Trojan.Win32.SuspectCRC - Trojan.DownLoader1.17452 - SHeur3.ASUW - saeji.exe

[XPCIII]

Moin,

ich habe schon eine Weile geahnt das ich auf meinem neuen System schon gleich wieder 'n Virus habe und mit hat es dann ein Online-Scanner, nach meiner eigenen Recherche auf meiner Festplatte, auch bestätigt. Bemerkbar hat sich das ganze gemacht, da der Rechner immer langsamer wurde. Die Datei habe ich außerdem im Autostart gefunden. Mein Betriebsystem ist Windows 7

Die Datei heißt seji.exe und befindet sich bei mir in C:\Benuzter\*USER*\seji.exe

Komischerweise war das hier der einzige Online-Scanner der was ausgespuckt hat:
saeji.exe - Jottis Malwarescanner

Ist das ein False positiv Ergebnis?
Oder wirklich ein Virus?
Wenn ja, wie bekomme ich das scheiß Teil wieder runter?

So wie das Ergebnis von jotti aussieht, scheint das ja ein Trojaner zu sein, liege ich damit richtig?

Im Task-Manager laufen keine Ungewöhnlichen Prozesse und doppelte.

Ich habe meinen eigenen Virenscanner (Avira) schon drüber laufen lassen, der hat allerdings nichts gefunden.

Außerdem habe ich im selben Verzeichnis noch zwei weitere Dateien mit der selben Dateigröße von 71KB. Diese Dateien heißen: "tbqeus.exe" & "nphet.exe". Diese lassen sich leider aus welchen Gründen auch immer, nicht vom Online-Scanner scannen. Der Fehler ist: Er zeigt immer saeji.exe an und sagt mir diese hab ich schon einmal gescannt.

Falls es noch interessant ist, hier ist eine Ausgabe von Hijackthis:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 10:24:53, on 18.08.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
I:\eMule0.50a\eMule0.50a\emule.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\explorer.exe
E:\Webseiten\Webserver Neu\xampp\xampp-control.exe
I:\Adobe Dreamweaver CS5\Adobe Dreamweaver CS5\Dreamweaver.exe
C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
c:\program files\avira\antivir desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Windows\explorer.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Winamp\winamp.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\DllHost.exe
J:\Downloads\VirtualBox-3.2.6-63112-Win.exe
C:\Windows\system32\SearchFilterHost.exe
G:\antitrojanerpack2\HijackThis\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [] C:\Users\*USER*\saeji.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin
O4 - HKCU\..\RunOnce: [VMware Run Installer After Reboot] "C:\Users\*USER*\AppData\Local\VMware\vmware-download-1B40\cdstmp_6976_1\VMware-workstation-7.1.1-282343.exe" /resume
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International
O13 - Gopher Prefix: 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Microsoft SharePoint Workspace Audit Service - Unknown owner - C:\Program Files\Microsoft Office\Office14\GROOVE.EXE" /auditservice (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Programme\VNC4 Enterprise\WinVNC4.exe" -service (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)

Gruß,
XPCIII

[D3MEN]

dann fix doch mal den eintrag

O4 - HKCU\..\Run: [] C:\Users\*USER*\saeji.exe

und lass mal malewarebyte drüberlaufen

[XPCIII]

Schon gefixt, hab ich vergessen zu erwähnen.

MalewareByte lade ich mir gerade runter, brauch nur eben 'n Key dafür... Strange... Key bei Youtube gefunden, aber gut, ähm.. Suchlauf läuft...

Und was genau ist das jetzt für 'n Virus?
Bzw. hat jemand 'ne Antwort auf meine Fragen?

Ist das ein False positiv Ergebnis?
Oder wirklich ein Virus?
Wenn ja, wie bekomme ich das scheiß Teil wieder runter?

So wie das Ergebnis von jotti aussieht, scheint das ja ein Trojaner zu sein, liege ich damit richtig?

Und was ist mit den anderen beiden Dateien: "tbqeus.exe" & "nphet.exe"?


Mir geht es für den Anfang nämlich erstmal um Informationen und Google spuckt auch nicht sonderlich viel hilfreiches aus.

[D3MEN]

kann ja sein das du irgendeione gecrackte software drauf hast die infekt ist und vllt war er ja auch noch gecryptet

[XPCIII]

Ja, das wird es wahrscheinlich sein, aber deswegen suche ich ja hier nach möglichst Jemandem der die Dateien oder genau das Problem kennt.

MalwareBytes' war nicht sonderlich hilfreich, auch nichts gefunden.
Die Dateien habe ich noch nicht gelöscht, also hätte er ja eigentlich was finden müssen.

Ich wäre echt froh wenn irgendwer den Virus, das Problem oder das Ursprungsprogramm (wo der Virus am häufigsten evtl. drin ist) kennt, bevor ich anfangen muss mein komplettes System auseinander zu nehmen, weil das ist wieder 'ne Menge Arbeit und vorallem 'ne minimal Überwachung von 14 Tagen...

So wie das ganze ja aussieht, scheint das Ding ja relativ neu zu sein, da das ja irgendwie kaum Virenscanner erkennen oder es ist ein False positiv Ergebnis...

[Xcruel]

Wird ja wohl ein Trojaner gewesen sein, der gecryptet war. Ich würde nur nicht formatieren, wenn du dir wirklich 100% sicher bist, dass er weg ist, sonst auf jeden Fall. Außerdem solltest du alle deine Passwörter ändern, man weiß ja nie, was der Typ schon alles über dich geloggt hat.

[BlackCobra]

Lad dir mal cain runter, bennen die Exe um und wechsel mal den Benutzer sodass der Autostart ausgeführt wird und cain dabei läuft. Ansonsten probier mal netstat aus

[XPCIII]

Na ja, ich frag im groben eigentlich nur nach, da ich mich schon seit 2 Jahren nicht mehr so richtig mir Viren und Co. beschäftigte und ich ja nun nicht weiß, was es da alles für Neuerungen an Viren gibt, aber solange Viren nicht ohne Prozess laufen können oder sich in andere Prozesse reinsetzen können, ist er aus und im Autostart und in den Diensten steht auch nichts mehr von ihm. Also falls es möglich ist in Prozessen (Kontrolliert durch Process Explorer) die nicht angezeigt werden und Autostart-Einträge, sowie Dienste, die nicht angezeigt werden Viren zu verstecken, dann könnte er noch drauf sein, wenn nicht, hab ich alles andere ausgeschaltet oder gelöscht.

@BlackCobra: Netstat hab ich schon ausprobiert, wird 'ne Weile dauern, alle Ausgänge zu zuordnen.
Das mit Cain & Able versteh ich aber nicht so recht...

[BlackCobra]

Dann wird gesnifft wohin das Teil connected und man kann den Server Abusen.

[XPCIII]

Okay, ist da aber Netstat bzw. was ich lieber vorziehe TCPView nicht besser?

Ich mein bei Cain & Able steht nur das ich gerade diese Internetadresse aufgerufen habe, aber nicht das im Hintergrund noch Emule läuft, usw.. Das wird mir bei TCPView wenigstens alles angezeigt und das in Echtzeit.

Na ja, Wayne, scheint weg zu sein. Ich lösche die Dateien einfach mal, falls sie wieder kommen sollten, melde ich mich wieder.

Vielen Dank an alle ; )

Gruß,
XPCIII