Trojan-Proxy.Win32.Horst.ns
Ich werd den einfach nicht los!!!
Hallo
Mein Problem ist im Titel erwähnt.
Und zwar hab ich seit geraumer Zeit das Problem, dass in meinen freigegebenen Ordner mit Schreibenrechten immer die Datei "setup.exe" und eine dazugehörige "autonrun.ini" erscheint.
Es handelt sich um eine Version von Trojan-Proxy.Win32.Horst.
Nach vielen Scans mit den unterschiedlichsten Virenprogrammen, welche nichts im System gefunden haben, habe ich mich entschieden meinen Rechner neu aufzusetzen.
Dies ist nun 3 Tage her und nun erschien vor 1-2 Stunden wieder die setup.exe mit der autorun.ini in meinen freigegebenen Ordner.
Ich habe auch von Bitdefender Antivirus Plus auf Kaspersky Internet Security 2006 gewechselt, aufgrund der guten Testergebnisse und weil dieser Scanner im Vergleich zu Bitdefender, die setup.exe auch als Bedrohnung erkannt hat.
Ich suche schon ewig im Internet nach einer guten Lösung, leider vergebens.
Es wäre schön, wenn jemand vllt. eine Lösung dazu parat hätte.
Freue mich auf alle hilfreichen Antworten.
MfG, Chris
Hallo
Mein Problem ist im Titel erwähnt.
Und zwar hab ich seit geraumer Zeit das Problem, dass in meinen freigegebenen Ordner mit Schreibenrechten immer die Datei "setup.exe" und eine dazugehörige "autonrun.ini" erscheint.
Es handelt sich um eine Version von Trojan-Proxy.Win32.Horst.
Nach vielen Scans mit den unterschiedlichsten Virenprogrammen, welche nichts im System gefunden haben, habe ich mich entschieden meinen Rechner neu aufzusetzen.
Dies ist nun 3 Tage her und nun erschien vor 1-2 Stunden wieder die setup.exe mit der autorun.ini in meinen freigegebenen Ordner.
Ich habe auch von Bitdefender Antivirus Plus auf Kaspersky Internet Security 2006 gewechselt, aufgrund der guten Testergebnisse und weil dieser Scanner im Vergleich zu Bitdefender, die setup.exe auch als Bedrohnung erkannt hat.
Ich suche schon ewig im Internet nach einer guten Lösung, leider vergebens.
Es wäre schön, wenn jemand vllt. eine Lösung dazu parat hätte.
Freue mich auf alle hilfreichen Antworten.
MfG, Chris
Please also mark the comments that contributed to the solution of the article
Content-ID: 44845
Url: https://administrator.de/contentid/44845
Printed on: December 3, 2024 at 11:12 o'clock
13 Comments
Latest comment
...wenns nicht aus dem LAN ist ... kanns nur aus dem Internet kommen.
..und da passiert wahrscheinlich schon beim Aufsetzen des PCs etwas.
Leider weiss ich zuwenig über deine Umgebung.
WANN und WIE ist der erste Kontakt des jungfäulichen Rechners zum Internet.
Welche Schutzmechanismen hasst du, damit du nicht sofort infiziert bist ?
..und da passiert wahrscheinlich schon beim Aufsetzen des PCs etwas.
Leider weiss ich zuwenig über deine Umgebung.
WANN und WIE ist der erste Kontakt des jungfäulichen Rechners zum Internet.
Welche Schutzmechanismen hasst du, damit du nicht sofort infiziert bist ?
hallo endzeit,
bei diesem schadprogramm handelt es sich um ein backdoor-proxy und downloader.
das programm laeuft permanent, als versteckter prozess, im hintergrund, etabliert
sich als proxy-server auf deinem rechner.
dabei benutzt er z.b. port 39999, es koennen
aber auch andere ports in diesem nummernbereich verwendet werden.
etwaige zugriffsbeschraenkungen auf dem befallenen rechner werden so umgangen und die IP des angreifers ist nicht ermittelbar.
da du, durch einfluss des trojaners auch hinter einem proxy sitzt,
ist auch deine rechneradresse nicht sichtbar- zumindestens nicht fuer die, die von deinem rechner aus nun angegriffen werden koennten.
in der regel wird der befallene rechner aber nur als spam-server missbraucht...
daten koennen so also auf rechner eingeschleust, oder gar von deinem auf andere
uebertragen werden.
Einmal gestartet kopiert sich das schadprogramm in den windows system-ordner und
schreibt einen pfadverweis in die registrierdatenbank, damit bei jedem start up der
trojaner mitausgefuehrt wird.
ausserdem erstellt diesr schaedling weitere eintraege in der registry, dabei werden unter
"HKCU\Software\DateTime\Uid =" eine mindestens 8-stellige Zahlenkette eingetragen.
unter "HKCU\Software\DateTime\Pid =" weist er sich seine eigene prozesskenzahl zu;
sowie unter "HKCU\Software\DateTime\Port =" weist er sich den von von ihm verwendeten port zu.
dieser trojaner hebelt teile, der auf dem rechner verwendete sicherheitsloesungen aus und verbindet sich mit dem internet, um weitere schadprogramme auf den rechner herunterzuladen, im windows system-ordner zu speichern
und schliesslich dann ausfuehren zu lassen.
dieser schaedling laedt dir weitere trojaner-versionen auf den rechner, z.b. W32.Bagle.gens und troj.LDPinch.gens...
nach erfolgreichem download erstellt er weiter registrierdatenbank-eintraege, je nach
version koennen das z.b. die folgenden sein:
HKCU\Software\DateTime\sageBox.exe = 1
HKCU\Software\DateTime\MsgBox.exe = 1
das entfernen ist schwierig, da gerade in letzter zeit neue versionen
diese trojaners aufgekommen sind und es nicht fuer jeden thread ein loesung gibt.
wenn du den trojaner wieder auf dem rechner hast, obwohl du ihn neu aufgesetzt hattest,
dann deswegen, weil du die festplatte unzureichend neu-formatiert hattest;
das passiert immer dann, wenn man das mit dem windows feld-wald und wiesen-formatierer
von der installationsdisk tut.
die formatierungsfunktion von windows betruegt den benutzer, in dem er ihm eine
komplette neuformatierung vorgaukelt.
in wirklich keit laesst es weite teile eines bereits vorhandenen dateisystems intakt und so kann es passieren, das etwaige schaedlinge auf der festplatte verbleiben [je nach fragmentationsgrad].
problemloesung:
lade dir maxtor powermax runter [zur not auf dem rechner eines freundes] und zwar als bootfaehiges ISO-image;
http://www.maxtor.com/portal/site/Maxtor/menuitem.3c67e325e0a6b1f629419 ...
brenn dir das und formatiere die festplatte anstaendig.
diese tool erkennt die meisten festplatten, auch wenn sie nicht aus dem hause quantum sind.
je nach festplattengroesse kann das aber ein paar stunden dauern...
die festplatte ist danach absolut sauber, danach installiere neu!
ich kann dir nicht korrekt anraten, wie der schaedling von hand zu entfernen ist,
dazu braeuchte ich eine copie deiner registry und deines windows system-ordners.
saludos
gnarff
bei diesem schadprogramm handelt es sich um ein backdoor-proxy und downloader.
das programm laeuft permanent, als versteckter prozess, im hintergrund, etabliert
sich als proxy-server auf deinem rechner.
dabei benutzt er z.b. port 39999, es koennen
aber auch andere ports in diesem nummernbereich verwendet werden.
etwaige zugriffsbeschraenkungen auf dem befallenen rechner werden so umgangen und die IP des angreifers ist nicht ermittelbar.
da du, durch einfluss des trojaners auch hinter einem proxy sitzt,
ist auch deine rechneradresse nicht sichtbar- zumindestens nicht fuer die, die von deinem rechner aus nun angegriffen werden koennten.
in der regel wird der befallene rechner aber nur als spam-server missbraucht...
daten koennen so also auf rechner eingeschleust, oder gar von deinem auf andere
uebertragen werden.
Einmal gestartet kopiert sich das schadprogramm in den windows system-ordner und
schreibt einen pfadverweis in die registrierdatenbank, damit bei jedem start up der
trojaner mitausgefuehrt wird.
ausserdem erstellt diesr schaedling weitere eintraege in der registry, dabei werden unter
"HKCU\Software\DateTime\Uid =" eine mindestens 8-stellige Zahlenkette eingetragen.
unter "HKCU\Software\DateTime\Pid =" weist er sich seine eigene prozesskenzahl zu;
sowie unter "HKCU\Software\DateTime\Port =" weist er sich den von von ihm verwendeten port zu.
dieser trojaner hebelt teile, der auf dem rechner verwendete sicherheitsloesungen aus und verbindet sich mit dem internet, um weitere schadprogramme auf den rechner herunterzuladen, im windows system-ordner zu speichern
und schliesslich dann ausfuehren zu lassen.
dieser schaedling laedt dir weitere trojaner-versionen auf den rechner, z.b. W32.Bagle.gens und troj.LDPinch.gens...
nach erfolgreichem download erstellt er weiter registrierdatenbank-eintraege, je nach
version koennen das z.b. die folgenden sein:
HKCU\Software\DateTime\sageBox.exe = 1
HKCU\Software\DateTime\MsgBox.exe = 1
das entfernen ist schwierig, da gerade in letzter zeit neue versionen
diese trojaners aufgekommen sind und es nicht fuer jeden thread ein loesung gibt.
wenn du den trojaner wieder auf dem rechner hast, obwohl du ihn neu aufgesetzt hattest,
dann deswegen, weil du die festplatte unzureichend neu-formatiert hattest;
das passiert immer dann, wenn man das mit dem windows feld-wald und wiesen-formatierer
von der installationsdisk tut.
die formatierungsfunktion von windows betruegt den benutzer, in dem er ihm eine
komplette neuformatierung vorgaukelt.
in wirklich keit laesst es weite teile eines bereits vorhandenen dateisystems intakt und so kann es passieren, das etwaige schaedlinge auf der festplatte verbleiben [je nach fragmentationsgrad].
problemloesung:
lade dir maxtor powermax runter [zur not auf dem rechner eines freundes] und zwar als bootfaehiges ISO-image;
http://www.maxtor.com/portal/site/Maxtor/menuitem.3c67e325e0a6b1f629419 ...
brenn dir das und formatiere die festplatte anstaendig.
diese tool erkennt die meisten festplatten, auch wenn sie nicht aus dem hause quantum sind.
je nach festplattengroesse kann das aber ein paar stunden dauern...
die festplatte ist danach absolut sauber, danach installiere neu!
ich kann dir nicht korrekt anraten, wie der schaedling von hand zu entfernen ist,
dazu braeuchte ich eine copie deiner registry und deines windows system-ordners.
saludos
gnarff
Hallo
Also deine Vorschläge werde ich dann am
Dienstag Abend versuchen nachzuvollziehen.
Ich habe auch bei vielen Seiten gelesen,
dass sich der Trojaner ins
Windows/system-verzeichnis reinschreibt. und
ich finde dort nichts.
weil sie "versteckt" sind...Also deine Vorschläge werde ich dann am
Dienstag Abend versuchen nachzuvollziehen.
Ich habe auch bei vielen Seiten gelesen,
dass sich der Trojaner ins
Windows/system-verzeichnis reinschreibt. und
ich finde dort nichts.
Die Dateien, welche der Trojaner angeblich
installieren sollte(z.B. \system\svsvcd.exe),
finde ich nicht.
wenn du die auf dem rechner findest, solltest du auch die netf.dll auf dem rechner finden, im temp und im systemordner.
Gibt es nicht auch eine andere Alternative,
wie der Trojaner in die freigegebenen Ordner
kommen kann?
Beim Process-Viewer von TuneUp-Utilities
habe ich kein ungewöhnliches Programm
gesehen.
Auch habe ich die automatischen
Programmstarts überprüft mit TuneUp
StartUp-Manager - Ebenfalls nichts.
Ich habe versuchsweise die Windows-Firewall
parallel zu meiner FW/AV-Lösung laufen.
Ist es nicht sogar möglich, dass der
Trojaner durch die Sicherheitslücke in
FF 2.0 in die freigegebenen Ordner gelangt?
du kannst ja zum spass mal den rootkit hookanalyzer benutzen, der zeigt dir alle kernel-hooked prozesse an;
infos und download unter:
http://www.resplendence.com/hookanalyzer
zusaetzlich koenntest du ja mal mit TCPView schauen, wer welche ports benutzt;
infos und download:
http://www.microsoft.com/technet/sysinternals/utilities/TcpView.mspx
saludos
gnarff
[nach wie vor der meinung, anstaendig formatieren und neu aufsetzen...]
hallo chris!
> das kannst du auch nicht, weil die
datei nvsncd.exe heissen muss...
meinte ich ja. nur falsch abgetippt. Die
existiert nicht.
das haette mich auch gewundert, das ist ein voellig anderer schaedling, ein IRCBot..
andererseits, ich hatte mich ebenfalss vertipp, es haette nvsvcd.exe heissen muess -sorry..
> was soll das bringen...?
die Windowss Firewall schützt ja
"angeblich" die freigaben.
schaedlinge hebeln die aus...
> nein, es gibt derzeit keine solche
sicherheitsluecke unter FF2.0, ansonsten
siehe oben...
Es gibt doch ein riesiges Sicherheitsleck in
FF2.0...
das betrifft denial of service...
> HKCU\Software\DateTime\sageBox.exe = 1
> HKCU\Software\DateTime\MsgBox.exe = 1
Die existieren ebenfalls nicht
wie ich schon sagte, es gibt viele trojan.proxy.gen's. nicht jeder taetigt die gleichen veraenderungen.
Auch in TCP-View ist nicht abnormales zu
erkenne...
Hab mein Sys mal mit HiJackThis ausgewertet,
hier der link
http://www.hijackthis.de/logfiles/99d13c7503ebe8640bb3f537263e4cbc.html
muss ich noch schauen...
rootkitanalyzer, wie oben angeraten benutzt?
saludos
gnarff
> weil sie "versteckt" sind...
Ich lasse vom Explorer alle Dateien
anzeigen.
der explorer zeigt nicht alles...Ich lasse vom Explorer alle Dateien
anzeigen.
> das kannst du auch nicht, weil die
datei nvsncd.exe heissen muss...
meinte ich ja. nur falsch abgetippt. Die
existiert nicht.
andererseits, ich hatte mich ebenfalss vertipp, es haette nvsvcd.exe heissen muess -sorry..
> was soll das bringen...?
die Windowss Firewall schützt ja
"angeblich" die freigaben.
> nein, es gibt derzeit keine solche
sicherheitsluecke unter FF2.0, ansonsten
siehe oben...
Es gibt doch ein riesiges Sicherheitsleck in
FF2.0...
> HKCU\Software\DateTime\sageBox.exe = 1
> HKCU\Software\DateTime\MsgBox.exe = 1
Die existieren ebenfalls nicht
Auch in TCP-View ist nicht abnormales zu
erkenne...
Hab mein Sys mal mit HiJackThis ausgewertet,
hier der link
http://www.hijackthis.de/logfiles/99d13c7503ebe8640bb3f537263e4cbc.html
rootkitanalyzer, wie oben angeraten benutzt?
saludos
gnarff
> der explorer zeigt nicht alles...
aber das meiste, und ich hab auch andere
möglichkeiten versucht da zu suchen,
systemdateien anzeigen, mit einem anderen
programm, was alle dateien anzeigt
um dir mal einen eindruck davon zu vermitteln, wovon wir reden und was dein explorer, oder welche tools auch immer wert sind, habe ich hier ein whitepaper im pdf-formar fuer dich. es ist in englisch; ich nehme mal an du kannst das...aber das meiste, und ich hab auch andere
möglichkeiten versucht da zu suchen,
systemdateien anzeigen, mit einem anderen
programm, was alle dateien anzeigt
es traegt den titel " Implementing and Detecting a PCI-Rootkit", von John Heasman -eine excellente arbeit...
download:
http://www.ngssoftware.com/research/papers/Implementing_And_Detecting_A ...
ich glaube mittlerweile nicht mehr, dass es sich um den trojan.proxy etc. gehandelt hat, vllt. um einen schaedling, der aehnliche charakteristiken aufgewiesen hatte.
ich glaube immer noch ans neu-formatieren; naja -das scheint sich ja wohl im augenblick erledigt zu haben. sofern moeglich, ueberpruefe alle checksummen von dem, was du wiederhergestellt hast, bevor du es wieder auf einen rechner loslaesst...
saludos
gnarff