habe heute eine Virenmeldung von der auf meinem Rechner eingesetzten Software "GData-Internetsecurity" erhalten. Es war ein Fund des "Trojan.Java.Class.Loader.ao". Im Virenlexikon habe ich keine brauchbaren Infos, vor allem zur Gefährlichkeit dieses Trojaners erhalten. Also habe ich gegoogelt, und habe mich entschlossen, mein ganzes System mal im abgesicherten Modus via "eScan" zu checken. Und nun habe ich richtig kalte Füsse bekommen.
So findet sich im unten anhängenden Logfile ein ziemlich gruselig klingender Eintrag - halt shangxing Backdoor. Habe hierzu nur ganz wenig Informationen per Google finden können, und auch die Virenlexika einchlägiger Anbieter von Sicherheitssoftware halten keine Informationen hierzu vor. Wer kann diesen Fund einordnen? Vor allem hinsichtlich der Bedrohung hierzu; und wie kann ich die Geschichte fixen? Übrigens hat die Onlineauswertung des gerade erstellten Logfiles von "hijackthis" keine auffälligen Einträge zu Tage befördert - alles sicher laut hijackthis. Und auch GData erkannte beim Scan gerade nichts auffälliges.
Also, wer kann mir bitte helfen, und sich mal den untenstehenden Logfile von "eScan" anschauen, und auf Brisans prüfen? Danke im Voraus!
BG Dirk
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "shangxing BackDoor" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "shangxing BackDoor" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "shangxing BackDoor" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\Alg.AlgSetup.1" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\ICQPhone.SipxPhoneManager" verweist auf das ungültige Objekt "{82308D15-1A2C-416A-A5BE-21DAF85DDB75}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\SpyDoctor.EBankProblem" verweist auf das ungültige Objekt "{AE612304-E8F9-45D9-A444-32409D33E954}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\SpyDoctor.QuarantinedItemProxy" verweist auf das ungültige Objekt "{C2CE6266-0404-4C54-96B4-8829852E3537}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\SpyDoctor.ScripterProxy" verweist auf das ungültige Objekt "{9FEF02F5-B3B8-4D7B-8939-72A1C989D1B9}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\AIMPlugn.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. u. s. w.
also führen wir mal eine Virencheck Routine durch.
Als erstes Systemwiederherstellung deaktivieren. Lade dir CCcleaner herunter und bereinige damit dein System. Aber unter Erweitert nichts anklicken.
Jetzt update deinen AVK. Hast du die 2006er oder 2007er Version? Unbedingt mit beiden Engines scannen. Scanne deinen Computer nun von der AVK CD oder bastle dir eine eigene mit neuesten Virendefinitionen.
Du kannst auch mal einen Online Scan auf der F-Secure Homepage machen . Bitte das Logfile hier posten.
Lad dir mal TCP View runter, schicke uns damit einen Bericht.
Wenn wir aber so nicht an den Trojaner rankommen, werden wir wohl leider neu aufsetzen müssen , da fast gar nichts über den Trojaner bekannt ist.
vielen Dank für diesen ausführlichen Lösungsansatz. Ich hatte Nachtdienst und konnte leider noch nicht eher darauf reagieren, werde aber ab jetzt das ganze von dir vorgeschlagene Programm durchspielen.
Da ich die GData-Version von 2007 nutze, kann der Scan aber wohl eine Ewigkeit dauern. Daher denke ich nicht vor 16:00 Uhr ein Ergebnis hier posten zu können. Übrigens hatte ich gestern Morgen noch einen Scan hiermit durchgeführt, der auf jeden Fall auch die Bereiche, wo der Trojaner via "eScan" gefunden wurde, umfasste. Offenbar ist Gdata dieses Ding nicht bekannt - auch im Virenlexikon keine Infos hierzu verfügbar. Die Virenprüfung erfolgt mit beiden Engnines, und das Outbreakshield ist aktiviert.
Risk level - very low! Genial Dein Link zu Symantec; hätte ich auch mal drauf kommen können.
Also ich habe jetzt meine Platte mit einer "frischen" Boot-CD von GData durchforsten lassen, und keinen Virenfund gemeldet bekommen. Übrigens hat dieser Prozess satte 2h40´ gedauert - dieses Programm ist sooooo lahm!!!! By the way - hast Du eine Idee, wie man mit GData sicher und trotzdem mit ausreichend Performance arbeiten kann? Beide Engines beim AVK einschalten und Outbreakshield aktiv ist ja unabdingbar. Aber dieser Scanner ist ein solcher Ressourcenfresser. Beim Start vom Mozilla Firefox oder Thunderbird ist es besonders schlimm. Das Abrufen von E-Mails dauert ewig, obwohl ich schon die E-Mail-Überwachung in GData ausgeschaltet habe. An den E-Mails sollte eigentlich jetzt nur noch der Spam-Filter werkeln. Und dafür braucht dieses GData dann stellenweise 100% CPU-Leistung. Ich arbeite übrigens mit einem AMD-Sempron 2600+ und 512 MB-Ram, und kann die dollsten Programme auf meinem Rechner ohne Probleme und auch parallel laufen lassen. Früher mit Antivir von Avira und der Kerio-Firewall kannte ich auch aus dem Bereich der Software keine Performanceprobleme. Aber jetzt mit GData gerät das System regelmässig an die Leistungsgrenze. Vielleicht hast Du ja noch einen heissen Tip für mich?! Übrigens habe ich schon den Startpfad für u. a. den Browser wie folgt erweitert: "C:\Programme\Mozilla Firefox\firefox.exe" /prefetch:1 Hilft leider nur auch marginal.
Noch mal zurück zu diesem Trojaner. GData hat also auch in diesem Scan den shangxing nicht erkannt. Laut Symantec ist der auch eher ungefährlich. Auch via Hijackthis keine bedenklichen Einträge entdeckt. Ich werde jetzt den von Dir empfohlenen Onlinescan bei Symantec noch durchführen. Sollte ich auch mit diesem Mittel das Teilchen nicht packen können, werde ich den vorerst so belassen. Meinst Du ich kann damit aus (natürlich) sicherheitspolitischen Aspekten mit leben??? Habe nämlich wenig Lust, wieder das Theater mit Neuaufsetzen des Systems durchzumachen.
Erst im November war ich zu diesem Radikalen Schritt gezwungen. Auch bei diesem Problem hattest u. a. Du mir schon da geholfen. Echt tolle Sache, wenn man auf so engagierte Leute trifft, die uneingenützig ihr Fachwissen vermitteln. Vielen, vielen Dank nochmals!
Der Onlinescan mit F-Secure hat keinen Virenfund ergeben! Hmm.. wie kommt Symantec überhaupt zu der Einstufung "Low Risk"? Bezieht sich dieses Risk-Ranking auf die Gefahr einer Infezierung, oder auf die Risiken einer Infezierung? So, ich gehe jetzt wieder zum Nachtdienst, und werde morgen Nachmittag wieder hier reinschauen.
also: Du solltest jetzt unbedingt diese Regestry Keys LÖSCHEN!(Start-Ausführen-regedit-und dann zum jeweiligen Verzeichnis navigieren) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP
Also in dem TCP-View Bericht ist mir jetzt nichts unbedingt gefährliches aufgefallen. Aber du solltest in deiner Firewall vom AVK 2007 den Port 8181 schließen.(Mit einer Regel)
Kannst zur letzten Absicherung solltest du deinen Computer mit dem Online Scan von Symantec überprüfen.
Zu deiner Frage :
Quote
Meinst Du ich kann damit aus (natürlich) sicherheitspolitischen Aspekten mit leben???
Du solltest wissen dass nach einem Backdoor Trojaner volle 100% nur mit Neuaufsetzen gewährleistet sind. Vor allem weil wir diese Malware Dateien nicht gefunden haben ... Obwohl in der Beschreibung steht dass der "Damage Level" gering ist.
Ich weiß ja nicht wie die Einstellugnen deiner Suite sind aber kannst sie ja einfach auf Normale Leistung stellen, dann sollte dein System nicht so belastet werden. Ich habe auch einen Pc der mit AVK 2007 bestückt ist, habe aber keine Probleme damit...
So, jetzt habe ich da tatsächlich eine Datei gefunden, die ich lt. der Vireninfo von Symantec für die Ablage des Trojaners genutzt wird. Und zwar: %CommonProgramFiles%\Microsoft Shared\MSInfo\rejoice42.exe
Eine ActiveX-Steuerelement mit Namen "ieinfo5.ocx" (92 kb) im Ordner MSInfo lässt sich nicht entfernen. Nach dem Shreddern verschwindet das Symbol für eine Sekunde, und hat sich dann aber schon wieder reproduziert.
Die zweite Datei, auf die Symantec hinweist (%System%\SVKP.sys), konnte ich noch nicht finden. Wohl aber im Ordner System 32 die Datei SVKP. Gehört diese denn dann wieder wirklich zum System?
Zu der Registry: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP Diese Einträge konnte ich finden, und sind gelöscht worden.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice nicht auffindbar. Vielmehr existiert dem Pfad folgend kein Eintrag "Services\Windows".
Zusätzlich gibt es bei mir noch diesen Eintrag: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP Soll ich diesen löschen?
Noch ein TCP-View von heute. Würde mich freuen, wenn Du noch mal Dein geschultes Auge darüber scannen lassen könntest. Vielen Dank schon im Voraus.
Hast du meinen Rat jetzt befolgt und mit dem Online Scanner von Symantec deinen Computer untersucht? !!
Hast du auch die Systemwiederherstellung deaktiviert? Also jetzt mal Tacheles... Lade dir SpyBot Search and Destroy runter und scanne deinen Computer im Abgesicherten Modus. (F8 beim Starten) AVK updaten und nochmal drüber.
Eine neue Regel erstellen: Geh zu Firewall dann zu Regelsätze und rechts steht dann Assistent. Den anklicken und den Port 8181 blockieren. Alle Verbindungen bitte.
Wenn das alles jetzt nichts bringt setzte dein System neu auf, ist alles viel zu aufwendig.
Ich verfolge ganz aufmerksam, welche Schritte Du mir zur Schädlingsbekämpfung vorgibts, und habe alle Schritte ausgeführt - allerdings Onlinescan bisher nur mit F-Secure, nicht Symantec. Den mache ich dann jetzt!
Systemwiederherstellung ist deaktiviert. AVK ständig upgedadet und Scan erfolgt (inkl. aller Archive, u.s.w.) Wie gesagt den Symantec-Scan fahre ich dann jetzt noch.
Port 8181 finde ich nicht in der Auswahlliste der Ports, die zu blockieren sind!!!
Virenstatus: Sicher! Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Virenstatus: Infiziert! Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert. Virenstatus:
51958 Dateien geprüft 0 infizierte Datei(en) auf Ihren Laufwerken.
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien
Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch.
Die Prüfung wurde vorzeitig abgebrochen. Um die Prüfung erneut zu starten, klicken Sie hier.
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien
Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch.
Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt. Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.
Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.
Logged
.
Bookmark:
