Virus als setup.exe

Hat dein Virenscanner Alarm geschlagen oder wie bist du drauf gekommen. Sonst könnten es ja ganz normale Dateien sein. Kannst du auch mal online prüfen lassen die Dateien. Wenn sie einen Virus enthalten - löschen.

Nein, mein virenscanner hat nichts gesagt, aber die dateien sind in Ordner, in denen gar keine Programmdateien sind sondern nur docs und pics....

Daher meine Sorge

na ja dann check mal, ob die koscher sind.

Also ich hab den Virus nun schon zum x-ten mal.

Hab schon verschiedene Virenscanner usw getestet. Aber ich bekomm Ihn nicht geblogt. Mein Kaspersky findet Ihn auch, wenn er checkt.

Kleiner Hinweis: Die Dateien bilden sich nur in "Freigegebenen Ordnern". Jedenfalls ist das bei mir so. Ich hab zwar noch kein Schaden durch diese Dateien festegestellt, aber ist nervig, wenn Sie immer wieder in den Ordnern auftauchen.

Falls Ihr ne Ahnung oder nen Vorschlag habt, könnt Ihr ja was schreiben.

Gruß Prahli

Hallo,
 

"Freigegebenen Ordnern". Jedenfalls ist das bei mir so. Ich hab zwar noch kein Schaden durch diese Dateien festegestellt, aber ist nervig, wenn Sie immer wieder in den Ordnern auftauchen.

Ich denke mal er meint Netzwerkfreigaben, über P2P funktioniert das nämlich nicht (man kann nicht ohne weiteres gezielt "was dalassen" ... der eigene Client lädt normalerweise nur runter was man auch anfordert, ungwollten down-/up-load gibts nicht). Ich hab dasselbe Problem, NOD32 hat nur einmal einen Trojaner gemeldet (bzw. "möglicherweise eine Variante von Win32/Medbot.BH" ... Advanced Heuristics denk ich mal) und alle entsprechenden setup.exe gelöscht, aber die autorun.inf sind noch da und werden auch bei jedem Reboot neu erstellt, und das nervt tierisch. Einer 'ne Idee?

Hi alle,

Also ich habe das gleiche Problem.
In einem Freigegebenen Netztwerkordner immer 2 Dateien, die autorun.inf und die setup.exe. KA wie die da hin kommen. Mach ich die freigabe weg und lösche die, dann kommen die auch nicht mehr, aber ich brauche ja die freigegebenen ordner für mein lokales netzwerk.
Emule /Esel oder irgendein andere P2P proggie läuft bei mir nicht oder ist installiert also kanns daran nicht liegen.
Was ich aber habe ist einen Webserver mit IIS von MS, vielleicht liegts an dem, weil vorher hatte ich das Problem nicht wo ich noch keinen Webserver hatte. Vielleich könnt ihr mal nachsehen ob die die es auch haben den IIS Webserver von MS installiert habt.
Ich habe den Rechner dan mal neuinstalliert und nach 2 Tage wieder das gleiche Problem. Wieder diese beide Dateien auf dem Rechner, ich flip bald aus.
Und wie auch bei den andern, Antivirussoftware erkennt diese beide dateien nicht als virus. Ich weis auch nicht was die machen, ich habe auf jedemfall nicht den Mut gehabt die setup.exe 2x anzuklicken

Wen jemand rausgefunden hat was das ist wäre ich dankbar für eine Message

gruß
Mixnetwork

hi
vielleicht hilft euch das weiter.

entfernungstool:
http://www.sarc.com/avcenter/venc/data/w32.frethem.removal.tool.html

status:
http://www.bsi.de/av/vb/frethemk.htm

Ich bin sauer. 
Also das Tool hab ich gerade mal durchrauschen lassen, die Dateien im freigegeben Ordner hat es einfach übergangen und mir gemeldet, dass der Wurm nicht gefunden wurde.
Etwas böses ist das auf jeden Fall. Ich habe vor kurzem erst, nachdem ich die Dateien lange Zeit ignoriert und regelmäßig gelöscht hatte, einfach mal getestet und setup.exe ausgeführt. Ich bekam die Meldung, dass ich die Datei lieber als Administrator ausführen sollte (was ich nicht tat). Danach hatte ich prompt eine Trojanerwarnung vom Virenscanner.
System neu aufgesetzt und gedacht, ich wäre das los. Eben gerade habe ich bemerkt, dass dem nicht so ist.
Wurde wohl schon zur Genüge beschrieben, was genau geschieht.

Ok, der Kaspersky-Online-Scanner hat das als "Trojan-Proxy.Win32.Horst.kd" indentifiziert.

Gibt es dazu mehr Informationen? Ich finde keine, wüsste aber gerne, wie ich diesen Mist wieder loswerde. Wie ich den bekomme haben soll, ist mir schleierhaft.

Hallo,
zu den erwähnten Dateien gibt es bereits einiger Zeit verschiedene Malwarevarianten,
die von Kaspersky entdeckte Version "Trojan-Proxy.Win32.Horst.kd" wurde erst am 06.10.06 in die Signaturdatenbank aufgenommen. Leider steht für die Allgemein darüber keine Information zur Verfügen.

Überprüfe deinen PC erst mal mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.
F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“
Poste bitte das ausführliche Scanprotokoll hier !

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Ok, F-Secure ist ohne Funde durchgelaufen: http://rapidshare.de/files/35878785/ols_report.html
Allerdings habe ich vorher schon Kaspersky Anti-Virus runtergeladen und mehrere .exe-Dateien aus C:\System Volume Information gekillt.

Hier wäre Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:53:13, on 07.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\X-Chat\xchat.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Auch schon überprüft auf hijackthis.de, nix soweit.

Vorhin sind die Dateien (setup.exe und autorun.inf) leider schonmal wieder aufgetaucht.

Aber nix wird irgendwo gefunden.

It attempts to create the following files in writable network shared folders:

    *  AUTORUN.INF – opens an Internet Explorer window and runs a binary file
    * SETUP.EXE – the main component of this malware
    * UNINSTALL.EXE – a binary file

Hallo,
wenn die erwähnten Dateien noch vorhanden sind bzw. wieder auftauchen,
dann isoliere sie (Zip) und 
teste die Dateien einfach hiermit mit auf Malware.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Beide kostenlose Dienste verbinden bei einen Scan verschiedene Programme der Antivirushersteller. Poste das Ergebnis hier.

PS:
An eine Infektion gemäß den Link von Trend durch den WORM_DEDLER.R kann ich nicht nachvollziehen, da der Wurm einfach zu alt.