Prozess wird automatisch gestartet

T

Tommi

0
Hallo erstmal, ich bin neu hier und platze gleich mit einem Problemchen rein.

Ich arbeite mit Win 98.
Antivirensoft: AVAST
Firewall: Zonealarm
Antispyware: Spybot, Hijack This, CWshredder

Seit kurzer Zeit wird auf meinem Rechner das Programm Htmledit.exe automatisch gestartet....wenigstens laut Taskmanager und Prozessexplorer.
Den Htmledit (Phase 5) habe ich in der Tat installiert, allerdings scheint es nicht dieser Htmledit zu sein, der da im Hinitergrund sein unwesen treibt, weil sich die Oberfläche nicht anzeigen lässt.
Der originale Htmledit lässt sich auch noch problemlos starten.

Ist jemandem bekannt, ob es sich um ein neues Virus handelt?
Im Internet habe ich noch nichts dazu gefunden.

Für Lösungen und Tipps bedanke ich mich im Voraus :).

LG Tommi
 
besorge dir nen process explorer und schau nach, wo sich diese datei befindet.
durchforste den autostart mit autoruns nach dieser datei

im eigentlichen sollte sich diese datei nur im programme\htmledit ordner oder so befinden

schicke dann diese datei an www.virustotal.com oder http://virusscan.jotti.org/de/ (besser an beide) und lasse diese datei prüfen, wenn du sie gefunden hast.

kannstu noch was über die datei aussagen? grösse? ort? erstellungsdatum (wurde noch nicht im viren implementiert)? icon? signatur? strings?

mir riecht das nach der sub7-methode: mit jeder gestarteten exe einmal starten

hand nt
 
Erstmal vielen Dank für Deine schnelle Antwort, 2Bios :).

Ich benutze den Process Explorer von Sysinternals, der mir diesen Task auch angezeigt hat.
Weder den Ort noch das Erstellungsdatum der Datei konnte ich feststellen.
Ein Scan mit AVAST hatte allerdings folgende Viren gefunden:

hgqhp.exe, Win32:Vidlo-H[Trojaner]
Yaemu.exe,Win32:Vidlo-H[Trojaner]

Beide Dateien nisten sich im Windows/System - Verzeichnis ein.
Ich vermute einen Zusammenhang, weil ich erst seit dieser Virusfunde das Problem mit der Htmledit.exe habe.

Sobald sich Htmledit.exe wieder automatisch startet, werde ich versuchen, mehr darüber herauszufinden.

Gruß Tommi
 
darf ich meinen augen trauen oder ist es die "späte" stunde welche mich dazu verleitet zu lesen, dass du win98 verwendest?
 
Und? Ich habe das auch noch hier. Das hat wenigstens den Vorteil, es ist so alt, das mein Mensch mehr "Viren" oder "Würmer" dafür schreibt. :-)

rushjo
 
Doch, doch....es liegt nicht an der späten Stunde....ich verwende noch das gute, alte 98 :D.
XP hatte ich mir seinerzeit auch gekauft und habe es bald wieder gelöscht, weil es zu viele Probleme mit meinem Softwarebestand gab.
Zwar kommt kein Bluescreen mehr, dafür die Meldung, dass ich einen Problembericht an Microsoft senden soll, zu häufig. Unter dem Strich steht das Gleiche....der Absturz der Software.
Ich muss dazusagen, dass ich hin und wieder mal ein Spielchen starte. Gerade da und paradoxer Weise dann auch noch beim Train Simulator aus dem Hause Microsoft, jagte ein Absturz den Anderen. Unter 98 läuft er tadellos und wie ich meine, sogar flüssiger. Bei Spieleklassikern habe ich dann noch das Problem, dass sie den nicht mehr vorhandenen DOS-Modus haben wollen und somit ihren Dienst verweigern.
Aber auch bei Grafikprogrammen gibt es Schwierigkeiten mit Abstürzen, die unter 98 nicht vorkommen. Im Anwendungsbereich gibt es natürlich Updates, die dann ihren Dienst unter XP verrichten. Allerdings muss man dafür auch gutes Geld auf den Tisch legen. Da wird man z.B. für das Update eines 3D-Programms mal eben 300 - 500 Euros los, damit es dann auch mit XP klappt. Das sehe ich nicht ein.
Irgendwann werde ich nicht mehr daran vorbeikommen, XP wieder zu installieren....das ist klar.

LG Tommi
 
Htmledit.exe hat sich wieder gemeldet X(.

Gestartet wurde der Prozess durch die Datei dflnl.exe.
Mitgestartet wurde das Prog. ipconfig.exe.
Bei jedem neuen Aufruf benennt sich die Datei dflnl.exe um.

In:
gxccsv.exe
hgqphp.exe
yaemu.exe

Alle Dateien sind 28 KB gross und geben als Datum den 15.05.98 vor.

Nach dem Aufruf tarnen sich die Dateien als Htmledit.exe.
Auch die Pfadangabe von Htmledit wird übernommen, nur die Dll's stimmen natürlich nicht.

Laut Hijack this wird in der Registry wird ein Autostarteintrag gebildet, der sich je nach aktuellem Programmnamen (dflnln.exe,yaemu.exe....usw...) ändert.

Weiterhin wird unter "017 - HKLM\System\CSS\Services\VxD\MSTCP:NameServer= " eine Umleitung zu einem anderen Server eingetragen, die sich laufend ändert.

Mit Hijack This und dem Löschen der Dateien, bin ich den Backdoor jetzt losgeworden....will ich hoffen :rolleyes:.

LG Tommi
 
Du kannst wahrscheinlich soviel fixen wie Du willst - es laufen ja mehrere Prozesse die sich dann gegenseitig überwachen und auch wiedereintragen. Was Du versuchen kannst, ist von einem sauberen System zu booten und alle Sachen zu entfernen.
Dafür musst Du allerdings auch alles kennen. Und da sehe ich leider das Problem:
laut Sophos:
http://www.sophos.com/virusinfo/analyses/trojvidloh.html
Side effects

* Drops more malware
* Downloads code from the internet
Zum Vergrößern anklicken....

könnte es allerdings sein, dass es nur die "Spitze des Eisberges" ist.
Wenn Deine PFW nicht angeschlagen hat, muss es nichts heißen:
Troj/Vidlo-H is a downloader Trojan which attempts to silently download an executable file from a remote location via port 80 to the temporary folder and then execute this file.

Troj/Vidlo-H runs continuously in the background waiting for Microsoft Internet Explorer to become active and then injects its downloader code into the process space of Internet Explorer in an attempt to gain trusted application status and thus bypass firewall protection.
Zum Vergrößern anklicken....
http://www.sophos.com/support/disinfection/trojan.html
da wird auch eine Anleitung zum Entfernen angeboten.

hier habe ich auch mehr infos dazu:
http://www.antiviruslab.com/description.php?virus=213724&lang=de
dass "Deine Version" allerdings schon wesentlich andere Sachen macht, lässt vermuten:
a) es ist eine andere Version (irgendwie logisch ;) )
b) duch die "Backdoor" wurden andere "schönere" Sachen nachgeladen.
Auch beim "original" ist die Backdoor schon enthalten.
HJ & Co "sehen" leider nicht alles (vor kurzem hat ATH0 einen PoC gepostet, wo dann sein Programm weder im Taskmanager noch im HJ/Securitymanager aufgelistet war und auch beim Onlinescan von Jotti.org kein einziger Scanner angeschlagen hat).

Zu Deiner Situation:
http://morph3us.org/security/windoze/malware-removal.html
oder der "Klassiker"
http://oschad.de/wiki/index.php/Kompromittierung
http://oschad.de/wiki/index.php/Virenscanner

Wenn Du wieder die Kontrolle über Dein System übernehemen willst, bleibt Dir leider nichts anderes übrig als Neuaufsetzen.
Wenn Du mehr übers Absichern Deines (neuaufgesetzten) OS wissen willst:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
 
Erstmal vielen Dank für Deine Bemühungen zu meinem Problem, CDW :).

Bis jetzt verhält sich mein System noch 'normal', soweit ich es beurteilen kann. Ob mir ein Prog im Hintergrund ein paar Bytes klaut oder ein Keylogger sein Unwesen treibt, würde ich sicher nicht bemerken.
Eine Virusmail hatte ich kürzlich erhalten, sie aber nicht geöffnet.
Woher ich die Infektion habe, kann ich nicht mehr nachvollziehen.
Was ich unter Deinen Links gelesen habe, hat mich nochmal bestätigt.
Eine Neuinstallation ist der einzige Weg, das Problem sicher zu beseitigen und ich werde meine Backup-CD's schon mal auspacken :rolleyes:.

LG Tommi
 
ein freund von mir hatte letztens ein ähnliches problem: in der systemtray waren haufenweise msgbox-critical-zeichen mit dem tooltip You're infected!. Es wurde gleich noch des Taskmanager deaktiviert und das Teil hat sich mit jedem Start des Internet Explorers neugestartet: Nutze den Firefox! Kann sein dass sich der Downloader ua als IE extensions versteckt hat

mfg & hand

NT
 
An Firefox habe ich schon gedacht und werde ihn mal ausprobieren :).

Was sich Dein Freund hier eingefangen hatte, hört sich sehr nach diesem Kandidaten an: Trojaner.
Den hatte ich mir auch schon eingefangen. Er meldet, dass der Rechner verseucht ist und bringt gleich eine 'vermeintliche' AV-Software mit, die mit einem Klick auf einen Ballon in der Taskleiste gestartet wird. Mit diesem Klick nimmt die Katastrophe dann ihren Lauf.

LG Tommi
 
@cdw: ich hab bei meinem freund mit autoruns so ziemlich alles deaktiviert, was zu deaktivieren ging und ansatzweise verdächtig aussah. danach hab ich mich solange neu angemeldet und das prozedere wiederholt, bis wirklich nur noch das benötigte lief
 
@cdw: ich hab bei meinem freund mit autoruns so ziemlich alles deaktiviert, was zu deaktivieren ging und ansatzweise verdächtig aussah. danach hab ich mich solange neu angemeldet und das prozedere wiederholt, bis wirklich nur noch das benötigte lief
Zum Vergrößern anklicken....
in Autoruns steht aber nicht alles ;). Ich kenne die einzelnen Registryeinträge nicht, aber es gibt z.B auch einen Eintrag, der dafür zuständig ist, dass beim starten einer Exe eine DLL automatisch in den Prozessspeicher geladen wird. Man könnte als Malware sich nach dem Start irgendwo "einklinken" (anderen Prozess infiieren, oder sonstige Methoden verwenden um für Taskmanager nicht sichtbar zu sein) und den Autostarteintrag löschen. Wenn dann der Terminierungssignal kommt bzw. beim beenden des Programms kann man sich dann wieder "eintragen". Wäre auch eine Option. Es gibt AFAIK auch diese "speziellen" Dienste, die man unter "Hardware Manager -> "ausgeblendete Geräte Anzeigen" sehen kann - die sieht man auch nicht unter gewönlicher Dienstekonfiguration und natürlich nicht in den Autostarts ;)
 
OT:

Irgendwie kribbelts bei mir in den Fingern, CloakWin um eine (mehrere!?) schwer(e) entdeckbare AutostartFunktion zu erweitern :D
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben