[Cyber4]

v050a, Win7

"Hijack this" identifizierte im Verzeichnis

C:\Windows\System32\config\systemprofile\AppData\Local\Application Policy Service\

eine svchost.exe mit Datum 2011-11-17 und 2.131 kB. Die Auswertung der Logdatei auf http://www.hijackthis.de/ ergab:
"Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Dienst (svchost.exe) scheint schädlich zu sein.<br sab="2618">Prozess läuft nicht im System32 Ordner!"
Im selben Ordner befinden sich auch aktuelle known.met, server.met, key_index.dat etc.

Obwohl die Auswertung behauptet, der Dienst läuft nicht im System32-Ordner, konnte ich die Datei nicht löschen. Beim Löschversuch meldet Windows, dass die Datei in Verwendung ist. Im Taskmanager unter Prozessen ist sie aber nicht angelistet.

Die svchost.exe bei www.virustotal.com hochgeladen ergab, dass 9 von 43 Virensuchmaschinen diese Datei als Trojaner einstufen.

Auf einem zweiten PC mit ebenfalls einer eMule Installation (ebenfalls 0.50a, Win 7), gibt es das oben genannte Verzeichnis ...\Application Policy Service\
überhaupt nicht (und folglich auch nicht die genannten Dateien darin).

Jetzt frag ich mich natürlich, wie es dazu gekommen ist. Ich hoffe denn doch nicht, dass es sich da um einen Network-Worm handelt, der irgend eine Lücke im IRC-Protokoll oder sonst eine undichte Stelle im emule-Code ausnützt.

Verdacht schöpfte ich, als KAD beim Start vom Muli nicht mehr loslegte und plötzlich der Webbrowser (ie 9) nicht mehr ging und und sich herausstellte, dass in Internetoptionen > Verbindung > LAN auf einmal "Proxy benützen" markiert war, jedoch ohne dass irgend eine Proxy-Adresse sichtbar war. MS Security Essentials fand einen Cycbot.GBackdor, den es auch beseitigte, aber offenbar nicht gründlich genug, denn zwei Tage später stehe ich vor der selben Situation.

Was mich speziell interessiert: Was für eine Bewandtnis hat es mit dem genannten Verzeichnis
C:\Windows\System32\config\systemprofile\AppData\Local\Application Policy Service\ ? Die met- und auch die anderen Dateien da drin sind ganz aktuell. Lässt sich das gefahrlos löschen - oder muss das sogar so sein? Wenn ja, dann frage ich mich natürlich, warum es dieses Verzeichnis nicht auch bei der anderen Installation gibt.

[Link64]

Also die möglichen Ordner, wo die eMule Konfigurationsdateien sein könnten, sind hier aufgelistet. Nichts davon befindet sich im Windows-Verzeichnis, d.h. wurde ich vermuten, dass der Trojaner entweder regelmässig Kopien der Dateien erstellt oder halt Hardlinks erstellt hat um sich dazwischen besser verstecken zu können. Du müsstest also abhängig von deinen Einstellungen irgendwo die Dateien noch mal finden können.

Um die exe zu löschen, musst die über den Taskmanager die richtige svchost.exe beenden. Ist "2618" die ProzessID, die Hijack This angezeigt hat? Dann aktiviere die entsprechende Spalte im Taskmanager, dann siehst du, welche das ist.

This post has been edited by Link64: 25 November 2011 - 10:02 AM

[Cyber4]

Link64, on 25 November 2011 - 11:59 AM, said:

Also die möglichen Ordner, wo die eMule Konfigurationsdateien sein könnten, sind hier aufgelistet. Nichts davon befindet sich im Windows-Verzeichnis, d.h. wurde ich vermuten, dass der Trojaner entweder regelmässig Kopien der Dateien erstellt oder halt Hardlinks erstellt hat um sich dazwischen besser verstecken zu können. Du müsstest also abhängig von deinen Einstellungen irgendwo die Dateien noch mal finden können.

Um die exe zu löschen, musst die über den Taskmanager die richtige svchost.exe beenden. Ist "2618" die ProzessID, die Hijack This angezeigt hat? Dann aktiviere die entsprechende Spalte im Taskmanager, dann siehst du, welche das ist.

Danke.

Ich habe das besagte Verzeichnis nach dem Neustart und ohne emule zu starten auf "_old" umbenannt, dann emule gestartet. Ging problemlos. Im Taskmanager läuft kein einziger Prozess mit svchost.exe, daher brauche ich auch nichts abzuschießen. Das auf _old umbenannte Unterverzeichnis habe ich jetzt gelöscht - ging problemlos. Dafür fand MS Security Essentials jetzt wieder einen Backdoor:Win32/Cycbot.G sowie einen PWS:Win32/Fareit.gen!C. MSE wird offenbar mit dem Problem nicht fertig.

Ich glaube, ich werde das Muli jetzt für eine Zeit stilllegen und schauen, ob das mit der Schadsoftware so weitergeht. Es scheint mir kein Zufall zu sein, dass sich die gefakete SVCHOST.exe gemeinsam mit den .met - und .dat - Dateien des Mulis in den Tiefen von system32 versteckt. Möglicherweise benützt diese Schadsoftware die offenen Ports des Mulis für ihre eigenen Zwecke.

[Strouthern]

Hi,

I attached the results from the malwarebytes and combofix. I ran combofix twice, as I didn't notice the first time that I didn't disable all my virus and firewall protection. The first scan for combofix is labeled comboxfix1.txt, while the second scan for combofix is labeled log.txt