pulse
Goto Top

Trojan-Proxy.Win32.Horst.ns

Ich werd den einfach nicht los!!!

Hallo

Mein Problem ist im Titel erwähnt.

Und zwar hab ich seit geraumer Zeit das Problem, dass in meinen freigegebenen Ordner mit Schreibenrechten immer die Datei "setup.exe" und eine dazugehörige "autonrun.ini" erscheint.
Es handelt sich um eine Version von Trojan-Proxy.Win32.Horst.
Nach vielen Scans mit den unterschiedlichsten Virenprogrammen, welche nichts im System gefunden haben, habe ich mich entschieden meinen Rechner neu aufzusetzen.
Dies ist nun 3 Tage her und nun erschien vor 1-2 Stunden wieder die setup.exe mit der autorun.ini in meinen freigegebenen Ordner.
Ich habe auch von Bitdefender Antivirus Plus auf Kaspersky Internet Security 2006 gewechselt, aufgrund der guten Testergebnisse und weil dieser Scanner im Vergleich zu Bitdefender, die setup.exe auch als Bedrohnung erkannt hat.
Ich suche schon ewig im Internet nach einer guten Lösung, leider vergebens.

Es wäre schön, wenn jemand vllt. eine Lösung dazu parat hätte.
Freue mich auf alle hilfreichen Antworten.

MfG, Chris

Content-ID: 44845

Url: https://administrator.de/contentid/44845

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

Netzopa
Netzopa 20.11.2006 um 01:22:59 Uhr
Goto Top
Ist dein Kaspersky IS2006 wirklich original ?.
Denn der Win32.Horst verbreitet sich mit einer Raubkopie dieses Programmes.

Sind andere PCs im Netz die auf deine Shares Zugriff haben... eventuell schon beim aufsetzen des PCs noch bevor du ein AV-Programm aktiv hast ?
pulse
pulse 20.11.2006 um 07:45:25 Uhr
Goto Top
Ich habe beide PCs fast synchron platt gemacht.
Die Version von Kaspersky habe ich direkt von der Kaspersky Webseite runtergeladen.
Mein zweiter Rechner, der direkt an meinen PC angeschlossen ist,hat dieses Problem komischerweise nicht.
Ich habe auch im Internet gefunden, dass bei einem Linux-User auch diese Datei auftaucht.
Der muss doch irgendwo herkommen?!
Netzopa
Netzopa 20.11.2006 um 09:43:43 Uhr
Goto Top
...wenns nicht aus dem LAN ist ... kanns nur aus dem Internet kommen.
..und da passiert wahrscheinlich schon beim Aufsetzen des PCs etwas.

Leider weiss ich zuwenig über deine Umgebung.
WANN und WIE ist der erste Kontakt des jungfäulichen Rechners zum Internet.
Welche Schutzmechanismen hasst du, damit du nicht sofort infiziert bist ?
pulse
pulse 20.11.2006 um 11:43:03 Uhr
Goto Top
also ich hab beim installieren des systems das internet abgeklemmt. und bin erst ins netz als die firewall installiert war und aktuelle updates von der chip-cd oder welche zeitung auch immer das war, raufgehauen hab.
aber wie gesagt kam der gestern ganz plötzlich auf dem pc.
und ich finde es auch sehr kurios, dass ein linux user die dateien auf dem pc hat.
vllt eine lücke im browser? ich benutze firefox 2.0
pulse
pulse 20.11.2006 um 12:22:43 Uhr
Goto Top
könnte es evtl. auch sein, dass es durch eine sicherheitslücke von firefox 2.0 auf den rechner gelangt? ich hab das problem erst, seitdem ich firefox 2.0 benutze, glaube ich.
und wenn es bei einem linux user auch auftaucht könnte es doch möglich sein, dass es wirklich an FF liegt oder nicht?
=( das is alles zum verrückt werden!!!!
gnarff
gnarff 20.11.2006 um 15:12:43 Uhr
Goto Top
hallo endzeit,

bei diesem schadprogramm handelt es sich um ein backdoor-proxy und downloader.
das programm laeuft permanent, als versteckter prozess, im hintergrund, etabliert
sich als proxy-server auf deinem rechner.
dabei benutzt er z.b. port 39999, es koennen
aber auch andere ports in diesem nummernbereich verwendet werden.
etwaige zugriffsbeschraenkungen auf dem befallenen rechner werden so umgangen und die IP des angreifers ist nicht ermittelbar.

da du, durch einfluss des trojaners auch hinter einem proxy sitzt,
ist auch deine rechneradresse nicht sichtbar- zumindestens nicht fuer die, die von deinem rechner aus nun angegriffen werden koennten.

in der regel wird der befallene rechner aber nur als spam-server missbraucht...

daten koennen so also auf rechner eingeschleust, oder gar von deinem auf andere
uebertragen werden.

Einmal gestartet kopiert sich das schadprogramm in den windows system-ordner und
schreibt einen pfadverweis in die registrierdatenbank, damit bei jedem start up der
trojaner mitausgefuehrt wird.

ausserdem erstellt diesr schaedling weitere eintraege in der registry, dabei werden unter
"HKCU\Software\DateTime\Uid =" eine mindestens 8-stellige Zahlenkette eingetragen.
unter "HKCU\Software\DateTime\Pid =" weist er sich seine eigene prozesskenzahl zu;
sowie unter "HKCU\Software\DateTime\Port =" weist er sich den von von ihm verwendeten port zu.

dieser trojaner hebelt teile, der auf dem rechner verwendete sicherheitsloesungen aus und verbindet sich mit dem internet, um weitere schadprogramme auf den rechner herunterzuladen, im windows system-ordner zu speichern
und schliesslich dann ausfuehren zu lassen.

dieser schaedling laedt dir weitere trojaner-versionen auf den rechner, z.b. W32.Bagle.gens und troj.LDPinch.gens...

nach erfolgreichem download erstellt er weiter registrierdatenbank-eintraege, je nach
version koennen das z.b. die folgenden sein:
HKCU\Software\DateTime\sageBox.exe = 1
HKCU\Software\DateTime\MsgBox.exe = 1

das entfernen ist schwierig, da gerade in letzter zeit neue versionen
diese trojaners aufgekommen sind und es nicht fuer jeden thread ein loesung gibt.

wenn du den trojaner wieder auf dem rechner hast, obwohl du ihn neu aufgesetzt hattest,
dann deswegen, weil du die festplatte unzureichend neu-formatiert hattest;

das passiert immer dann, wenn man das mit dem windows feld-wald und wiesen-formatierer
von der installationsdisk tut.
die formatierungsfunktion von windows betruegt den benutzer, in dem er ihm eine
komplette neuformatierung vorgaukelt.
in wirklich keit laesst es weite teile eines bereits vorhandenen dateisystems intakt und so kann es passieren, das etwaige schaedlinge auf der festplatte verbleiben [je nach fragmentationsgrad].

problemloesung:
lade dir maxtor powermax runter [zur not auf dem rechner eines freundes] und zwar als bootfaehiges ISO-image;
http://www.maxtor.com/portal/site/Maxtor/menuitem.3c67e325e0a6b1f629419 ...
brenn dir das und formatiere die festplatte anstaendig.

diese tool erkennt die meisten festplatten, auch wenn sie nicht aus dem hause quantum sind.
je nach festplattengroesse kann das aber ein paar stunden dauern...
die festplatte ist danach absolut sauber, danach installiere neu!

ich kann dir nicht korrekt anraten, wie der schaedling von hand zu entfernen ist,
dazu braeuchte ich eine copie deiner registry und deines windows system-ordners.

saludos
gnarff
pulse
pulse 20.11.2006 um 15:51:48 Uhr
Goto Top
Hallo
Also deine Vorschläge werde ich dann am Dienstag Abend versuchen nachzuvollziehen.
Ich habe auch bei vielen Seiten gelesen, dass sich der Trojaner ins Windows/system-verzeichnis reinschreibt. und ich finde dort nichts.
Die Dateien, welche der Trojaner angeblich installieren sollte(z.B. \system\svsvcd.exe), finde ich nicht.
Gibt es nicht auch eine andere Alternative, wie der Trojaner in die freigegebenen Ordner kommen kann?
Beim Process-Viewer von TuneUp-Utilities habe ich kein ungewöhnliches Programm gesehen.
Auch habe ich die automatischen Programmstarts überprüft mit TuneUp StartUp-Manager - Ebenfalls nichts.
Ich habe versuchsweise die Windows-Firewall parallel zu meiner FW/AV-Lösung laufen.

Ist es nicht sogar möglich, dass der Trojaner durch die Sicherheitslücke in FF 2.0 in die freigegebenen Ordner gelangt?

Chris
gnarff
gnarff 21.11.2006 um 20:40:14 Uhr
Goto Top
Hallo
Also deine Vorschläge werde ich dann am
Dienstag Abend versuchen nachzuvollziehen.
Ich habe auch bei vielen Seiten gelesen,
dass sich der Trojaner ins
Windows/system-verzeichnis reinschreibt. und
ich finde dort nichts.

weil sie "versteckt" sind...

Die Dateien, welche der Trojaner angeblich
installieren sollte(z.B. \system\svsvcd.exe),
finde ich nicht.

das kannst du auch nicht, weil die datei nvsncd.exe heissen muss...
wenn du die auf dem rechner findest, solltest du auch die netf.dll auf dem rechner finden, im temp und im systemordner.

Gibt es nicht auch eine andere Alternative,
wie der Trojaner in die freigegebenen Ordner
kommen kann?

nein, gibt es nicht. trojaner verbreiten sich per datentraeger, per p2p-tauschboersen, mittels dubioser BHO's [browser helper objects] und alles in allem durch den anwender selbst....

Beim Process-Viewer von TuneUp-Utilities
habe ich kein ungewöhnliches Programm
gesehen.
Auch habe ich die automatischen
Programmstarts überprüft mit TuneUp
StartUp-Manager - Ebenfalls nichts.

ja, das kommt daher, weil man prozesse verstecken kann. beispielsweise koennte ich deinen rechner angreifen und eine shell oeffnen. unter windows ware das dann also cmd.exe, diese instanz von cmd.exe verstecke ich und wird dir also somit auch nicht angezeigt.

Ich habe versuchsweise die Windows-Firewall
parallel zu meiner FW/AV-Lösung laufen.

was soll das bringen...?

Ist es nicht sogar möglich, dass der
Trojaner durch die Sicherheitslücke in
FF 2.0 in die freigegebenen Ordner gelangt?

nein, es gibt derzeit keine solche sicherheitsluecke unter FF2.0, ansonsten siehe oben...

du kannst ja zum spass mal den rootkit hookanalyzer benutzen, der zeigt dir alle kernel-hooked prozesse an;
infos und download unter:
http://www.resplendence.com/hookanalyzer

zusaetzlich koenntest du ja mal mit TCPView schauen, wer welche ports benutzt;
infos und download:
http://www.microsoft.com/technet/sysinternals/utilities/TcpView.mspx

saludos
gnarff

[nach wie vor der meinung, anstaendig formatieren und neu aufsetzen...]
pulse
pulse 21.11.2006 um 20:51:57 Uhr
Goto Top
Hallo, also ich finde keine netf.dll.
Wieder in Temp, noch in Windows.

weil sie "versteckt" sind...
Ich lasse vom Explorer alle Dateien anzeigen.

das kannst du auch nicht, weil die datei nvsncd.exe heissen muss...
meinte ich ja. nur falsch abgetippt. Die existiert nicht.

was soll das bringen...?
die Windowss Firewall schützt ja "angeblich" die freigaben.

nein, es gibt derzeit keine solche sicherheitsluecke unter FF2.0, ansonsten siehe oben...
Es gibt doch ein riesiges Sicherheitsleck in FF2.0...

HKCU\Software\DateTime\sageBox.exe = 1
HKCU\Software\DateTime\MsgBox.exe = 1
Die existieren ebenfalls nicht


Auch in TCP-View ist nicht abnormales zu erkenne...

Hab mein Sys mal mit HiJackThis ausgewertet, hier der link
http://www.hijackthis.de/logfiles/99d13c7503ebe8640bb3f537263e4cbc.html
gnarff
gnarff 22.11.2006 um 00:22:10 Uhr
Goto Top
hallo chris!
> weil sie "versteckt" sind...
Ich lasse vom Explorer alle Dateien
anzeigen.

der explorer zeigt nicht alles...

> das kannst du auch nicht, weil die
datei nvsncd.exe heissen muss...
meinte ich ja. nur falsch abgetippt. Die
existiert nicht.

das haette mich auch gewundert, das ist ein voellig anderer schaedling, ein IRCBot..
andererseits, ich hatte mich ebenfalss vertipp, es haette nvsvcd.exe heissen muess -sorry..

> was soll das bringen...?
die Windowss Firewall schützt ja
"angeblich" die freigaben.

schaedlinge hebeln die aus...

> nein, es gibt derzeit keine solche
sicherheitsluecke unter FF2.0, ansonsten
siehe oben...
Es gibt doch ein riesiges Sicherheitsleck in
FF2.0...

das betrifft denial of service...

> HKCU\Software\DateTime\sageBox.exe = 1

> HKCU\Software\DateTime\MsgBox.exe = 1
Die existieren ebenfalls nicht

wie ich schon sagte, es gibt viele trojan.proxy.gen's. nicht jeder taetigt die gleichen veraenderungen.

Auch in TCP-View ist nicht abnormales zu
erkenne...

Hab mein Sys mal mit HiJackThis ausgewertet,
hier der link
http://www.hijackthis.de/logfiles/99d13c7503ebe8640bb3f537263e4cbc.html

muss ich noch schauen...
rootkitanalyzer, wie oben angeraten benutzt?

saludos
gnarff
pulse
pulse 22.11.2006 um 11:51:49 Uhr
Goto Top
der explorer zeigt nicht alles...
aber das meiste, und ich hab auch andere möglichkeiten versucht da zu suchen,
systemdateien anzeigen, mit einem anderen programm, was alle dateien anzeigt

schaedlinge hebeln die aus...
die hebeln aber auch andere aus, also isses besser als nix^^

das betrifft denial of service...
okay, akzeptiert ;)

wie ich schon sagte, es gibt viele trojan.proxy.gen's. nicht jeder taetigt die gleichen veraenderungen.
hab auch alle möglichen foren, berichte etc von den versionen dieses trojaners überprüft, nix da

rootkitanalyzer, wie oben angeraten benutzt?
japs, auch nix

meine platte is momentan komplett weg, wegen einem fehler -.-
muss erstmal die daten wiederherstellen und system neu aufsetzen, mal wieder, weils ja soooo viel spaß macht
gnarff
gnarff 22.11.2006 um 21:09:17 Uhr
Goto Top
> der explorer zeigt nicht alles...
aber das meiste, und ich hab auch andere
möglichkeiten versucht da zu suchen,
systemdateien anzeigen, mit einem anderen
programm, was alle dateien anzeigt

um dir mal einen eindruck davon zu vermitteln, wovon wir reden und was dein explorer, oder welche tools auch immer wert sind, habe ich hier ein whitepaper im pdf-formar fuer dich. es ist in englisch; ich nehme mal an du kannst das...
es traegt den titel " Implementing and Detecting a PCI-Rootkit", von John Heasman -eine excellente arbeit...
download:

http://www.ngssoftware.com/research/papers/Implementing_And_Detecting_A ...

ich glaube mittlerweile nicht mehr, dass es sich um den trojan.proxy etc. gehandelt hat, vllt. um einen schaedling, der aehnliche charakteristiken aufgewiesen hatte.
ich glaube immer noch ans neu-formatieren; naja -das scheint sich ja wohl im augenblick erledigt zu haben. sofern moeglich, ueberpruefe alle checksummen von dem, was du wiederhergestellt hast, bevor du es wieder auf einen rechner loslaesst...

saludos
gnarff
pulse
pulse 22.11.2006 um 22:19:51 Uhr
Goto Top
ich werde/versuche nur die musik,videos,spiele und programme wiederherstellen zu lassen.
die spiele und programme sind jeweils einzeln in .rar-archive gepackt

ja ich bin des englischen mächtig ;)
die arbeit werde ich mir baldig durchlesen, wenn die zeit es zulässt.