C:\Codecs\install\setup.exe

Rip Curl · 3. Januar 2010

Ich habe keine Ahnung woher und wie es geschah aber anscheined habe ich ein Trojanerproblem! Ich schreibe mal nieder was ich bis jetzt gesehen hab, sprich was passiert:

- PC-Mauszeiger verändert sich in den Ladebalken (Sanduhr, bei neuem Design der Vista Kreis)
- setup.exe Prozess öffnet sich
- firefox.exe Prozess öffnet sich
- danach kommt diese Abfrage: KLICK MICH BITTE!
- auf Laufwerk C: wird ein Ordner namens "codecs" erstellt in diesem befinden sich folgende Unterordner/Dateien (versteckt)

C:\Codecs\
C:\Codecs\install\
C:\Codecs\install\setup.exe

- Löschen bringt nichts, der Ordner erstellt sich immer wieder
- sobald man den 'falschen Firefoxprozess' abbricht, startet dieser ebenfalls wieder

HiJackThis hat nichts gebracht, trotz Scan&Fix
SpyBot hat nichts gebracht, erkennt nicht einmal das etwas auf dem System ist
Virenscanner findet es und hats in Quarantäne gehauen, kommt aber trotzdem noch

Google hat leider auch nix ausgespuckt um welchen Trojaner es sich handeln könnte und woher dieser kommt

UPDATE: Es handelt sich laut AntiVir um den Trojaner: TR/Dropper.Gen

Name: TR/Dropper.Gen
Entdeckt am: 19/06/2007
Art: Trojan
Nebenart: Dropper
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.04.00.34

General Auswirkungen:
• Erstellt schädliche Dateien

Anzeige

G-POWER · 3. Januar 2010

AW: Trojanerproblem

sowas hatte ich auch schonmal... schau mal unter regedit ob du da was findest und wenn ja dann lösch den schlüssel oder beende die prozessor struktur und lösche gleich danach die exe. das musst du aber sehr flott machen damit keine neue abbildung entstehen kann...

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Noch weniger Details bitte? - ich meine ich soll ja nur etwas in der Registry löschen

In der Registry wird immer nur ein Eintrag neu erstellt, folgender:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Name: HKCU
Typ: REG_EXPAND_SZ
Wert: c:\Codecs\install\setup.exe

bonsai · 3. Januar 2010

AW: Trojanerproblem

Huhu

Start => Ausführen => "regedit"
dann suchst du mal nach "C:\Codecs\install\setup.exe"

Falls du da Einträge findest, solltest du diese mit Registry-Ordner löschen.

Am Besten auch Autostart alles raushauen, was du nich kennst / haben willst
HKEY Current User => Software => Microsoft => Windows => Current Version => Run / Run Once, etc.

Edit: 2l8

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Hab ich alles schon gemacht, schreibt sich immer wieder rein!

Bild

AntiVir Bild vom Ergebniss!

bonsai · 3. Januar 2010

AW: Trojanerproblem

Beende mal alle Programme die du offen hast.

Wenn du danach mal den TaskManager öffnest und auf den Tab Prozesse gehst, musst du mal schauen was da noch so läuft. (Mach notfalls screen davon)

Es muss noch ne zweite .exe geben, die deine setup.exe immer wieder startet.

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Da stehen die gleichen Prozesse wie sonst auch drin. Und wie gesagt:

bonsai · 3. Januar 2010

AW: Trojanerproblem

So kommen wir nicht weiter

1. rausfinden welche Anwendung die setup.exe startet (kann auch ne *.dll sein!)
2. sobald wir das wissen: prozesse beenden und dann registry cleanen
(notfalls mit abgesichertem Modus)

Machen wir was anderes: seit wann hast du den? ... was hast du kurz vorher geladen?

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Und wie soll ich das rausfinden?

Das sowieso

Steht doch schon alles im ersten Beitrag, wieso liest hier keiner aufmerksam? Seit heute, kurz vor Mitternacht glaub. Nix gemacht, nix geladen.

//UPDATE

Hab mal diese Setup.exe angeguckt, also die Details

Bild

Der_Skill0r · 3. Januar 2010

AW: Trojanerproblem

oft "tarnen" sich Prozesse als Systemprozesse, z.B heissen sie dan scvhost statt svchost oder so.

Nur mal so als Tipp

bonsai · 3. Januar 2010

AW: Trojanerproblem

AntiVir Scan hat sonst nix gefunden?

ansonsten "ProcessExplorer" mal googlen und installen
(wie TaskManager nur mit PID und Zugehörigkeit von Programmen und DLLs)

In deinem Post steht nur, das du es nicht weißt

Gut, also wenn du nich weißt woher müssen wir weiter suchen.

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Bild

Firefox war zu, wie gesagt diese "firefox.exe" ist saukomisch.

Gibt aber nur eine Datei "firefox.exe" und das ist die offizielle.

Ich glaube diese "firefox.exe" die da nicht offen sein darf heißt in echt anderst und tarnt sich im Task-Manager eben als "firefox.exe" - k.a.

bonsai · 3. Januar 2010

AW: Trojanerproblem

lad dir das hier bitte: No File | xup.in
(ist sauber, habs geprüft mit virus total.com)

Dann ausführen und nach deiner setup.exe / firefox. exe suchen
siehst dann alle Anwendungen / files die dmait was zu tun haben!

Edit: geh mal rechte Maustaste auf den "falschen" Firefox und schau dir "properties" an
(Pfad, Zugehörigkeit, etc.)

Ansonsten anklicken und Shift+Del (Kill Process Tree)

Edit 2: im Properties Fenster gibts auch den Tab "threads" da stehen alle zugehörigen Threads / PIDs

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

firefox.exe PID: 3180 <- die wo im hintergrund läuft
firefox.exe PID: 2384 <- wenn ich firefox starte

Der einzige Unterschied zwischen beiden ist folgender, siehe Bilder:

Bild

Wenn ich den 'falschen FF Prozess' mit 'Bring to Front' anzeigen will kommt nur: no visible windows found for this process

bonsai · 3. Januar 2010

AW: Trojanerproblem

Also das der "falsche" kein Parent hat spricht schonmal für nen Fake
allerdings wundert mich dann das alles andere stimmt... version und pfad ?(

schau mal im Tab Threads was beim "falschen" firefox steht... oder such mal nach der setup.exe
wenn es nen zusammenhang gibt, finden wir den!

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Ja hab noch auf deinen Beitrag gewartet, wegen Doppelpost vermeiden und so und damit du auch mitbekommst das es ein neues Ergebnis gibt (wenn jemand editiert wird das ja net als 'neuer Beitag' markiert)

Hab mal den fake-firefox-eintrag gekillt, damit sich das neustartet/wiederholt und mir dann diese setup.exe angeguckt:

Bild

soll ich mal nach diesen komischen .dll's suchen?

Gehören laut 'Dateiversioninfo Anzeige' aber zu Microsoft und das RCblabla.dll hat was mit REMOTE zu tun die ich aber deaktiviert hab mit xp-antispy.

bonsai · 3. Januar 2010

AW: Trojanerproblem

jop, such mal ob die PIDs nochmal auftauchen (die von den DLLs)
ansonsten nochmal bei ProcessExplorer im MEnü auf View: "view all" (alle haken setzen)

wenn du firefox und die setup.exe gekillt hast, einfach schauen welche prozesse (ggf.)
wieder aufgehen

Edit: die DLLs müssen nich vom Windows sein, auch wenn es da steht
können ja abgeändert werden... nur sollte dein avira das eigtl. merken!

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Ich weiß nicht was jetzt passiert ist, aber ich hab jetzt den "falschen" Prozess von dem ProcessExplorer 'killen' lassen und bis jetzt ist nichts neugestartet (Prozesse oder so). Bin vorher aber leider auf den Knopf "Verify" gekommen, hat sich aber nix geändert/getan - ich hoffe das das jetzt nicht als 'harmlos' eingestuft wurde und vom Programm ignoriert wird... aber dann müsste es ja trotzdem neu starten und im TaskManager stehen, ist aber plötzlich nicht mehr der Fall.

Ich lass jetzt nochmal das System scannen, auch von AntiVir komplett (dauert nur ewig ^^) - am besten mit getrennter Internetverbindung. Falls da noch was gefunden wird und net gelöscht werden kann -> abgesicherter Modus.

//ich wart noch auf deine Antwort bonsai, nur so zur Beruhigung was du davon hältst und was du denkst was da nun los ist und ob's was mit dem "Ausversehen Verify gedrückt" zu tun haben könnte.

Achso ich werde nach deiner Antwort mit folgenden Tools scannen:

Avira Antivir Premium + aktuelle Updates
a-squared Free + aktuelle Updates
SpyBot + aktuelle Updates
Hijackthis

P.p.s.: doch die die zwei dll Dateien waren von Windows, weil die sind schon seit paar Jahren vorhanden gewesen, wenn die heute erstellt worden wären wär ja das heutige Datum dagestanden. Naja wird man sehen wenn die Scans fertig sind was sicher bis morgen geht (wegen AntiVir xD)

bonsai · 3. Januar 2010

AW: Trojanerproblem

Verify ist in diesem Sinne nur für Programm-interne Verwendung gedacht
Also sollte nichts mit der Anzeige / "Erkennung" ändern.
Startet denn die Setup.exe noch? (was war mit den DLLs?)

jop, gute Idee - ich warte mal auf ein Ergebnis
(wie lange rbaucht dein AntiVir? )

*waiting*

Edit:

stimmt nicht! man kann DLLs ach verändern ohne das Datum dabei zu verändern!
also nich nur darauf achten

Edit2: welches "morgen" meinst du?

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Es startet gar nichts mehr schädliches - komischerweise!

Keine falsche 'firefox.exe' mehr und keine 'setup.exe' mehr und es wird auch kein "Codecs\install\" Ordner mehr auf C: angelegt.

Vielleicht war der 'Trojaner' zu alt (tauchte 2007 das erste Mal auf) und gibt nach einiger Zeit selber auf wenn er merkt das die URL die er wohl erreichen wollte nicht mehr erreichbar ist?! xD

Ohje ich scan dann mal los. Das kann schon bis morgen gehen ^_^ Bei AntiVir steht keine 'Restdauer' dabei - kann mir denken wieso -_-

bonsai · 3. Januar 2010

AW: Trojanerproblem

Wenn du "Kill Process Tree" genommen hast, ist es logisch

naja, das wär ja zu einfach
aber vllt. ist der ja wirklich so schlau!

ja sowas kann dauern ^^
also ich hoffe es wird nix mehr gefunden bzw. hoffe ich das nix drauf ist, was nicht gefunden wird!

viel erfolg!

Edit: kleine Erklärung des ProcessExplorers << klick

Daher nutz ich den unter anderem gern für die Suche nach Viren/Trojanern

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Avira Antivir Premium - 11 gefunde Dateien, Wiederherstellungspunkte - Überschrieben & Gelöscht
a-squared Free - 29 Cookies, aber hatten nix mit dem Trojaner zu tun und waren auf 'Niedriges Risiko' und hatten alle "adCache, adbla" also Werbemüll im Dateinamen
SpyBot - nichts gefunden (so langsam zweifel ich an dem Programm)
Hijackthis - Logdatei erstellt, bitte schön:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:45:13, on 03.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINXP\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINXP\System32\svchost.exe
C:\WINXP\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Appz\HiJackThis 2.0.2 Beta (English)\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [RocketDock] "C:\WINXP\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237036660812
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1237906310796
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 7370 bytes

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ist so weit ganz in Ordnung glaube ich. So ich hoffe das das endlich zu 99% weg ist ^_^

Mich wundert nur das es so plötzlich kam, ich nix gemacht/geladen oder ausgeführt hab und das es so plötzlich wieder verschwunden ist.

Vielleicht lags aber auch daran das ich irgendwann die Setup.exe mit Avira AntiVir "Überschreiben & Löschen" konnte, das dort irgendwas geändert wurde und durch den "Kill Tasktree" Befehl von dem Process-Dingens-Programm hat's dem Drecksding dann den Rest gegeben!

Mal gespannt wann ich das nächste Mal den PC starte, ob da wieder was erscheint.

GenesisEX · 3. Januar 2010

AW: Trojanerproblem

Falls du WindowsXP hast kriegste damit jeden scheiß runter (meine Erfahrung):

Combofix

Habe viel von meinem Rechner entfernt und so ein Wissen muss man nicht haben um es zu bedienen, wie es andauernd gesagt wird.

Also falls du dir noch nicht sicher bist ob der unten ist hau mit combofix drauf, kannst einige Board User fragen, sollte einigen bekannt sein, ist halt nur für Win2k und WinXP, leider

alesandro · 3. Januar 2010

AW: Trojanerproblem

Combofix ist ein versuch wert,aber auch unter Vista funktioniert es,steht auch auf der Seite,hatte es letztens auch bei mir unter Vista verwendet gehabt,hatte auch einen ähnlichen Trojaner,der hatte den weggemacht.Musste das Program nur 3-4 mal starten bis es funktioniert hatte.

Rip Curl · 3. Januar 2010

AW: Trojanerproblem

Ist weg, auch nach PC neustart keinerlei verdächtige Prozesse mehr.

Nützliche Suchen

C:\Codecs\install\setup.exe

Videos zum Themenbereich