Sporadischer Download von "msconfig2.exe"

  • Mein Zweitrechner verhält sich seit neuestem etwas seltsam.


    In unregelmäßigen Abständen versucht er selbstständig, die Datei msconfig2.exe herunterzuladen.


    Das ganze sieht dann so aus:



    Ich hab die Datei zum Überprüfen mal auf Virustotal hochgeladen, mit folgendem Ergebnis:



    Wie ich zufällig beobachten konnte, wird der Download über Start -> Ausführen ausgelöst.
    Komischerweise öffnet sich der Papierkorb gleich mit.


    AntiVir, BitDefender, AdAware und SpyBot habe ich bereits nach eventuellen Viren/Trojanern suchen lassen, jedoch ohne Erfolg.


    Bereits vor ein paar Wochen war ein sehr ähnliches Problem, mit dem Unterschied, dass eine gewisse "update.exe" heruntergeladen werden sollte.


    Hatte jemand schonmal dieses Problem? Gibt es noch weitere (kostenlose) Programme, die ich testen könnte?

    «Some say that we have at least thought of a new way of introducing him. But we haven't. It's The Stig!»

  • Lass mal Adaware (lavasoft) und Spybot-Search&Destroy drüberlaufen. Die sollten sowas eigentlich finden.

    grrr...Wenn das doch einmal klappen würde...

  • Daniel_23

    Zitat

    AntiVir, BitDefender, AdAware und SpyBot habe ich bereits nach eventuellen Viren/Trojanern suchen lassen, jedoch ohne Erfolg.

    ;)


    Probier mal Hijackthis aus. Dort erhälst du auch eine Analyse evtl. verdächtiger Regitryeinträge und Dienste


    Gruß, Basti


    Edit: Hab gerade folgendes gefunden:


    Du hast vermutlich folgenden Virus: Win32.Agobot.ABB


    So entfernst du ihn:
    - lösche folgende Registryeinträge:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Configuration Loader = "msconfig2.exe"
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Configuration Loader = "msconfig2.exe"


    - lösche folgende Datei: C:\Windows\System32\msconfig2.exe

  • Die Anleitung hab ich beim googlen auch schon gefunden.


    Die Einträge sind allerdings nicht vorhanden, da sie ja nur eine vorhandene msconfig2.exe beim Systemstart ausführen würden.


    HijackThis hat auch keine verdächtigen Einträge angezeigt.


    Nach meinen bisherigen Untersuchungen am System lässt sich sagen, dass:


    - keine verdächtigen Systemprozesse im Hintergrund laufen
    - keine verdächtigen Programme beim Systemstart geladen werden
    - diverse Programme à la AntiVir, AdAware, Spybot, BitDefender, HijackThis nichts finden


    Bleibt nur die Frage, was dann der Auslöser ist.


    Edit: In dieser Newsgroup wird exakt mein Problem beschrieben, jedoch leider ohne Lösung :(
    Edit2: Ist ja lustig, der Newsgroupeintrag ist vom Mo 7 Aug. 2006 17:53, eben gabs einen Neueintrag. Vielleicht tut sich da auch noch was..


    Edit3:
    Hab in der Registry folgende Einträge gefunden, scheinen aber "Recent"-Einträge zu sein, gelöscht sind sie jedenfalls mal..


    «Some say that we have at least thought of a new way of introducing him. But we haven't. It's The Stig!»

  • Etwas komisch ist das Ganze schon. Nachdem einige Zeit vergangen ist, ich sämtliche Programme ausprobiert habe, taucht das Problem - momentan jedenfalls - nicht mehr auf. :)


    Vielleicht war es aber auch nur eine temporäre Erscheinung..

    «Some say that we have at least thought of a new way of introducing him. But we haven't. It's The Stig!»

  • Jap, sehr suspekt :mad:


    In der c't war auch gerade ein Artikel über Rootkits und dergleichen. Einige der genannten Programme (Autoruns z.B.) hab ich ausprobiert. Vielleicht hat das ja was bewirkt, da wie gesagt momentan alles normal ist.


    F-Secure hat nämlich auch nichts finden können.


    Wäre das Problem am Hauptrechner, ich hätte wahrscheinlich schon Windows neu installiert... :rolleyes:

    «Some say that we have at least thought of a new way of introducing him. But we haven't. It's The Stig!»

  • Was mir exterm suspekt vorkommt ist dass die Datei auf einem freehoster beherbergt wurde, und das macht nunmal Microsoft (von denen das original msconfig ist) nicht...
    Ich denke, der Grund warum du jetzt die Datei nicht mehr bekommst ist dass der Link auf elchesgo.gratishost.com nicht mehr funktioniert, der eigentliche Mechanismus kann noch auf dem Rechner sein.
    Hast du die Datei zur Analyse mal an einen AntiViren-Hersteller geschickt (z.B. Panda oder BitDefender, die ihn ja als Malware identifizieren)?

  • Ja, ich denke auch dass der Mechanismus nach wie vor vorhanden ist.


    Der letzte Versuch, die Datei herunterzuladen war am 12.08.06:



    "Leider" war die Datei da schon vom Hoster gelöscht.


    Zitat

    Original geschrieben von N00dles
    Hast du die Datei zur Analyse mal an einen AntiViren-Hersteller geschickt (z.B. Panda oder BitDefender, die ihn ja als Malware identifizieren)?


    Nein, daran habe ich leider nicht gedacht...

    «Some say that we have at least thought of a new way of introducing him. But we haven't. It's The Stig!»

  • So, heute hat sich mal wieder etwas getan in Sachen komisches Verhalten:


    Beim Start hat sich ein Programm namens mIRC geöffnet und sich in einen Channel mit "vulnerable VNC Clients" eingeloggt.


    Scheinbar werden da IPs oder was weiß ich gesammelt.


    Jedenfalls liegt das Problem wohl tatsächlich am installierten RealVNC (welches mittlerweile durch eine neue Version ersetzt ist).


    Diesmal fanden diverse Anti-Programme auch tatsächlich was. Ich hoffe, jetzt ist alles entfernt (einiges konnte nur im abgesicherten Modus entfernt werden).


    Das Archiv, in dem vermutlich der ganze Krempel auf meinen Rechner gelangt ist hab ich mal überprüfen lassen. Sehr bedenklicher Inhalt... :mad:


    «Some say that we have at least thought of a new way of introducing him. But we haven't. It's The Stig!»

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!