neuer Virus??: Backdoor.Win32.PcClient.nj

Dieses Thema im Forum "Sicherheit" wurde erstellt von olamon, 1. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. olamon

    olamon Byte

    Registriert seit:
    30. Januar 2005
    Beiträge:
    50
    Hallo liebe Helferlein,
    als sich heute der Windows-Explorer und IrfanView aus heiterem Himmel von allein schlossen, kam mir das spanisch vor und ich zog den wöchentlichen Virencheck vor und siehe da, der oben genannte Virus zeigte sich:
    Objekt: ExpressDoc.DLL
    Pfad: C:\Programme\Ahead\NeroVision
    Status: Datei in Quarantäne verschoben
    Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)
    Objekt: ImageProvider.dll
    Pfad: C:\Programme\Pinnacle\Studio 8\programs
    Status: Datei in Quarantäne verschoben
    Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)
    Objekt: encsession.dll hxfilewriter.dll rmwriter.dll
    Pfad: C:\Programme\Real\RealPlayer\producer\Tools
    Status: Datei in Quarantäne verschoben
    Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)

    Objekt: A0098097.DLL A0098099.dll A0098100.dll A0098101.dll A0098102.dll
    Pfad: C:\System Volume Information\_restore{E241DCDF-8B32-46D1-8598-43DC1CB9AC51}\RP388
    Status: Datei in Quarantäne verschoben
    Virus: Backdoor.Win32.PcClient.nj (KAV-Engine)


    Desinfizierung ist nicht möglich mit meinem Antivirenkit2005. Die Datenbank von GDATA sagt: Erkannt seit dem 1.3.2006 ...ist ein Programm, das Win32EXE-Anwendungen infiziert und zur Weiterverbreitung nutzt.

    Ich habe diese Dateien löschen können, da ich diese Programme nicht brauche bzw. neu installieren kann. Was ich nun noch von der Wiederherstellung des Systems habe, weiß ich nicht...werd ich sehen..

    Aber reicht das? Sind damit auch Systemdateien angegriffen? Was macht genau dieser (!) Virus??? Muss ich nun damit rechnen, dass meine sensiblen Dateien auf anderen Rechnern wieder zu finden sind?
    Eigentlich bin ich das Sensibelchen: lasse ständig den Virenwächter laufen und lasse emails überprüfen, nutze Kazaa und Emule seit 2 Jahren nicht mehr aus Spywaregründen, hatte Pestpetrol laufen (brachte aber nichts), habe aktiven Firewall (ZoneAlarm) u n d n u n d a s! :mad:

    Aber ob nun der Explorer und IrfanView deshalb Feierabend machten???? Ich werde auf jeden Fall alles unternehmen, um zu wissen, was läuft (PC-Welt S.82,83,84).
    Wer kennt diesen Virus und seine Auswirkungen???


    :bitte: um Antwort und es freut sich
    Monika
     
  2. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Wenn die Signaturen erst seit heute existieren, werden nähere Infos dazu noch nirgends online sein, geschweige denn, dass jemand schon was aus Erfahrung weiß..es sei denn, der Autor des Virus liest mit..:D

    Das "backdoor" und das "client" verheißen garnichts gutes, denn diese Sorte Schädling ist 1. dazu gedacht, heimlich weitere Schädlinge nachzuladen, 2. alles, was auf deinem Rechner passiert, zu speichern und ins Netz hochzuladen (insbesondere Passwörter und Banking-Logins, und 3. sich sehr fest im System festzusetzen. Was auch immer du jetzt versuchst, du kannst dir nicht mehr sicher sein, dass der Rechner sauber ist.

    Meine Meinung hierzu: neu aufsetzen.
     
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Das ist eine neue Variante dieser Backdoor-Familie, was die so treibt kannst du hier lesen:

    # Ermöglicht Dritten den Zugriff auf den Computer
    # Legt Malware ab
    # Speichert Tastenfolgen
    # Hinterlässt nicht infizierte Dateien auf dem Computer

    http://www.sophos.de/virusinfo/analyses/trojpcclienty.html

    War dein Betriebssystem aktuell, SP2 und alle Sicherheitspatches installiert. Die Jungs die ZoneAlarm laufen haben gehören oft zu der Usern die kein SP2 für Win XP installieren wollen / können.

    Formatieren ist in dem Fall sicherlich kein schlechter Ratschlag.
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    aber die Pfade in denen der mutmaßliche Backdoor gefunden wird machen mich etwas stutzig, ich würde noch mal eine Gegenprobe der Dateien hier vorschlagen (weiß nicht genau wie das bei in Quarantäne verschobenen Dateien bei G-Data funktioniert.

    Wenn sich, wieder meines Erwartens, der Verdacht bestätigen sollte ist auf jeden Fall Neuaufsetzen angesagt, schon allein wegen dem mitgelieferten Rootkit.


    Grüße Jasager
     
  5. olamon

    olamon Byte

    Registriert seit:
    30. Januar 2005
    Beiträge:
    50
    Hallo Jasager, hallo Wolfgang77, hallo Steppl,
    danke dass ihr mir sofort geantwortet habt. Ja Wolfgang und Steppl, ich habe das Schlimme, was ihr aufzählt gelesen und deshalb hier das Problem auch gepostet.
    Ja, Jasager, habe deinen Rat angenommen, als Beispiel die Datei von NeroVision wieder "zurückbewegt". Danach in htt://www.virustotal.com scannen lassen, was zunächst nicht ging, da der Antivirenwächter dies nicht zulassen wollte(ein Zeichen, dass der "Virus" noch drin war). Danach den Virenwächter ausgeschaltet und die Datei scannen lassen. Nun staune: alle Virenprogramme (von Antivir über Kaspersky, Sophos bis VBA32) meinten: no virus found.
    Ich habe über MS ein ständig aktuelles Windows, also auch SP2 und alle Sicherheitsupdates. Was ich an mir bemängele ist, dass ich vor drei Wochen den Realplayer aktualisiert habe und den nicht gesperrt habe in ZoneAlarm, ebenso nicht Nero.

    Ich werde erst mal weiter mein System untersuchen morgen mit den PC-Welt-Tools.
    Vielen Dank für eure Hilfe
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das klingt für mich alles nach einem Fehlalarm (false positive), schon allein die Pfade passen halt so gar nicht zu der Beschreibung. Kaspersky scheint ja die Datei beim Onlinerscan schon nicht mehr zu bemängeln, wahrscheinlich wird auch bald G-Data die Signaturen updaten und dann sollte Problem behoben sein. Allein durch das updaten des Realplayers kannst du dir keine Trojaner fangen, der telefoniert dann vielleicht nach hause und berichtet was du so schaust, aber er macht das System nicht angreifbarer.
    Welche Tools meinst du genau?
    Ev. solltest du noch mal mit Rootkitrevealer drüber schauen (achte darauf während dem scan sonst nichts zu machen). Aber ich bin der Ansicht das der auch nichts finden wird.


    Grüße Jasager
     
  7. olamon

    olamon Byte

    Registriert seit:
    30. Januar 2005
    Beiträge:
    50
    Hallo Jasager,
    den Rootkitrevealer habe ich schon mal gefahren- alles ok.
    Habe soeben pcwlistkill,pcwprocess,pcwautostart runtergeladen...werde davon berichten.
    noch einen schönen Tag und vielen Dank
    Monika
     
  8. olamon

    olamon Byte

    Registriert seit:
    30. Januar 2005
    Beiträge:
    50
    Hier die Auswertung:
    Mittlerweile hatte ich ein längeres Gespräch mit GData.
    Ich sollte doch einige Tage warten bis neue Virensignaturupdates kommen und dann könnte ich die Viren desinifizieren und die Dateien zurückbewegen - tatsächlich kam das heute nachmittag schon. Ich kann also alles wieder benutzen, was ich nicht gelöscht hatte. GDATA hat das nicht so tragisch gesehen...ich soll abwarten ..wenn mein PC nichts auffälliges mehr vorweist, ist alles ok.
    Was der "Virus" (wahrscheinlich nur eine Sicherheitslücke) nun wirklich macht, wurde mir nicht genannt.

    :danke: an alle.
    Monika
     
  9. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.650
    Ich hatte den Backdoor.Win32.PcClient.nj auch angeblich in msgbsutl.dll (Bestandteil von Seamonkey 1.0). Nach einem Update der Virensignaturen wurde er nicht mehr gemeldet.
    Das war bei Kaspersky und der zweite Fehlalarm innerhalb von zwei Tagen. GDATA benutzt u.a. die Kaspersky-Engine und Signaturen neben Bitdefender.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen