[chrisx]

Hallo,

hab mir vor einigen Tagen die neue Version von XP-Antispy (3.96) installiert. Heute nach dem Login in Windows wurde plötzlich von meinem AntiVirenKit Alarm gemeldet, dass die Uninstall.exe von XP-Antispy versucht wurde zu laden und diese den Zlob Trojaner enthält.

Virus: Trojan.Downloader.Zlob.SH
Datei: Uninstall.exe
Verzeichnis: C:\Programme\xp-AntiSpy
Prozess: Explorer.EXE

Ich hab gleich bei dem Link von AVK nachgesehen,

http://www.antiviruslab.com/description.ph...=349264&lang=de

Diese Variante wird erst seit heute erkannt.
Ich hab mir zur Sicherheit gleichzeitig nochmal die Setup.exe von XP-Antispy von der offiziellen Website (http://xp-antispy.or...mirror&itemid=1) geladen und wieder schlägt AVK (bereits beim Downloadstart) Alarm.

Virus: Trojan.Downloader.Zlob.SH
Datei: 1786194Cd01
Verzeichnis: C:\Dokumente und Einstellungen\Guest\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\bcs9a0tt.default\Cache
Prozess: FIREFOX.EXE

Werd jetzt gleich mein Windows neu installieren, hatte XP-Antispy schon paar Tage drauf und muss nun von ausgehen, dass mein System kompomitiert ist. Wenn es ein Fehlalarm wäre, warum wird dann versucht die uninstall.exe beim Autostart von Windows zu laden? Über msconfig wird sie nicht angezeigt, scheint also irgendwo versteckt im Autostart zu sein (evtl. von einem Treiber)

Wollte euch nur warnen, weil das Tool ja viele nutzen.

Dieser Beitrag wurde von chrisx bearbeitet: 13. Juni 2006 - 16:30

[linksta]

glaub ned der kerl programmiert die sachen doch alle selber warum sollten er malware verbreiten wollen?

[michimaus]

Ich kann NICHT bestätigen das XP-Antispy 3.96 ein Virus hat, weder Kaspersky 6.0 noch NOD32 (alle mit Virusdefinitionen vom heutigen Tage) melden auf die Datei kein Virus, von daher scheint wohl der Fehler eher wo anders zu liegen.

[chrisx]

@michimaus: Laut Link von antiviruslab erkennt den auch die Bitdefender, nicht die Kaspersky Engine. Vielleicht kann es ja mal jemand mit AVK 2006 oder Bitdefender testen, mein Kollege hat ebenfalls auf seinem PC mit AVK 2006 einen Testdownload gemacht und es schlägt Alarm.

Scheinbar hat der "Typ" sich sicher geglaubt und nicht gedacht, dass es rauskommt... Mein Rechner ist definitiv Virenfrei gewesen, deine angdeutete Behauptung der Fehler liegt woanders ist somit falsch.

Edit: Habe die Datei zur Prüfung mal an Kaspersky geschickt.

Dieser Beitrag wurde von chrisx bearbeitet: 13. Juni 2006 - 16:08

[SoniX]

Mein Bitdefender 8 mit aktueller Definition findet in der Uninstall.exe eine Trojaner.

Gruß,
SoniX

[michimaus]

Mir ist es sowieso schleierhaft wie man für eine Datei ein Installer braucht, saugt euch die Antispy.ZIP und gut is. Das Programm selbst ist NICHT verseucht.

[chrisx]

Zitat (michimaus: 13.06.2006, 17:12)

Mir ist es sowieso schleierhaft wie man für eine Datei ein Installer braucht, saugt euch die Antispy.ZIP und gut is. Das Programm selbst ist NICHT verseucht.

Oder die AV-Progs erkennen den Virus in der xp-antispy.exe (noch) nicht.. Habe eben auch noch an Bitdefender geschrieben, damit die es auf einen evtl. Fehlalarm überprüfen.


Edit:

Hello.

Our antivirus don't detect this file. This file is clean uninstaller.
--
Regards, Alexey Malyshev
Virus analyst, Kaspersky Lab.

e-mail: [email protected]
http://www.kaspersky.com/
http://www.viruslist.com/en/weblog

Dieser Beitrag wurde von chrisx bearbeitet: 13. Juni 2006 - 16:29

[Maximum Prime]

Antivir sag auch noch nix, hoffe ja das dass nur ein Fehlalarm ist. Wäre echt blöd hab erst vor ein paar tagen n Backup draufgespielt.

[contaque]

deaktiviert doch bitte mal die Heuristik-Scanner...die finden oft was was nicht da ist. Oder nutzt ein Programme normale Windows-Befehle werden die oft von übereifrigen Scanner als böse angesehen weil Malware die auch verwendet.

es ist zwar theoretisch denkbar das die Dateien wirklich Malware enthalten aber die Komprimierung bei HP ist der mir einzige jemals bekannte Fall von Komprimierung auf Seiten eines Herstellers.

[chrisx]

Zitat (Breaker: 13.06.2006, 18:52)

Sendet die Datei doch einfach mal an virusscan.jotti.org, mal schauen was der dazu sagt.

Down for maintenance

Zitat

@chrisx: Könntest du mal ein Hijackthis-Log posten? Ich glaube da nämlich eher an einen Fehlalarm...

Du kannst mir glauben dass mein Rechner clean ist

Logfile of HijackThis v1.99.1
Scan saved at 19:39:39, on 13.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda TruPrevent Personal 2006\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\panda truprevent personal 2006\firewall\PNMSRV.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G-Data Software\Antivirenkit 2006 Pro AV\AVKService.exe
C:\Programme\G-Data Software\Antivirenkit 2006 Pro AV\AVKWCtl.exe
C:\Programme\OO CleverCache\ooccag.exe
C:\Programme\Panda TruPrevent Personal 2006\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda TruPrevent Personal 2006\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda TruPrevent Personal 2006\apvxdwin.exe
C:\Programme\Panda TruPrevent Personal 2006\WebProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OO CleverCache\ooccctrl.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\G-Data Software\Antivirenkit 2006 Pro AV\AVKTray\AVKTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
Z:\Programme\Trillian 3.x Pro\trillian.exe
C:\Dokumente und Einstellungen\Guest\Desktop\Security\HijackThis.exe

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda TruPrevent Personal 2006\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G-Data Software\Antivirenkit 2006 Pro AV\AVKTray\AVKTray.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{4204B54B-77C9-4DE8-8046-3278D5DB6E37}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{59AEF8A5-A0D3-49B8-AABD-CDBC1691AEBA}: NameServer = 192.168.2.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G-Data Software\Antivirenkit 2006 Pro AV\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G-Data Software\Antivirenkit 2006 Pro AV\AVKWCtl.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO CleverCache\ooccag.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programme\Panda TruPrevent Personal 2006\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda truprevent personal 2006\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programme\Panda TruPrevent Personal 2006\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda TruPrevent Personal 2006\TPSrv.exe

@contaque: Es ist nen von der Signatur erkannter Trojaner, wenn es die Heuristik melden würde, stände der nicht in der Datenbank

[Rika]

Zitat

OO CleverCache

Autsch!

[contaque]

Zitat (chrisx: 13.06.2006, 19:40)

@contaque: Es ist nen von der Signatur erkannter Trojaner, wenn es die Heuristik melden würde, stände der nicht in der Datenbank

nein, nicht zwangsläufig. die signatur ist ja nur ein codeschnipsel des virus, je nachdem welche Kriterien der Scanner verwendet kanns auch ein false positive sein.

ich vermute zwar eher es ist die heuristik aber das musst du erstmal überprüfen...

[ShadowHunter]

Es ist kein offizieller Hersteller in dem Sinne.
Es könnte ein Fehlalarm sein, aber eventuell hat der Ersteller ja wirklich einen Fehler eingebaut oder sonst etwas hat dafür gesorgt.
Grund genug weiterhin die Finger daovn zu lassen und lieber selber die nötigen Einstellungen vornehmen!

[chrisx]

Zitat (Rika: 13.06.2006, 20:10)

Autsch!

Brauchst du nen Medikament?
http://www.windows-t...vercache-e.html