Forum
Tipps
News
Menu-Icon

Win XP: Virus: TR/Dropper.Gen in \Windows\system32\ms32socks.exe

Guten morgen, ich wollte fragen ob man diesen Virus, ohne den Rechner platt zu machen, entfernen kann. Hab hijack durchlaufen lassen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:54:50, on 17.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ms32socks.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\dokumente und einstellungen\pcs\lokale einstellungen\anwendungsdaten\asisosk.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ms32socks] C:\WINDOWS\system32\ms32socks.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [asisosk] "c:\dokumente und einstellungen\pcs\lokale einstellungen\anwendungsdaten\asisosk.exe" asisosk
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe

--
End of file - 5050 bytes
 



Antworten zu Win XP: Virus: TR/Dropper.Gen in \Windows\system32\ms32socks.exe:

Du meinst "ms32socks.exe"?
Obwohl ich derjenige bin, der am flinkesten eine Neuinstallation empfiehlt, würde ich bei dieser Datei erst einmal in hijackthis fixen.
Erst, wenn das dann erneut in dieser oder ähnlicher Form  erscheint, sollte man über weitere Maßnahmen nachdenken.
Diese "ms32socks.exe" wird i.a. von der Heuristik erkannt - sie entsteht unter anderen beim Gebrauch verschiedener Patches oder Generatoren. Hat nur das Datenmuster eines  Droppers.
Versuche es erst einmal mit fixen und melde Dich dann wieder, ok?

Jürgen

Im augenblick lass ich gerade noch  Malwarebytes Anti-Malwar durchlaufen. werd dann noch mal hijack machen. u. meld mich dann wieder. Danke für deine schnelle antwort.
 

so nach Anti-Malware sieht das ergebniss so aus  :-[

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1857
Windows 5.1.2600 Service Pack 3

17.03.2009 08:52:25
mbam-log-2009-03-17 (08-52-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 98987
Laufzeit: 17 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\Bifrost (Backdoor.Bifrose) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\Bifrost\system32.dat (Backdoor.Bifrose) -> No action taken.
 

Ich würde da nun mal "Bifrost" versuchen, zu entfernen:
http://www.google.de/search?hl=de&q=Bifrost&btnG=Google-Suche&meta=cr%3DcountryDE
Es kann - aber es muß kein Trojaner sein. Sonst hätte Dein Tool wesentlich energischer reagiert.
Denn diese "Bifrost" entsteht auch gern durch verschiedene Generatoren.
Versuche es erst einmal mit fixen per hijackthis.
Das einfacher Löschen von "Bifrost" ist hingegen nicht zu empfehlen.
Ich empfehle Dir für die Zukunft (kann ich mir eben nicht verkneifen) den für den Privatmann meiner Meinung nach sichersten Schutz gegen Viren:
http://www.computerhilfen.de/jueki/Image-Erstellung.pdf

Jürgen

Ich hoffer der dropper hat sich jetzt erledigt, zumindest es wird nix mehr angezigt oder gefunden (auch im abgesicherten modus nix).

hab gleich noch ne frage welche antispyware- u. ad-ware programme (natürlich free) sind gut !


 ():-)

Was gut zu sein hat, ist der Davorsitzende.
Alle Antivir- Tools haben ihre Stärken und haben ihre Schwachstellen. Keines dieser Tools schützt Dich zuverlässig vor Schädlingen - es hilft Dir nur dabei.
Es zeugt nur von blinden Eifer, ein Tool in den Himmel zu heben und ein anderes zu verdammen.
Von Freeware habe ich keine Ahnung - ich benutze seit Jahren Avira AntiVir Workstation. Kaufe da immer eine 3- Jahres- Lizenz.

Jürgen

Hallo Jüki

schön dich zu lesen ;)

@JT78
Bitte poste mir erneut ein HJT-Logfile
ich denke der Bifrost und der Rest hat sich noch nicht erledigt

Ausser du Formatierst freiwillig
Ist die sicherste Lösung und bei Backdoor-Charakter auch dringend zu empfehlen 

Man hat mich ja schon scherzhaft als "Sicherheitspapst" bezeichnet, weil ich sehr oft -bei Viren-und Trojaner-Befall grundsätzlich- eine saubere Neuinstallation empfehle.
In diesem Falle mal nicht. der Grund- ich hatte in der letzten Zeit eine ganze Reihe von PCs in der Hand, bei denen genau dieses Erscheinungsbild vorhanden war.
In jedem Falle wurde aus Auslöser ein Key- Generator, ein No-CD-Crck und ähnliches.
Die interessehalber durchgeführte genaue Analys (mit exakter Protokollierung des ein- und ausgehenden Datenverkehrs) ergab keine Trojaner oder ähnliche Schädlinge.
Nur ist eben die Dateistruktur dieser Progrämmchen denen der Schädlinge sehr ähnlich, die Heuristik der Anti- Programme bemerkt und "bemault" das sogleich.
Deshalb auch mein Hinweis darauf, diesen Bifrost- Ordner nicht einfach zu löschen.
Das man dann nach dem Neuboot einen neuerlichen hijackthis- Scan durchführt, setze ich als Grundlegend voraus.

Jürgen


« Wie bekomme ich den Trojaner TR/Crypt.XPACK.Gen wieder los?Antivirus Programm »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Virus
Als Computervirus bezeichnet man Programme, die sich ungewollt auf einem PC installieren und dan selbst weiterverbreiten und reproduzieren. Sie sind meistens darauf progr...

Multiprozessor Rechner
Multiprozessorsysteme oder Multiprozessor-Rechner sind Computer, die mehr als einen Hauptprozessor (CPU) zur Ausführung von Aufgaben verwenden. Sie ermöglichen ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...