Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Es wäre zu schön gewesen :-\
Diesmal hat Kaspersky immerhin sofort gemeckert als ich die üblichen Verzeichnisse durchforstet hatte. Antivir tat das nie.

Hier wäre das Ergebnis:

Complete scanning result of "Scan.zip", processed in VirusTotal at 10/08/2006 16:04:24 (CET).

[ file data ]
* name: Scan.zip
* size: 36676
* md5.: e9f5fff1aaec5de8aee47832be28caee
* sha1: edf76f1a5f09ba86486f4516fac0ca09f0c32476

[ scan result ]
AntiVir 7.2.0.25/20061006 found [HEUR/Malware]
Authentium 4.93.8/20061006 found [Possibly a new variant of W32/IRCBot-based!Maximus]
Avast 4.7.892.0/20061008 found [Win32:Agent-VM]
AVG 386/20061007 found nothing
BitDefender 7.2/20061008 found nothing
CAT-QuickHeal 8.00/20061007 found nothing
ClamAV devel-20060426/20061008 found nothing
DrWeb 4.33/20061008 found [DLOADER.IRC.Trojan packed by BINARYRES]
eTrust-InoculateIT 23.73.16/20061007 found [Win32/Boxed.Variant!Trojan]
eTrust-Vet 30.3.3118/20061006 found nothing
Ewido 4.0/20061008 found nothing
F-Prot 3.16f/20061006 found [Possibly a new variant of W32/IRCBot-based!Maximus]
F-Prot4 4.2.1.29/20061006 found [W32/IRCBot-based!Maximus]
Fortinet 2.82.0.0/20061008 found [Horst!tr]
Ikarus 0.2.65.0/20061007 found nothing
Kaspersky 4.0.2.24/20061008 found [Trojan-Proxy.Win32.Horst.kj]
McAfee 4868/20061006 found nothing
Microsoft 1.1603/20061008 found nothing
NOD32v2 1.1794/20061006 found nothing
Norman 5.80.02/20061006 found nothing
Panda 9.0.0.4/20061008 found [Suspicious file]
Sophos 4.10.0/20061005 found [Troj/Horst-Gen]
TheHacker 6.0.1.093/20061006 found [Trojan/Horst.gen]
UNA 1.83/20061006 found nothing
VBA32 3.11.1/20061008 found [suspected of Worm.Warezov.7 (paranoid heuristics)]
VirusBuster 4.3.7:9/20061007 found [Worm.Medbot.Gen.6]

[ notes ]
packers: UPX
packers: UPX
packers: UPX, BINARYRES
packers: UPX
packers: UPX

Hi,
irgendetwas stimmt hier nicht !
Gestern fand Kaspersky in den Dateien den Trojan-Proxy.Win32.Horst.kd
und heute den Trojan-Proxy.Win32.Horst.kj.
Den ersten findet Kaspersky seit dem 06. Oktober, den zweiten seit dem Siebten.
Zahlreiche weitere Varianten wurden in den letzten Tagen der Signaturdatenbank hinzugefügt.
Beide Infektionen wurden nicht verhindert, erst durch die Aufmerksamkeit des User wurden sie entdeckt. Die meisten anderen Scanner sind zur Zeit noch blind für diese Malware.
Eine entscheidende Frage stellt sich aber, warum der PC ständig neu infiziert wird.
Hier kann nur eine Vermutung angestellt werden. Entweder erfolgt die Infizierung durch eine nicht gepatchte Sicherheitslücke oder ein Rootkit ist aktiv, der in der Lage ist, unbemerkt stände neue Malware herunter zuladen.   
Bitte prüfe folgende Kaspersky Einstellung:
- Die Updates sollte im Einstunden Rhythmus erfolgen
- Web-Anti-Virus sollte aktiviert sein und die Aktion auf “Blockieren“ stehen
- Beim den Einstellungen unter “Schutz“ sollte auch Spyware/Adware und Potentielle gefährliche Software aktiviert sein 
- Die Sicherheitsstufe der Virensuche sollte “Hoch“ eingestellt sein
Im Anschluss sollte der PC mit dieser Einstellung vollständig überprüft werden   

Weiter sollte gegen ein mögliches Rootkit die beiden folgenden Tools eingesetzt werden:
F-Secure BlackLight
https://europe.f-secure.com/exclude/blacklight/index.shtml
und
Sophos Anti-Rootkit
http://www.chip.de/downloads/c1_downloads_21584106.html?tid1=27700&tid2=0
Poste die Protokolle wieder !

Erstelle mit Hilfe von Kaspersky auch eine BootCD, siehe dazu im Handbuch nach.
Scanne mit der BootCD den kompletten Rechner.
Dabei sollte die Einstellung so gewählt werden, das ALLE DATEIEN durchsucht werden, einschließlich der Archive !

Lasse die "Scan.zip" demnächst immer wieder bei Virustotal prüfen und poste das Ergebnis wenn sich was gegenüber den ersten Check geändert hat.

Ok, die Tools habe ich durchlaufen lassen. F-Secure hat nichts festgestellt, das Sophos fand folgende versteckte Registry-Einträge, die es aber nicht entfernen konnte:

\HKEY_USERS\S-1-5-21-1085031214-1383384898-1343024091-500
\HKEY_USERS\S-1-5-21-1085031214-1383384898-1343024091-1005

Die Kaspersky-Einstellung hab ich geändert und noch einen vollständigen Systemcheck durchlaufen lassen (Boot-CD folgt dann):

gelöscht: trojanisches Programm Trojan-Proxy.Win32.Horst.kd   Datei: C:\System Volume Information\_restore{BFEE1597-22A3-4D1A-BEB6-42DFDBCA4801}\RP15\A0005325.exe/UPX
gelöscht: trojanisches Programm Trojan-Proxy.Win32.Horst.kj   Datei: C:\System Volume Information\_restore{BFEE1597-22A3-4D1A-BEB6-42DFDBCA4801}\RP15\A0005335.exe/UPX
gelöscht: trojanisches Programm Trojan-Proxy.Win32.Horst.kj   Datei: C:\System Volume Information\_restore{BFEE1597-22A3-4D1A-BEB6-42DFDBCA4801}\RP15\A0005342.exe/UPX
gelöscht: trojanisches Programm Trojan-Proxy.Win32.Horst.kj   Datei: D:\System Volume Information\_restore{BFEE1597-22A3-4D1A-BEB6-42DFDBCA4801}\RP15\A0005338.exe/UPX
gelöscht: trojanisches Programm Trojan-Proxy.Win32.Horst.kj   Datei: D:\System Volume Information\_restore{BFEE1597-22A3-4D1A-BEB6-42DFDBCA4801}\RP15\A0005344.exe/UPX

Ähnliche Dateien kamen bei meinem letzten Check auch heraus.

Wodurch ich neu infiziert werde, weiß ich auch nicht.
Allerdings auf Grund von:
"Authentium 4.93.8/20061006 found [Possibly a new variant of W32/IRCBot-based!Maximus]"
und ähnlichen, die auf IRC tippen, mutmaße ich, dass es irgendwie daher kommt? Ich bin täglich im IRC aktiv und möglicherweise kommt dadurch etwas rein?
Für heute werde ich mal ein anderes Client-Programm (bisher: X-Chat, build daemon404, siehe: http://en.wikipedia.org/wiki/Xchat unter Links) benutzen. Ist ja möglich, dass es da eine Sicherheitslücke gibt.
Ansonsten hoffe ich weiter drauf, dass es Lösungen gibt / ich diese schon angewandt habe.

Es hat nichts geholfen :(
Eben gerade wurde Trojan-Proxy.Win32.Horst.jy gefunden.

Trojan-Proxy.Win32.Horst.jy
ist vom 26.09.2006 !!

Wenn du einen starken Rechner hast
dann ändere die Einstellung von Kaspersky so:

Datei-Anti-Virus = Sicherheitsstufe auf Hoch
Web-Anti-Virus = Sicherheitsstufe auf Hoch
+ den Haken entfernen bei “ircnet/irc.cgi\?item=Fmain*”

Beachte das diese Änderung die Performance negativ beeinflusst !

Hast du die “Scan.zip" nochmal bei Virustotal checken lassen?

Der Rechner ist schon einige Jährchen alt und ich denke nicht, dass er die hohe Belastung gut vertragen würde.
Gerade eben hat er den Trojan-Proxy.Win32.Horst.kn gefunden.
Nochmal überprüft habe ich es nicht. Kaspersky löscht mir auch immer fix die setup.exe weg. Die nächste behalte ich mal zu dem Zweck.

Ich weiß wirklich nicht mehr, was ich tun soll :( Schließlich hat mich nichtmal eine komplette Neuinstallation des System vor dem Virus geschützt.

Und wieder eine ganz neue Malware !
Erkannt wird Trojan-Proxy.Win32.Horst.kn seit dem 12.10.2006.

Allgemeine Beschreibung:
Trojan-Proxy.Win32.Horst.** ist ein selbständiges Programm mit einer verdeckten Schadfunktion. Es enthält keine Verbreitungsroutinen.

Wie steht es eigentlich mit Aktion Boot CD von Kaspersky ?
Alternativ hier ein Link zur fertigen Boot CD von Panda, nur 14 MB:
http://www.panda-software.de/PandaWebsite/support/faq_antwort.asp?fpdbr_0_PagingMove=++|%3C++&helpno=20050602+1592

Beachte den wichtigen Hinweis unter den Zusätzliche Informationen !
Eine einfache Frage an dieser Stelle:
Hast du alle Sicherheitsupdate von Windows eingespielt?

Scanne mal auch alle Setupprogramme von der Software die auf deinen PC installiert sind mit Kaspersky !   

K, die CD werde ich laufen lassen.
Windows sollte auf dem neusten Stand sein. Kürzlich erst neuinstalliert, alle wichtigen Updates drauf, automatische Updates sind auch aktiviert.

Hallo,
ich bin auch stolzer Besitzer von Horst. In allen seinen Varianten. Beim kopletten Check vor 2 Tagen wurde er 12 mal gefunden! Wahnsinn.
Ich nutze Gdata Internet Security 2007. Beim Scannen findet Gdata was, meldete aber keine Installation. Nach dem Löschen aller 12 stück, dem entfernen der autorun schien der Rechner frei von Malware zu sein. Auch F-Secures Blacklight fand nichts.
Aktuell habe ich das Problem, das Gdata, meist 5-10 Minuten nach dem Hochfahren meldet, das versucht wurde auf eine verseute Datei zuzugreifen. Host.
Host befindet sich jetzt angeblich unter C:\System Volume Information\ in einer Datei die _restoreXXXXXXXXXXX irgendwas heißt. Gdata meldet das zwar, kann die Datei aber nicht in Desinfizieren oder löschen.

Gebt mal bescheid, was bei euch so rauskommt. Ich bin sehr gespannt.
Danke, Jab

Jup, in den gleichen Ordnern finde ich auch Horst. Probier mal Kaspersky, das löscht die Dateien bei mir weg. Das hat bis jetzt aber nicht geholfen, da er immer wieder kam.

Da GData mit der Engine von Kaspersky arbeitet und die Funktionen im relevanten Bereich fast identisch sind, musst du jetzt nicht extra Kaspersky installieren!

Hi

habe auch das gleiche Problem und nutze auch Kapersky ...

wäre auch daran interessiert, den Schlawiner dauerhaft los zu werden ...

bin gespannt, ob einer ne Lösung findet...das zieht sich ja nun schon seit Wochen so hin.

Ich nutze übrigens kein IRC ...also von da kommt das nicht.

Hallo Steel und Jab,
ist es möglich das ihr euer Logfile of HijackThis hier postet?
Vielleicht ist eine Gemeinsamkeit zu entdecken.

Hi,
ja,...HijackThis ist bei mir nicht installiert und ich werde wohl auch die nächsten Tag nicht dazu kommen. Eventuell nächstes Wochenende erst. Nutze auch kein IRC. Kann aber auch nicht sagen wo die Datei herkommt.
Weiß mittlerweile schon jemand was die macht?! Habe bei Protecus gelesen, der Trojaner verschckt Mails. Kann das jemand bestätigen?

Hallo,
bei Kaspersky online nachlesen,Namen eingeben.
 

Zitat
Host befindet sich jetzt angeblich unter C:\System Volume Information\ in einer Datei die _restoreXXXXXXXXXXX irgendwas heißt. Gdata meldet das zwar, kann die Datei aber nicht in Desinfizieren oder löschen.

Systemwiederherstellung deaktivieren,Kiste ausschalten,neu hochfahren...fertig,weg isser.
"Restore" ist die Systemwiederherstellung.
Sir Reklov

« Internet Verbindung ...Bitte schalten Sie den PC jetzt aus! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!