Trojaner in PartyPoker - Software ?

Diskutiere Trojaner in PartyPoker - Software ? im Security / Firewall / Virenabwehr Forum im Bereich Security / Firewall / Virenabwehr; Moinsen zusammen ! Ich habe eben einen Scan mit meiner Kaspersky IS 6 gemacht und am Ende wurde mir in der PartyPoker - Software (in der...
#1
B

Bernd S.

Threadstarter
Dabei seit
08.10.2005
Beiträge
152
Alter
50
Ort
Hamburg
Moinsen zusammen !

Ich habe eben einen Scan mit meiner Kaspersky IS 6 gemacht und
am Ende wurde mir in der PartyPoker - Software (in der install.exe)
der Trojaner Backdoor.Win32.Delf.ahn gemeldet.
Anhand des Fundortes vermute ich, dass es sich um eine ältere Version
der install.exe handelt, die Software wird von PP regelmäßig upgedated.
Habe dann bei Google gesucht und im Forum von Pokerstrategy.de
wird ebenfalls davon berichtet.

Weiß hier jemand näheres dazu ?

Das Programm kann ich weiterhin nutzen, spiele täglich online Poker.


Gruß Bernd
 
#2
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Hallo..

Nebeneffekte

* Ermöglicht Dritten den Zugriff auf den Computer
* Lädt Code aus dem Internet herunter
* Installiert sich in der Registrierung

Alias

* Backdoor.Win32.Delf.ahn
* BKDR_DELF.LH
Übles Teil was du dir da eingefangen hast.
Poste mal ein HJT Logfile und was hast du mit Kaspersky bisher gemacht?

Fb ;-)
 
#3
B

Bernd S.

Threadstarter
Dabei seit
08.10.2005
Beiträge
152
Alter
50
Ort
Hamburg
Habe es bereits bei Hijackthis ausgewertet, ist nix Böses zu finden.

Den Fund habe ich von Kaspersky löschen lassen, da ich die install.exe ja
nicht mehr brauche.

Trotzdem mal der Log hier :

Logfile of HijackThis v1.99.1
Scan saved at 19:29:05, on 24.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\PartyGaming\PartyGaming.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bernd\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: RC.exe.lnk = C:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab
O16 - DPF: {6CEC0297-FAFB-41FB-97EA-77E3081B1DFE} (Seleccion Class) - http://www.nanoscan.com/as/v1/cabs/ascontrolmod.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{726DB9FB-2B1C-4951-849E-BDA324FD4185}: NameServer = 213.191.92.87 213.191.74.19
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Freenet\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe


Edit : Was mich etwas wundert : Warum läuft bei den Running Processes mein
MSN Messenger ? Hab ihn gar nicht aktiviert, im Autostart ist er nicht drin und
im Taskmanager ist er auch nicht zu finden ??


Gruß Bernd
 
#4
I

IchWeissNicht

Dabei seit
22.05.2007
Beiträge
520
Alter
35
Ort
Bielefeld
nix böses zu finden? :o

sorry aber wenn ich xp lese mit SP1 wird mein kopf ganz rot:mad

bitte, bitte tu mir den gefallen und hau SP2 drauf:flenn meine nerven halten das nicht aus:D
 
#5
D

Digit

Dabei seit
04.03.2007
Beiträge
1.747
Meinst du PartyPokerSetup.exe ?

Trotzalledem, mit SP1 bist du nicht auf der sicheren Seite.
Mach mal Windowsupdate
 
#6
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Würde ich auch sagen,unbedingt das Sp2 zu installieren,ist total wichtig.
 
#8
M

MvSt1234

Dabei seit
24.04.2006
Beiträge
1.060
Alter
46
Ort
Dorsten
Au weia, Sp1 ?
Dabei ist Sp2 schon so lange draußen.....

Bevor IchWeißNicht nen Herzinfakt bekommt, tu ihm (und uns auch) bitte den Gefallen und installiere SP2.

Den Messenger-Dienst würde ich mal im Taskmanager beenden und unter msconfig im Systemstart nachgucken ob er da drin steht. Dort kannst Du ihn ggf. deaktivieren.
 
#9
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Dafür gibts doch auch gar kein Support für oder?
Sollte doch schon letztes Jahr im Oktober eingestellt werden.
 
#11
B

Bernd S.

Threadstarter
Dabei seit
08.10.2005
Beiträge
152
Alter
50
Ort
Hamburg
Könnt Ihr mal bitte wieder zum Thema kommen ?

Ich habe Gründe, warum ich das SP2 absichtlich nicht installiere.
Man kann sich sein System auch anders absichern.
Ja, mein XP ist legal.

Abgesehen von diesem Trojaner, der sich ja offensichtlich in der Setup.exe
von PartyPoker befindet, oder einfach eine Fehlermeldung von Kaspersky ist,
ist mein System sauber.


Gruß Bernd
 
#13
B

Bernd S.

Threadstarter
Dabei seit
08.10.2005
Beiträge
152
Alter
50
Ort
Hamburg
Noch nicht, werde das mal versuchen.

Welche kannst Du denn empfehlen ?
Panda ? Bitdefender ? Andere ?


Gruß Bernd
 
#15
K

kalinga78

Dabei seit
06.07.2006
Beiträge
10
Hallo,

ist die datei von der Original Party Poker Seite?

Wollt nur mal nachfragen, weil es bei Pacific Poker (888.com) dokumentierte Betrugfälle gab. Hatte man dort anstatt von der Originalseite die Software von von einer Seite mit Buchstabendrehern heruntergeladen, gab es ein "besonderes Feature" und zwar einen Passwortschnüffler. Da war die Kohle dann am nächsten Tag up and away.

Grüße
 
Zuletzt bearbeitet:
#16
B

Bernd S.

Threadstarter
Dabei seit
08.10.2005
Beiträge
152
Alter
50
Ort
Hamburg
Online Scan bei bitdefender ausgeführt, nichts gefunden.
Das Ding scheint weg zu sein.



Gruß Bernd
 
#17
B

Bernd S.

Threadstarter
Dabei seit
08.10.2005
Beiträge
152
Alter
50
Ort
Hamburg
Ja, von der Original PP - Seite.
Im Forum von Pokerstrategy.de vermutet man einen Fehlalarm der Scanner.

Werde das mal weiter recherchieren und an PP schreiben.


Gruß Bernd
 
#18
D

Digit

Dabei seit
04.03.2007
Beiträge
1.747
@Bernd S.

Sende die Datei gepackt in einem Zip-Ordner mit Passwort zB: "infected"
an newvirus at kaspersky.com mit dem Hinweis auf ein Falsch/Positiv.

Den Virenwächter beim Absenden auch deaktivieren, da sonst der Scanner auf die verschl.Datei namens "infected" reagiert.

Du wirst von Kaspersky umgehend Antwort bekommen.
 
#19
G

Ghost in the Shell

Gast
Das ist eine Fehlmeldung von den Antivirenherstellern, Antivir hat das selber Problem, bastelt aber an einer Lösung.
 
Thema:

Trojaner in PartyPoker - Software ?

Trojaner in PartyPoker - Software ? - Ähnliche Themen

  • Trojaner Malware.Kryptik, Malware.Heur

    Trojaner Malware.Kryptik, Malware.Heur: Hallo COM, die o.g. sind beim Scan aufgetaucht. Hat jemand Tipps zur Löschung ??
  • Nachricht von Windows 10 -Trojaner - Sperre- Nachricht

    Nachricht von Windows 10 -Trojaner - Sperre- Nachricht: Hallo. ich habe eine Nachricht von Windows 10 bekommen, dass mein Laptop durch Trojaner infiziert worden ist und dass ich sofort die Nummer...
  • Trojaner entfernen -vollständig-

    Trojaner entfernen -vollständig-: Nach Scan mit msert unter Win10 besagt die Meldung: JS/CoinHive.B "teilweise entfernt". Was bedeutet teilweise entfernt? Was ist zur...
  • Trojaner auf meinen pc?

    Trojaner auf meinen pc?: Ich kriege öfters die Meldung "Achtung! ihr pc wurde mit Trojanern infiziert und schickt persönliche Informationen an hacker weiter rufen sie die...
  • Windows Defender: Trojaner kann nicht entfernt werden

    Windows Defender: Trojaner kann nicht entfernt werden: Hallo zusammen, bei der Überprüfung mit dem Windows Defender wurde mir ein Trojanerbefall angezeigt: Sowohl die Auswahloption Entfernen oder...
  • Ähnliche Themen

    • Trojaner Malware.Kryptik, Malware.Heur

      Trojaner Malware.Kryptik, Malware.Heur: Hallo COM, die o.g. sind beim Scan aufgetaucht. Hat jemand Tipps zur Löschung ??
    • Nachricht von Windows 10 -Trojaner - Sperre- Nachricht

      Nachricht von Windows 10 -Trojaner - Sperre- Nachricht: Hallo. ich habe eine Nachricht von Windows 10 bekommen, dass mein Laptop durch Trojaner infiziert worden ist und dass ich sofort die Nummer...
    • Trojaner entfernen -vollständig-

      Trojaner entfernen -vollständig-: Nach Scan mit msert unter Win10 besagt die Meldung: JS/CoinHive.B "teilweise entfernt". Was bedeutet teilweise entfernt? Was ist zur...
    • Trojaner auf meinen pc?

      Trojaner auf meinen pc?: Ich kriege öfters die Meldung "Achtung! ihr pc wurde mit Trojanern infiziert und schickt persönliche Informationen an hacker weiter rufen sie die...
    • Windows Defender: Trojaner kann nicht entfernt werden

      Windows Defender: Trojaner kann nicht entfernt werden: Hallo zusammen, bei der Überprüfung mit dem Windows Defender wurde mir ein Trojanerbefall angezeigt: Sowohl die Auswahloption Entfernen oder...
    Oben