Trojaner in PartyPoker - Software ?

[Bernd S.]

Moinsen zusammen !

Ich habe eben einen Scan mit meiner Kaspersky IS 6 gemacht und
am Ende wurde mir in der PartyPoker - Software (in der install.exe)
der Trojaner Backdoor.Win32.Delf.ahn gemeldet.
Anhand des Fundortes vermute ich, dass es sich um eine ältere Version
der install.exe handelt, die Software wird von PP regelmäßig upgedated.
Habe dann bei Google gesucht und im Forum von Pokerstrategy.de
wird ebenfalls davon berichtet.

Weiß hier jemand näheres dazu ?

Das Programm kann ich weiterhin nutzen, spiele täglich online Poker.


Gruß Bernd

 

[Fireblade]

Hallo..

Nebeneffekte

* Ermöglicht Dritten den Zugriff auf den Computer
* Lädt Code aus dem Internet herunter
* Installiert sich in der Registrierung

Alias

* Backdoor.Win32.Delf.ahn
* BKDR_DELF.LH

Übles Teil was du dir da eingefangen hast.
Poste mal ein HJT Logfile und was hast du mit Kaspersky bisher gemacht?

Fb

 

[Bernd S.]

Habe es bereits bei Hijackthis ausgewertet, ist nix Böses zu finden.

Den Fund habe ich von Kaspersky löschen lassen, da ich die install.exe ja
nicht mehr brauche.

Trotzdem mal der Log hier :

Logfile of HijackThis v1.99.1
Scan saved at 19:29:05, on 24.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\PartyGaming\PartyGaming.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bernd\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: RC.exe.lnk = C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab
O16 - DPF: {6CEC0297-FAFB-41FB-97EA-77E3081B1DFE} (Seleccion Class) - http://www.nanoscan.com/as/v1/cabs/ascontrolmod.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{726DB9FB-2B1C-4951-849E-BDA324FD4185}: NameServer = 213.191.92.87 213.191.74.19
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Freenet\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe


Edit : Was mich etwas wundert : Warum läuft bei den Running Processes mein
MSN Messenger ? Hab ihn gar nicht aktiviert, im Autostart ist er nicht drin und
im Taskmanager ist er auch nicht zu finden ??


Gruß Bernd

 

[IchWeissNicht]

nix böses zu finden?

sorry aber wenn ich xp lese mit SP1 wird mein kopf ganz rot

bitte, bitte tu mir den gefallen und hau SP2 drauf meine nerven halten das nicht aus

 

[Digit]

Meinst du PartyPokerSetup.exe ?

Trotzalledem, mit SP1 bist du nicht auf der sicheren Seite.
Mach mal Windowsupdate

 

[Fireblade]

Würde ich auch sagen,unbedingt das Sp2 zu installieren,ist total wichtig.

 

[Erli]

nix böses zu finden?

sorry aber wenn ich xp lese mit SP1 wird mein kopf ganz rot

bitte, bitte tu mir den gefallen und hau SP2 drauf meine nerven halten das nicht aus

Ich versteh dich

Erli

 

[MvSt1234]

Au weia, Sp1 ?
Dabei ist Sp2 schon so lange draußen.....

Bevor IchWeißNicht nen Herzinfakt bekommt, tu ihm (und uns auch) bitte den Gefallen und installiere SP2.

Den Messenger-Dienst würde ich mal im Taskmanager beenden und unter msconfig im Systemstart nachgucken ob er da drin steht. Dort kannst Du ihn ggf. deaktivieren.

 

[Fireblade]

Au weia, Sp1 ?

Dafür gibts doch auch gar kein Support für oder?
Sollte doch schon letztes Jahr im Oktober eingestellt werden.

 

[Bullayer]

Ein Rechner ohne SP2 ist leichtsinnig....

 

[Bernd S.]

Könnt Ihr mal bitte wieder zum Thema kommen ?

Ich habe Gründe, warum ich das SP2 absichtlich nicht installiere.
Man kann sich sein System auch anders absichern.
Ja, mein XP ist legal.

Abgesehen von diesem Trojaner, der sich ja offensichtlich in der Setup.exe
von PartyPoker befindet, oder einfach eine Fehlermeldung von Kaspersky ist,
ist mein System sauber.


Gruß Bernd

 

[Bullayer]

Hast Du mal nen Online-Scan gemacht?

 

[Bernd S.]

Noch nicht, werde das mal versuchen.

Welche kannst Du denn empfehlen ?
Panda ? Bitdefender ? Andere ?


Gruß Bernd

 

[Bullayer]

Bitdefender

 

[kalinga78]

Hallo,

ist die datei von der Original Party Poker Seite?

Wollt nur mal nachfragen, weil es bei Pacific Poker (888.com) dokumentierte Betrugfälle gab. Hatte man dort anstatt von der Originalseite die Software von von einer Seite mit Buchstabendrehern heruntergeladen, gab es ein "besonderes Feature" und zwar einen Passwortschnüffler. Da war die Kohle dann am nächsten Tag up and away.

Grüße

 

[Bernd S.]

Online Scan bei bitdefender ausgeführt, nichts gefunden.
Das Ding scheint weg zu sein.



Gruß Bernd

 

[Bernd S.]

Ja, von der Original PP - Seite.
Im Forum von Pokerstrategy.de vermutet man einen Fehlalarm der Scanner.

Werde das mal weiter recherchieren und an PP schreiben.


Gruß Bernd

 

[Digit]

@Bernd S.

Sende die Datei gepackt in einem Zip-Ordner mit Passwort zB: "infected"
an newvirus at kaspersky.com mit dem Hinweis auf ein Falsch/Positiv.

Den Virenwächter beim Absenden auch deaktivieren, da sonst der Scanner auf die verschl.Datei namens "infected" reagiert.

Du wirst von Kaspersky umgehend Antwort bekommen.

 

[Ghost in the Shell]

Das ist eine Fehlmeldung von den Antivirenherstellern, Antivir hat das selber Problem, bastelt aber an einer Lösung.