[honos]

Hi ich wollte heute mein temp ordner leeren und da sind mir einige dateien aufgefallen,
Dort sind jedemenge dateien mit solchen Namen:

MBX@43C@A82518.###
MBX@334@A82518.###
MBX@480@A82518.###
MBX@554@A82518.###

Google schmeisst als ursache nur den ServU-EH Virus raus.
Aber Kaspersky erkennt nix und der Firewall meldet auch keine verdächtigen Verbindungen. Die Dateien sind immer genau 2KB groß, und lassen sich nicht mit nem Text Editor öffnen(Da kommt immer Buchstaben Salat).
Die Datei scheint immer erstellt zu werden wenn ich Windows starte.

Hat jmd. ne idee was das sein kann?


MFG Honos

[Salam]

Zitat (honos: 01.07.2007, 01:40)

Hi ich wollte heute mein temp ordner leeren und da sind mir einige dateien aufgefallen...

Der Temp Ordner ist uninteressant. Die Sachen wäre evt. mit dem Internet Explorer ausgeführt worden.
Wenn du jedoch mit einem Alternativ-Browser (Firefox, Opera) unterwegs bist greifen die Sachen nicht.

Also eigentlich unproblematisch.

Wie sieht ansonsten dein Hijackthis Log aus?

Dieser Beitrag wurde von Salam bearbeitet: 01. Juli 2007 - 08:42

[Adojan]

Troj/ServU-EH is a modified version of a commercial FTP application. 

Troj/ServU-EH runs continuously in the background providing an FTP server on a TCP port specified in its configuration file.

Troj/ServU-EH runs continuously in the background providing an FTP server on a TCP port specified in its configuration file. 

Recovery
 Summary  Description  Recovery  Advanced   
This section tells you how to remove the threat.
Please follow the instructions for removing Trojans.

Advanced
 Summary  Description  Recovery  Advanced   
This section is for technical experts who want to know more. 
Troj/ServU-EH is a modified version of a commercial FTP application. 

Troj/ServU-EH runs continuously in the background providing an FTP server on a TCP port specified in its configuration file. 

When Troj/ServU-EH is installed the following files are created: 

<Temp>\CF06674C-EDA6-48df-B12C-F810984ACF54.exe
<Temp>\MBX@604@B82DD8.###
<Temp>\MBX@604@B82DF8.###
<Current Folder>\chkdrv.exe
<Current Folder>\icrui.dll 

The Trojan reads configuration data from the file chkdrv.exe and logs its activity to icrui.dll.

du hast nen home-ftp am laufen...

hast du etwa nicht sichere sachen aus nicht vertrauenswürdigen quellen runtergeladen und installiert?

such mal nach "ServU" unter c:/ und deinstalliere den ftp server wieder...

dann bist du auch diese dateien los die nach dem reeboot immer angelegt werden...

ServU ist ein relativ alter ftp server der eigentlich gut ist... und auch leicht konfigurierbar... lässt sich wunderbar einfach in installationsroutinen einbauen...

wenn du sicher gehen willst spiel dein backup ein... weil im moment ist dein rechner ein ftp server und wer weiß wer da grade was von deinem rechner zieht...


EDIT: und um deine frage zu beantworten... wenn du nix von dem ftp weißt... dann ja... könnte man es als trojaner bezeichnen...

Dieser Beitrag wurde von Adojan bearbeitet: 01. Juli 2007 - 12:44

[Diablo959]

Da gibt es ein Programm mit dem du es auch testen kannst, ob es einen schädigenden Quellcode hat...

[honos]

Zitat

Der Temp Ordner ist uninteressant. Die Sachen wäre evt. mit dem Internet Explorer ausgeführt worden.
Wenn du jedoch mit einem Alternativ-Browser (Firefox, Opera) unterwegs bist greifen die Sachen nicht.

Ich meine ja auch nicht mein den IE Temp Ordner sondern den von Windows ( C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp )

Zitat

Das sind vermutlich irgendwelche temp-Dateien eines im Hintergrund agierenden Programmes. Was hast du alles Laufen? HiJackThis-Logfile wäre da schon Interessant. Auch Downloader oder Dateimanager hinterlassen manchmal derartigen Müll. Warum verwendest du nicht CCleaner oder/und Sweepi zum löschen und mühst dich mit der Hand ab?

Das es Temp dateien von en Programm sind weiss ich die frage ist nur welches und warum.
Aber seltsam ist, dass es immer beim Systemstart passiert, wo kein Download Manager läuft. Ich leere gerne den temp Ordner per hand um zuwissen was drin ist. Hätte ich es nicht gemacht wären mir die Dateien gar nicht aufgefallen.

Zitat

Hast du schon mal bei Jotti oder Virustotal hochgeladen? Obwohl ich mir nicht vorstellen kann, das 2 KByte eine Funktion besitzen. 30 KByte müssten es schon sein, es sei denn, es ist ein Script. Den müsste man aber lesen können. Warum verwendest du keinen richtigen Dateimanager und beobachtest das Verzeichnis? Den Übeltäter zu finden ist doch eine der leichtesten Übungen.

Die dateien selbst sind keine ausführbare dateien sondern logs von nem anderen Programm, da dort kein code enthalten ist, bringt ein hochladen auch nix.

Zitat

Ehrlich? Welche Programme sind im Autostart eingetragen? Was sagt Autoruns oder Starter dazu?

Siehe Hijackthis Log

Zitat

Häähh, Keine wirkliche Schadsoftware lässt sich damit erkennen. Willst du hier unsere Reaktionen testen? Lies hier weiter: http://ulm.ccc.de/PersonalFirewalls

Doch natürlich lässt sich schadsoftware erkennen wenn datei kryptisch.exe versucht verbindung mit nen Server im Internet aufzubauen, schreit es nach Malware.

Zitat

du hast nen home-ftp am laufen...

hast du etwa nicht sichere sachen aus nicht vertrauenswürdigen quellen runtergeladen und installiert?

such mal nach "ServU" unter c:/ und deinstalliere den ftp server wieder...

dann bist du auch diese dateien los die nach dem reeboot immer angelegt werden...

ServU ist ein relativ alter ftp server der eigentlich gut ist... und auch leicht konfigurierbar... lässt sich wunderbar einfach in installationsroutinen einbauen...

EDIT: und um deine frage zu beantworten... wenn du nix von dem ftp weißt... dann ja... könnte man es als trojaner bezeichnen...

ServU hab ich vor jahren mal benutzt, aber der ist nicht installiert. und als dienst ist auch kein FTP eingetragen.

Zitat

wenn du sicher gehen willst spiel dein backup ein... weil im moment ist dein rechner ein ftp server und wer weiß wer da grade was von deinem rechner zieht...

Da mache ch mir nicht soviel sorgen, ich kann nicht mal en WEB oder FTP Server aufmachen wenn ich will, da ich hinter 3 Firewalls stecke und auf 2 gar kein zugriff hab.


Ich benutz übrigens kein IE sondern schon seit jahren Opera.

Hier der Hijackthis Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 14:31:57, on 01.07.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\DriveCrypt\DriveCrypt.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\somebody\Desktop\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164816690890
O17 - HKLM\System\CCS\Services\Tcpip\..\{37F52F9F-E600-4145-B44D-FA8169093008}: NameServer = 134.95.188.75,134.95.129.23
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe

Aber danke für die tipps
vllt seht ihr was verdächtiges...

@ Diablo weisst du wie das Proggy heisst?

MFG Honos

Dieser Beitrag wurde von honos bearbeitet: 01. Juli 2007 - 13:54

[Beavis]

@honos:

Hab den Thread nur überflogen, aber du könntest ja die möglicherweise schädliche Datei in einer Sandbox mal durchführen lassen und er analysiert die Datei.

mfG
Beavis