habe ich das Zip-Archiv und die Exe-Datei mit Antivir überprüft, bevor ich den Patch installiert habe. Es gab keine Alarmmeldung.

Die beanstandete dll-Datei aus "Need for speed - Porsche" ist auf jeden Fall original.

Kann ich noch etwas tun, um sicher zu gehen, dass es sich um einen Fehlalarm handelt?

 

Vielleicht hat der No-CD-Patch die exe-Dateien verändert.
Das Resultat der Manipulation kann ein Trojaner ähnliches Erkennungsmuster sein, auf dass der AV-Scanner anschlägt.
Das hättest du auch gleich zu Beginn posten können.

 

Ich habe da einfach nicht mehr drangedacht - wahrscheinlich, weil ich den Patch ja überprüft hatte (oder doch Alzheimer).

 

Ob die Dateien mit denen auf den CDs noch übereinstimmen, kannst du mit einem MD5-Prüfprogramm leicht herausfinden. Mit Prüfsummen arbeitet ein AV-Scanner auch, wenn er Dateien noch mal scannt, die schon gescannt worden sind. Stimmt die Prüfsumme, wird die Datei nicht gescannt, was die Scandauer enorm verkürzen kann. Das führt dann dazu, dass der Scanner von mal zu mal immer schneller fertig ist.
http://www.asdala.de/etc/md5.html
Ich benutze seit Jahren den FileAlyzer, der über das Kontextmenü eine Datei analysiert. http://www.safer-networking.org/de/filealyzer/index.html

 

Ich habe das gestern mit dem Analyser ausprobieren wollen. Allerdings ist der Sprung in der CD mittlerweile so groß, dass mein Laufwerk die CD nicht mehr erkennt. Ich versuche es heute mal an einem anderen PC.

Ich denke auch, dass der Patch die Farcry.exe verändert hat und dass Antivir nach dem letzten Update diese Veränderung als Trojaner erkennt.

Laienhaft gefragt:
Kann jetzt tatsächlich ein Trojaner "in der exe-Datei sitzen" und falls ja, kann er Schaden verursachen, auch wenn die Datei nicht ausgeführt wird? Ich habe auch keine Informationen über das Schadensbild des angeblichen Trojaners im Web finden können.

 

In den exe-Dateien ist ein "Trojanercode". Das ist eindeutig. Die Frage ist, was soll der bezwecken. Deshalb ist so ein Crack immer etwas heikel, weil man die Absicht des Programmierers oder Anbieters nicht kennt, die damit noch verfolgt werden kann.
Da könnte ja auch noch eine Zusatzfunktion drin sein, die heimlich eine Verbindung "nach Hause" aufbaut.

 

Da ich von Avira keine Rückmeldung bekommen habe, habe ich die beanstandeten Dateien vei "virustotal.com" hochgeladen.

Ergebnis: 39 vin 41 Diensten hatten nicht zu beanstanden. Nur Avira und Kaspersky gaben eine Warnung aus.

Ich bin jetzt erst mal beruhigt und warte, ob nach einem der nächsten Updates auch Avira wieder grünes Licht gibt. So lange bleiben die Dateien eben in Quarantäne.