[HaBo]

Tommi · 21.10.05, 16:55

Hallo erstmal, ich bin neu hier und platze gleich mit einem Problemchen rein.

Ich arbeite mit Win 98.
Antivirensoft: AVAST
Firewall: Zonealarm
Antispyware: Spybot, Hijack This, CWshredder

Seit kurzer Zeit wird auf meinem Rechner das Programm Htmledit.exe automatisch gestartet....wenigstens laut Taskmanager und Prozessexplorer.
Den Htmledit (Phase 5) habe ich in der Tat installiert, allerdings scheint es nicht dieser Htmledit zu sein, der da im Hinitergrund sein unwesen treibt, weil sich die Oberfläche nicht anzeigen lässt.
Der originale Htmledit lässt sich auch noch problemlos starten.

Ist jemandem bekannt, ob es sich um ein neues Virus handelt?
Im Internet habe ich noch nichts dazu gefunden.

Für Lösungen und Tipps bedanke ich mich im Voraus :).

LG Tommi

2Bios · 21.10.05, 17:09

besorge dir nen process explorer und schau nach, wo sich diese datei befindet.
durchforste den autostart mit autoruns nach dieser datei

im eigentlichen sollte sich diese datei nur im programme\htmledit ordner oder so befinden

schicke dann diese datei an www.virustotal.com oder http://virusscan.jotti.org/de/ (besser an beide) und lasse diese datei prüfen, wenn du sie gefunden hast.

kannstu noch was über die datei aussagen? grösse? ort? erstellungsdatum (wurde noch nicht im viren implementiert)? icon? signatur? strings?

mir riecht das nach der sub7-methode: mit jeder gestarteten exe einmal starten

hand nt

Anzeige

- Anzeige -

Tommi · 21.10.05, 17:50

Erstmal vielen Dank für Deine schnelle Antwort, 2Bios

.

Ich benutze den Process Explorer von Sysinternals, der mir diesen Task auch angezeigt hat.
Weder den Ort noch das Erstellungsdatum der Datei konnte ich feststellen.
Ein Scan mit AVAST hatte allerdings folgende Viren gefunden:

hgqhp.exe, Win32:Vidlo-H[Trojaner]
Yaemu.exe,Win32:Vidlo-H[Trojaner]

Beide Dateien nisten sich im Windows/System - Verzeichnis ein.
Ich vermute einen Zusammenhang, weil ich erst seit dieser Virusfunde das Problem mit der Htmledit.exe habe.

Sobald sich Htmledit.exe wieder automatisch startet, werde ich versuchen, mehr darüber herauszufinden.

Gruß Tommi

2Bios · 22.10.05, 00:31

darf ich meinen augen trauen oder ist es die "späte" stunde welche mich dazu verleitet zu lesen, dass du win98 verwendest?

22.10.05, 09:39

Und? Ich habe das auch noch hier. Das hat wenigstens den Vorteil, es ist so alt, das mein Mensch mehr "Viren" oder "Würmer" dafür schreibt. :-)

rushjo

Tommi · 22.10.05, 11:24

Doch, doch....es liegt nicht an der späten Stunde....ich verwende noch das gute, alte 98

.
XP hatte ich mir seinerzeit auch gekauft und habe es bald wieder gelöscht, weil es zu viele Probleme mit meinem Softwarebestand gab.
Zwar kommt kein Bluescreen mehr, dafür die Meldung, dass ich einen Problembericht an Microsoft senden soll, zu häufig. Unter dem Strich steht das Gleiche....der Absturz der Software.
Ich muss dazusagen, dass ich hin und wieder mal ein Spielchen starte. Gerade da und paradoxer Weise dann auch noch beim Train Simulator aus dem Hause Microsoft, jagte ein Absturz den Anderen. Unter 98 läuft er tadellos und wie ich meine, sogar flüssiger. Bei Spieleklassikern habe ich dann noch das Problem, dass sie den nicht mehr vorhandenen DOS-Modus haben wollen und somit ihren Dienst verweigern.
Aber auch bei Grafikprogrammen gibt es Schwierigkeiten mit Abstürzen, die unter 98 nicht vorkommen. Im Anwendungsbereich gibt es natürlich Updates, die dann ihren Dienst unter XP verrichten. Allerdings muss man dafür auch gutes Geld auf den Tisch legen. Da wird man z.B. für das Update eines 3D-Programms mal eben 300 - 500 Euros los, damit es dann auch mit XP klappt. Das sehe ich nicht ein.
Irgendwann werde ich nicht mehr daran vorbeikommen, XP wieder zu installieren....das ist klar.

LG Tommi

2Bios · 22.10.05, 11:41

@rushjo: ich finds amüsant dass sich trotz deiner aussage ein virus sich auf das system eingenistet hat

Tommi · 24.10.05, 00:56

Htmledit.exe hat sich wieder gemeldet

.

Gestartet wurde der Prozess durch die Datei dflnl.exe.
Mitgestartet wurde das Prog. ipconfig.exe.
Bei jedem neuen Aufruf benennt sich die Datei dflnl.exe um.

In:
gxccsv.exe
hgqphp.exe
yaemu.exe

Alle Dateien sind 28 KB gross und geben als Datum den 15.05.98 vor.

Nach dem Aufruf tarnen sich die Dateien als Htmledit.exe.
Auch die Pfadangabe von Htmledit wird übernommen, nur die Dll's stimmen natürlich nicht.

Laut Hijack this wird in der Registry wird ein Autostarteintrag gebildet, der sich je nach aktuellem Programmnamen (dflnln.exe,yaemu.exe....usw...) ändert.

Weiterhin wird unter "017 - HKLM\System\CSS\Services\VxD\MSTCP:NameServer= " eine Umleitung zu einem anderen Server eingetragen, die sich laufend ändert.

Mit Hijack This und dem Löschen der Dateien, bin ich den Backdoor jetzt losgeworden....will ich hoffen

.

LG Tommi

**CDW** · 24.10.05, 01:28

Du kannst wahrscheinlich soviel fixen wie Du willst - es laufen ja mehrere Prozesse die sich dann gegenseitig überwachen und auch wiedereintragen. Was Du versuchen kannst, ist von einem sauberen System zu booten und alle Sachen zu entfernen.
Dafür musst Du allerdings auch alles kennen. Und da sehe ich leider das Problem:
laut Sophos:
http://www.sophos.com/virusinfo/anal...rojvidloh.html

Zitat:

Side effects

* Drops more malware
* Downloads code from the internet

könnte es allerdings sein, dass es nur die "Spitze des Eisberges" ist.
Wenn Deine PFW nicht angeschlagen hat, muss es nichts heißen:

Zitat:

Troj/Vidlo-H is a downloader Trojan which attempts to silently download an executable file from a remote location via port 80 to the temporary folder and then execute this file.

Troj/Vidlo-H runs continuously in the background waiting for Microsoft Internet Explorer to become active and then injects its downloader code into the process space of Internet Explorer in an attempt to gain trusted application status and thus bypass firewall protection.

http://www.sophos.com/support/disinfection/trojan.html
da wird auch eine Anleitung zum Entfernen angeboten.

hier habe ich auch mehr infos dazu:
http://www.antiviruslab.com/descript...213724&lang=de
dass "Deine Version" allerdings schon wesentlich andere Sachen macht, lässt vermuten:
a) es ist eine andere Version (irgendwie logisch

)
b) duch die "Backdoor" wurden andere "schönere" Sachen nachgeladen.
Auch beim "original" ist die Backdoor schon enthalten.
HJ & Co "sehen" leider nicht alles (vor kurzem hat ATH0 einen PoC gepostet, wo dann sein Programm weder im Taskmanager noch im HJ/Securitymanager aufgelistet war und auch beim Onlinescan von Jotti.org kein einziger Scanner angeschlagen hat).

Zu Deiner Situation:
http://morph3us.org/security/windoze...e-removal.html
oder der "Klassiker"
http://oschad.de/wiki/index.php/Kompromittierung
http://oschad.de/wiki/index.php/Virenscanner

Wenn Du wieder die Kontrolle über Dein System übernehemen willst, bleibt Dir leider nichts anderes übrig als Neuaufsetzen.
Wenn Du mehr übers Absichern Deines (neuaufgesetzten) OS wissen willst:
http://www.mathematik.uni-marburg.de...ompromise.html

Tommi · 24.10.05, 15:01

Erstmal vielen Dank für Deine Bemühungen zu meinem Problem, CDW

.

Bis jetzt verhält sich mein System noch 'normal', soweit ich es beurteilen kann. Ob mir ein Prog im Hintergrund ein paar Bytes klaut oder ein Keylogger sein Unwesen treibt, würde ich sicher nicht bemerken.
Eine Virusmail hatte ich kürzlich erhalten, sie aber nicht geöffnet.
Woher ich die Infektion habe, kann ich nicht mehr nachvollziehen.
Was ich unter Deinen Links gelesen habe, hat mich nochmal bestätigt.
Eine Neuinstallation ist der einzige Weg, das Problem sicher zu beseitigen und ich werde meine Backup-CD's schon mal auspacken

.

LG Tommi

2Bios · 24.10.05, 15:57

ein freund von mir hatte letztens ein ähnliches problem: in der systemtray waren haufenweise msgbox-critical-zeichen mit dem tooltip You're infected!. Es wurde gleich noch des Taskmanager deaktiviert und das Teil hat sich mit jedem Start des Internet Explorers neugestartet: Nutze den Firefox! Kann sein dass sich der Downloader ua als IE extensions versteckt hat

mfg & hand

NT

Tommi · 27.10.05, 12:02

An Firefox habe ich schon gedacht und werde ihn mal ausprobieren

.

Was sich Dein Freund hier eingefangen hatte, hört sich sehr nach diesem Kandidaten an: Trojaner.
Den hatte ich mir auch schon eingefangen. Er meldet, dass der Rechner verseucht ist und bringt gleich eine 'vermeintliche' AV-Software mit, die mit einem Klick auf einen Ballon in der Taskleiste gestartet wird. Mit diesem Klick nimmt die Katastrophe dann ihren Lauf.

LG Tommi

2Bios · 27.10.05, 12:11

@cdw: ich hab bei meinem freund mit autoruns so ziemlich alles deaktiviert, was zu deaktivieren ging und ansatzweise verdächtig aussah. danach hab ich mich solange neu angemeldet und das prozedere wiederholt, bis wirklich nur noch das benötigte lief

**CDW** · 27.10.05, 19:52

Zitat:

@cdw: ich hab bei meinem freund mit autoruns so ziemlich alles deaktiviert, was zu deaktivieren ging und ansatzweise verdächtig aussah. danach hab ich mich solange neu angemeldet und das prozedere wiederholt, bis wirklich nur noch das benötigte lief

in Autoruns steht aber nicht alles

. Ich kenne die einzelnen Registryeinträge nicht, aber es gibt z.B auch einen Eintrag, der dafür zuständig ist, dass beim starten einer Exe eine DLL automatisch in den Prozessspeicher geladen wird. Man könnte als Malware sich nach dem Start irgendwo "einklinken" (anderen Prozess infiieren, oder sonstige Methoden verwenden um für Taskmanager nicht sichtbar zu sein) und den Autostarteintrag löschen. Wenn dann der Terminierungssignal kommt bzw. beim beenden des Programms kann man sich dann wieder "eintragen". Wäre auch eine Option. Es gibt AFAIK auch diese "speziellen" Dienste, die man unter "Hardware Manager -> "ausgeblendete Geräte Anzeigen" sehen kann - die sieht man auch nicht unter gewönlicher Dienstekonfiguration und natürlich nicht in den Autostarts

2Bios · 27.10.05, 20:18

ich erinnere mich vage an eine autostartmethode von sub7 wenn du das meinst

Anzeige

- Anzeige -

21.10.05, 16:55	#1 (permalink)
Tommi Registriert seit: 21.10.05 Likes: 0	Prozess wird automatisch gestartet Anzeige Hallo erstmal, ich bin neu hier und platze gleich mit einem Problemchen rein. Ich arbeite mit Win 98. Antivirensoft: AVAST Firewall: Zonealarm Antispyware: Spybot, Hijack This, CWshredder Seit kurzer Zeit wird auf meinem Rechner das Programm Htmledit.exe automatisch gestartet....wenigstens laut Taskmanager und Prozessexplorer. Den Htmledit (Phase 5) habe ich in der Tat installiert, allerdings scheint es nicht dieser Htmledit zu sein, der da im Hinitergrund sein unwesen treibt, weil sich die Oberfläche nicht anzeigen lässt. Der originale Htmledit lässt sich auch noch problemlos starten. Ist jemandem bekannt, ob es sich um ein neues Virus handelt? Im Internet habe ich noch nichts dazu gefunden. Für Lösungen und Tipps bedanke ich mich im Voraus :). LG Tommi

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
media player wird automatisch gestartet?!	JayNuss	Die Problemzone	2	24.04.09 11:39
prozess automatisch beenden	Antibus	Windows	3	21.06.07 18:35
Wieso wird der PC neu gestartet wenn man svchost beendet?	olmz	Virenschutz · Tools & Aggressive Software	12	20.04.05 18:53
Windows wird gestartet... Info erscheint, startet jedoch nicht	norbi27	Die Problemzone	5	27.12.03 08:56
START/Win98 wird gestartet verändern?	MEssIaZ	Applikationen	1	12.11.02 20:01

21.10.05, 17:09	#2 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	besorge dir nen process explorer und schau nach, wo sich diese datei befindet. durchforste den autostart mit autoruns nach dieser datei im eigentlichen sollte sich diese datei nur im programme\htmledit ordner oder so befinden schicke dann diese datei an www.virustotal.com oder http://virusscan.jotti.org/de/ (besser an beide) und lasse diese datei prüfen, wenn du sie gefunden hast. kannstu noch was über die datei aussagen? grösse? ort? erstellungsdatum (wurde noch nicht im viren implementiert)? icon? signatur? strings? mir riecht das nach der sub7-methode: mit jeder gestarteten exe einmal starten hand nt

21.10.05, 17:50	#3 (permalink)
Tommi Themenstarter Registriert seit: 21.10.05 Likes: 0	Erstmal vielen Dank für Deine schnelle Antwort, 2Bios . Ich benutze den Process Explorer von Sysinternals, der mir diesen Task auch angezeigt hat. Weder den Ort noch das Erstellungsdatum der Datei konnte ich feststellen. Ein Scan mit AVAST hatte allerdings folgende Viren gefunden: hgqhp.exe, Win32:Vidlo-H[Trojaner] Yaemu.exe,Win32:Vidlo-H[Trojaner] Beide Dateien nisten sich im Windows/System - Verzeichnis ein. Ich vermute einen Zusammenhang, weil ich erst seit dieser Virusfunde das Problem mit der Htmledit.exe habe. Sobald sich Htmledit.exe wieder automatisch startet, werde ich versuchen, mehr darüber herauszufinden. Gruß Tommi

22.10.05, 00:31	#4 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	darf ich meinen augen trauen oder ist es die "späte" stunde welche mich dazu verleitet zu lesen, dass du win98 verwendest?

22.10.05, 09:39	#5 (permalink)
Rushjo Guest Likes:	Und? Ich habe das auch noch hier. Das hat wenigstens den Vorteil, es ist so alt, das mein Mensch mehr "Viren" oder "Würmer" dafür schreibt. :-) rushjo

22.10.05, 11:24	#6 (permalink)
Tommi Themenstarter Registriert seit: 21.10.05 Likes: 0	Doch, doch....es liegt nicht an der späten Stunde....ich verwende noch das gute, alte 98 . XP hatte ich mir seinerzeit auch gekauft und habe es bald wieder gelöscht, weil es zu viele Probleme mit meinem Softwarebestand gab. Zwar kommt kein Bluescreen mehr, dafür die Meldung, dass ich einen Problembericht an Microsoft senden soll, zu häufig. Unter dem Strich steht das Gleiche....der Absturz der Software. Ich muss dazusagen, dass ich hin und wieder mal ein Spielchen starte. Gerade da und paradoxer Weise dann auch noch beim Train Simulator aus dem Hause Microsoft, jagte ein Absturz den Anderen. Unter 98 läuft er tadellos und wie ich meine, sogar flüssiger. Bei Spieleklassikern habe ich dann noch das Problem, dass sie den nicht mehr vorhandenen DOS-Modus haben wollen und somit ihren Dienst verweigern. Aber auch bei Grafikprogrammen gibt es Schwierigkeiten mit Abstürzen, die unter 98 nicht vorkommen. Im Anwendungsbereich gibt es natürlich Updates, die dann ihren Dienst unter XP verrichten. Allerdings muss man dafür auch gutes Geld auf den Tisch legen. Da wird man z.B. für das Update eines 3D-Programms mal eben 300 - 500 Euros los, damit es dann auch mit XP klappt. Das sehe ich nicht ein. Irgendwann werde ich nicht mehr daran vorbeikommen, XP wieder zu installieren....das ist klar. LG Tommi

22.10.05, 11:41	#7 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	@rushjo: ich finds amüsant dass sich trotz deiner aussage ein virus sich auf das system eingenistet hat

24.10.05, 00:56	#8 (permalink)
Tommi Themenstarter Registriert seit: 21.10.05 Likes: 0	Htmledit.exe hat sich wieder gemeldet . Gestartet wurde der Prozess durch die Datei dflnl.exe. Mitgestartet wurde das Prog. ipconfig.exe. Bei jedem neuen Aufruf benennt sich die Datei dflnl.exe um. In: gxccsv.exe hgqphp.exe yaemu.exe Alle Dateien sind 28 KB gross und geben als Datum den 15.05.98 vor. Nach dem Aufruf tarnen sich die Dateien als Htmledit.exe. Auch die Pfadangabe von Htmledit wird übernommen, nur die Dll's stimmen natürlich nicht. Laut Hijack this wird in der Registry wird ein Autostarteintrag gebildet, der sich je nach aktuellem Programmnamen (dflnln.exe,yaemu.exe....usw...) ändert. Weiterhin wird unter "017 - HKLM\System\CSS\Services\VxD\MSTCP:NameServer= " eine Umleitung zu einem anderen Server eingetragen, die sich laufend ändert. Mit Hijack This und dem Löschen der Dateien, bin ich den Backdoor jetzt losgeworden....will ich hoffen . LG Tommi

24.10.05, 15:01	#10 (permalink)
Tommi Themenstarter Registriert seit: 21.10.05 Likes: 0	Erstmal vielen Dank für Deine Bemühungen zu meinem Problem, CDW . Bis jetzt verhält sich mein System noch 'normal', soweit ich es beurteilen kann. Ob mir ein Prog im Hintergrund ein paar Bytes klaut oder ein Keylogger sein Unwesen treibt, würde ich sicher nicht bemerken. Eine Virusmail hatte ich kürzlich erhalten, sie aber nicht geöffnet. Woher ich die Infektion habe, kann ich nicht mehr nachvollziehen. Was ich unter Deinen Links gelesen habe, hat mich nochmal bestätigt. Eine Neuinstallation ist der einzige Weg, das Problem sicher zu beseitigen und ich werde meine Backup-CD's schon mal auspacken . LG Tommi

24.10.05, 15:57	#11 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	ein freund von mir hatte letztens ein ähnliches problem: in der systemtray waren haufenweise msgbox-critical-zeichen mit dem tooltip You're infected!. Es wurde gleich noch des Taskmanager deaktiviert und das Teil hat sich mit jedem Start des Internet Explorers neugestartet: Nutze den Firefox! Kann sein dass sich der Downloader ua als IE extensions versteckt hat mfg & hand NT

27.10.05, 12:02	#12 (permalink)
Tommi Themenstarter Registriert seit: 21.10.05 Likes: 0	An Firefox habe ich schon gedacht und werde ihn mal ausprobieren . Was sich Dein Freund hier eingefangen hatte, hört sich sehr nach diesem Kandidaten an: Trojaner. Den hatte ich mir auch schon eingefangen. Er meldet, dass der Rechner verseucht ist und bringt gleich eine 'vermeintliche' AV-Software mit, die mit einem Klick auf einen Ballon in der Taskleiste gestartet wird. Mit diesem Klick nimmt die Katastrophe dann ihren Lauf. LG Tommi

27.10.05, 12:11	#13 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	@cdw: ich hab bei meinem freund mit autoruns so ziemlich alles deaktiviert, was zu deaktivieren ging und ansatzweise verdächtig aussah. danach hab ich mich solange neu angemeldet und das prozedere wiederholt, bis wirklich nur noch das benötigte lief

27.10.05, 20:18	#15 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	ich erinnere mich vage an eine autostartmethode von sub7 wenn du das meinst

[HaBo]

Prozess wird automatisch gestartet