Trojan.Holax.A.98304.A - was macht der?

Hallo.
Googeln hat nicht viel gebracht, darum frag ich nhier mal: Weiß jemand, was „Trojan.Holax.A.98304.A“ genau macht? BitDefender (Standard) hat ihn in „QuickTime“ „qtask“ o.ä. gefunden, behauptet aber, der Rechner sei nicht infiziert. Was habe ich davon zu halten? Ist das evtl. normaler Bestandteil von „Quick Time Player“ oder „iTunes“?
Der Rechner (XP Pro sp2) ist jedenfalls kurz danach eingefroren und war zu keinem Neustart, auch nicht abgesichert, zu bewegen. Also habe ich ein BackUp zurückgespielt und alles war wieder gut; allerdings nicht lange, dann kam ein bluescreen und wieder kein XP - Start möglich. Auch Knoppix bootete in beiden Fällen nicht. (???)
In beiden Fällen war Nero damit beschäftigt, eine Film - DVD (aus von Videobändern überspielten Filmen) zu erstellen. Könnte das damit zusammenhängen, macht u.U. Nero was kaputt?
Z.Z. spiele ich wieder ein BackUp zurück, mal sehen, wie´s dann weiter geht.
Weiß irgend jemand irgend etwas über „Treojan.Holax.A.98304.A“?

Barbara

Hi, Barbara!

Außer, daß das Ding am 24.6.2005 zum Ersten mal erkannt wurde, weiß ich leider auch nichts.
Aber lass doch mal Hijackthis drüberlaufen!
Wenn das auch nichts hilft, wirst Du wohl das System neu aufsetzen müssen.
Gruß - René

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Barbara

Googeln hat nicht viel gebracht, darum frag ich nhier mal:
Weiß jemand, was „Trojan.Holax.A.98304.A“ genau macht?

Das scheint etwas ganz neues zu sein, lies mal hier: http://www.bullguard.com/forum/8/Trojan-found-in-Qui…

Wenn HijackThis von http://www.hijackthis.de/ bei dir zu einem ähnlichen Ergebnis kommen sollte, so kannst du davon ausgehen, das der Trojaner schon aktiv war und dein System infiziert und damit kompromittiert ist.

Beachte:
Die Anwesenheit einer Malware auf der Festplatte ist nicht mit einer Infektion gleichzusetzen. Aktive Trojaner sind die Wegbereiter einer massiven, jedoch verdeckten Infektion. Das kannst du hier nachlesen http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28C…

Nach dem ein Trojaner aktiv war, ist das Löschen und beseitigen des Trojaners nur noch von zweitrangiger Bedeutung. Im Ergebnis ist es mit den Mitteln von Otto Normalo nicht mehr feststellbar, welche Dateien des Systems neu hinzugekommen sind und welche verändert oder durch andere ersetzt wurden. Sie verhalten sich dann alle so, als wenn sie zu System gehören würden. Einen Unterschied würdest du nur im direkten Vergleich feststellen können.

Das würde dir aber auch nicht viel nützen, denn die Dateien müssten dann durch ihre ursprünglichen wieder ersetzt werden. Dies wird manchmal von Administratoren umfangreicher Systeme praktiziert, die ein Vergleichsystem zur Verfügung haben. Die manchmal empfohlene laienhafte Reparatur des Systems wird von mir verworfen. Das System ist grundsätzlich immer neu zu installieren. Das kannst du auch hier in diesem Fachbeitrag nachlesen: http://malte-wetz.de.vu/index.php?viewPage=sec-compr…

Auch ich habe mir mit einem Imageprogramm ein Vergleichsystem geschaffen. Ich benutze es allerdings nur in den seltensten Fällen für solche Zwecke, denn der Zeitaufwand ist erheblich. Mein PC ist auch eine Familienkiste und selbst die Freunde meiner Enkel dürfen mal surfen. Bisher habe ich jeden Befall erkannt und zwar nach der Methode: „Hoi, der zuckt aber auf einmal seltsam“. Meist bestätigt sich dann der Verdacht nach einer Kontrolle mit HijackThis. Daraufhin stecke ich die StartCD des ImageProgrammes (bei mir ist es eine BartPE) ins Laufwerk und nach 10 Minuten zuckt der PC genau wieder so, wie es ursprünglich mal von mir gedacht war.

Wie ich es mit Paragons DriveBackup 6.0 gemacht habe, kannst du hier nachlesen: http://www.hinterwaeldlers-home.de/DriveBackupTut.zip Mittlerweile gab es das DriveBackup 7.0 und ExactImage 7.0 von Paragon sowie das TrueImage 7.0 von Acronis - alle als kostenlose Beilagen in Zeitschriften. Hohe Datensicherheit muß also nicht immer viel kosten. Gleichermaßen wichtig ist für alle Programme die Vorbereitung, aber das kannst du im Tutorial sehr gut nachlesen.

der hinterwäldler

Der Rechner (XP Pro sp2) ist jedenfalls kurz danach
eingefroren und war zu keinem Neustart, auch nicht
abgesichert, zu bewegen. Also habe ich ein BackUp
zurückgespielt und alles war wieder gut; allerdings nicht
lange, dann kam ein bluescreen und wieder kein XP - Start
möglich. Auch Knoppix bootete in beiden Fällen nicht. (???)

Ist Knoppix denn früher schon auf dem Rechner gelaufen? Ist der Bootvorgang gar nicht erst gestartet, oder ist Knoppix wärend des Bootens mit Fehlermeldungen abgebrochen? War Booten von CD im Bios aktiviert?

In beiden Fällen war Nero damit beschäftigt, eine Film - DVD
(aus von Videobändern überspielten Filmen) zu erstellen.

Hat womöglich dein CD/DVD-Laufwerk oder der zugehörige Controller eine Macke?

Gruss
Schorsch

Hallo Schorsch

Ich dachte auch erst an einen einfachen Schaden in der Software, aber die Beschreibung deutet eindeutig auf einen massiven Angriff hin. Insbesonders weil über diesen Trojaner überhaupt noch nichts bekannt ist und ein sehr seltsamer Weg der Verbreitung benutzt wird.

Und Backup ist nicht gleich Backup!

der hinterwäldler

Ich dachte auch erst an einen einfachen Schaden in der
Software, aber die Beschreibung deutet eindeutig auf einen
massiven Angriff hin. Insbesonders weil über diesen Trojaner
überhaupt noch nichts bekannt ist und ein sehr seltsamer Weg
der Verbreitung benutzt wird.

Sorry, aber welche Beschreibung deutet auf einen massiven Angriff hin? Alles, was ich hierzu im Internet finde, bestätigt massiv den Verdacht des Fehlalarms durch Bitdefender. In der Anfrage von Barbara finde ich ebenfalls nichts alarmierendes.

Und die Tatsache, dass über den Trojaner nichts bekannt sei, deutet allenfalls darauf hin, dass Bitdefender mangelhaft dokumentiert.

Ignorieren würde ich eine derartige Meldung eines Virenscanners nicht, hier aber akuten Handlungsbedarf zu sehen, müssten doch einige weitere, signifikante Daten vorliegen.

Gruss
Schorsch

Okay, also ein früher erstelltes Image der Systempartition aufspielen ist genau so gut wie komplett neu installieren, oder? Bitte sag ja…
Deine HP hab´ ich schon intensiv studiert. Ich erstelle meine BackUps mit Acronis True Image, aber das dürfte schnuppe sein.
Aber was meinst Du, ist nur das System versaut, oder sollten die Daten (auf einer zweiten Partition) auch ersetzt werden? Sind die dann auch kompromttiert?

BT

PS.: Puh, ich kann wieder lächeln, der Rechner funzt z.Z.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Der Rechner (XP Pro sp2) ist jedenfalls kurz danach
eingefroren und war zu keinem Neustart, auch nicht
abgesichert, zu bewegen. Also habe ich ein BackUp
zurückgespielt und alles war wieder gut; allerdings nicht
lange, dann kam ein bluescreen und wieder kein XP - Start
möglich. Auch Knoppix bootete in beiden Fällen nicht. (???)

Ist Knoppix denn früher schon auf dem Rechner gelaufen?

Ja, wenn auch ohne Sound.

Ist der Bootvorgang gar nicht erst gestartet, oder ist Knoppix
wärend des Bootens mit Fehlermeldungen abgebrochen?

Gestartet ist das Ganze, aber mittendrin einfach stehen geblieben, so wie auch der XP - Start. Und alles mit einer schrecklichen Optik, völlig verzerrt und verwischt, besser kann ich es nicht beschreiben. Jedenfalls fast Nichts zu erkennen.

War Booten

von CD im Bios aktiviert?

Jo.

In beiden Fällen war Nero damit beschäftigt, eine Film - DVD
(aus von Videobändern überspielten Filmen) zu erstellen.

Hat womöglich dein CD/DVD-Laufwerk oder der zugehörige
Controller eine Macke?

Weiß nicht. Bisher funzte alles reibungslos

Gruss
Schorsch

BT

Du bist also davon überzeugt, das nicht ein Fehler in z.B. Nero für das Dilemma verantwortlich ist, sondern der Trojaner? Auf welchen seltsamen Wegen verbreitet der sich denn? Was hat „Quick Time“ damit zu tun?
Was soll das denn wieder heißen, „Und Backup ist nicht gleich Backup!“? Ein mit „Acronis True Image“ erstelltes Backup ist doch i.O.?

BT

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Die da wären?

BT

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Ignorieren würde ich eine derartige Meldung eines
Virenscanners nicht, hier aber akuten Handlungsbedarf zu
sehen, müssten doch einige weitere, signifikante Daten
vorliegen.

Die da wären?

Offene Ports, die nicht auf das Betriebssystem oder selbst installierte Programme zurückzuführen sind, aktiver, von dir nicht angestossener Datenverkehr, unerwünschte Einträge in den versch. Autostartmöglichkeiten, nicht identifizierbare Einträge in der Taskliste…

Eine einfache Möglichkeit, die angeblich infizierte qttask.exe zu überprüfen, ist, alle Vorkommen dieser Datei auf dem Rechner zu suchen. Sind es mehrere und sind diese Dateien nicht identisch (Grösse, Datum; im Zweifel fc [filecompare] in der Eingabeaufforderung), kann dies auf eine Infektion hindeuten. Auch ungewohnte Speicherorte wie z. B. „c:\program files…“ auf einem deutschen System legen einen Infektionsverdacht nahe.

Gibt es nur eine qttask.exe, oder sind alle Vorkommen identisch, kannst du diese Datei in einen temporären Ordner sichern, Quicktime (gleiche Version!) neu installieren und alte und neue Datei miteinander vergleichen. Bei Identität ist ein Fehlalarm m. E. hinreichend nachgewiesen.

HTH
Schorsch

Gestartet ist das Ganze, aber mittendrin einfach stehen
geblieben, so wie auch der XP - Start. Und alles mit einer
schrecklichen Optik, völlig verzerrt und verwischt, besser
kann ich es nicht beschreiben. Jedenfalls fast Nichts zu
erkennen.

Das ist dann wohl tatsächlich auf einen temporären, z. B. Überhitzung, oder echten Hardwaredefekt (allerdings wohl doch nicht am CD/DVD-Gerät) zurückzufühen. Einen Virus oder Trojaner als Ursache dieser Effekte kannst du sicher ausschliessen.

Gruss
Schorsch

Danke, Schorch! Das war sehr aufschlußreich!
So weit ich es beurteilen kann, ist „QuickTime“ immer noch da, wo er immer schon war und ist auch nicht aktiv, Datenverkehr wird von der FW blockiert.
Habe inzwischen schon wieder nach einem Totalabsturz und anschließender Unkenntlichkeit (alles sieht so schrecklich aus, daß ich schon einen Monitordefekt befürchtet habe) ein Image zurückgespielt. Eingehendes lesen des Bluescreens (wieder unter Nero Vision) legt den Verdacht nahe, das der GraKa - Treiber der Bösewicht ist, der verursacht wohl eine Endlosschleife, was immer das auch heißen mag. Werde jedenfalls jetzt sofort alle Treiber und Nero auf den neuesten Stand bringen.

BT

Ignorieren würde ich eine derartige Meldung eines

Virenscanners nicht, hier aber akuten Handlungsbedarf zu
sehen, müssten doch einige weitere, signifikante Daten
vorliegen.

Die da wären?

Offene Ports, die nicht auf das Betriebssystem oder selbst
installierte Programme zurückzuführen sind, aktiver, von dir
nicht angestossener Datenverkehr, unerwünschte Einträge in den
versch. Autostartmöglichkeiten, nicht identifizierbare
Einträge in der Taskliste…

Eine einfache Möglichkeit, die angeblich infizierte qttask.exe
zu überprüfen, ist, alle Vorkommen dieser Datei auf dem
Rechner zu suchen. Sind es mehrere und sind diese Dateien
nicht identisch (Grösse, Datum; im Zweifel fc
[filecompare] in der Eingabeaufforderung), kann dies
auf eine Infektion hindeuten. Auch ungewohnte Speicherorte wie
z. B. „c:\program files…“ auf einem deutschen System legen
einen Infektionsverdacht nahe.

Gibt es nur eine qttask.exe, oder sind alle Vorkommen
identisch, kannst du diese Datei in einen temporären Ordner
sichern, Quicktime (gleiche Version!) neu installieren und
alte und neue Datei miteinander vergleichen. Bei Identität ist
ein Fehlalarm m. E. hinreichend nachgewiesen.

HTH
Schorsch

Hallo Barbara

Okay, also ein früher erstelltes Image der Systempartition
aufspielen ist genau so gut wie komplett neu installieren,
oder? Bitte sag ja…

Jaaaa. Wenn du ein Image zurück schreibst, wird die Partition gelöscht, neu angelegt, formatiert und alle Dateien, alle Konfigurationen, alle Optionen, so wie sie zum Zeitpunkt des Backup vorhanden waren , wieder hergestellt.

Deine HP hab´ ich schon intensiv studiert. Ich erstelle meine
BackUps mit Acronis True Image, aber das dürfte schnuppe sein.

Hat sogar einen Vorteil: Jeder Anfänger kan damit umgehen!

Aber was meinst Du, ist nur das System versaut, oder sollten
die Daten (auf einer zweiten Partition) auch ersetzt werden?
Sind die dann auch kompromttiert?

Nein, in der Regel nicht. Zu 99,99% dreht es sich nur immer um die Dateien im Verzeichnis …\System32… und dessen Unterverzeichnissen. Da aber der Trojaner in einer QT-File aufgetaucht ist, solltest du überlegen, wohin du diese gespeichert hast. Falls sie auf der zweiten Partition ist, unbesehen und ungespielt löschen (nicht nur Papierkorb!), ansonsten geht das Spiel von vorn los!!! War sie nur im Cache des Browsers, ist alles erledigt.

der hinterwäldler

Beruhigend und auch nicht. Hoffe, das es nur ein Treiberprob ist, mal sehen. Jedenfalls kann ich mich mit diesem Prob aus DIESEM Forum wohl verabschieden und zum Nächsten wechseln ))

BT

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Barbara

Okay, also ein früher erstelltes Image der Systempartition
aufspielen ist genau so gut wie komplett neu installieren,
oder? Bitte sag ja…

Jaaaa. Wenn du ein Image zurück schreibst, wird die
Partition gelöscht, neu angelegt, formatiert und alle Dateien,
alle Konfigurationen, alle Optionen, so wie sie zum
Zeitpunkt des Backup vorhanden waren , wieder hergestellt.

So habe ich mir das vorgestellt. Dann ist ja alles gut.

Deine HP hab´ ich schon intensiv studiert. Ich erstelle meine
BackUps mit Acronis True Image, aber das dürfte schnuppe sein.

Hat sogar einen Vorteil: Jeder Anfänger kan damit umgehen!

Ja, genau. Danke.

Aber was meinst Du, ist nur das System versaut, oder sollten
die Daten (auf einer zweiten Partition) auch ersetzt werden?
Sind die dann auch kompromttiert?

Nein, in der Regel nicht. Zu 99,99% dreht es sich nur
immer um die Dateien im Verzeichnis …\System32… und dessen
Unterverzeichnissen.

Auch ´ne gute Nachricht.

Da aber der Trojaner in einer QT-File
aufgetaucht ist, solltest du überlegen, wohin du diese
gespeichert hast. Falls sie auf der zweiten Partition ist,
unbesehen und ungespielt löschen (nicht nur Papierkorb!),
ansonsten geht das Spiel von vorn los!!! War sie nur im Cache
des Browsers, ist alles erledigt.

der hinterwäldler

Danke!

BT

Hallo Schorch

Sorry, aber welche Beschreibung deutet auf einen
massiven Angriff hin? Alles, was ich hierzu im Internet finde,
bestätigt massiv den Verdacht des Fehlalarms durch
Bitdefender. In der Anfrage von Barbara finde ich ebenfalls
nichts alarmierendes.

Das kann ich nicht bestätigen, gugge mal hier: http://www.bullguard.com/forum/8/Trojan-found-in-Qui… Das das Internet nicht allzuviel hergibt, liegt wohl eher daran, das dieser Trojaner ganz neu ist. Übrigens, obwohl ich mit meinem XP SP2 auch QuickTime abspielen kann, besitze ich eine derartige .exe nicht

Wichtig ist doch die Erkenntniss, das in einem zeitlichen Zusammenhang zwei merkwürdige Ereignisse auf Barbara’s System eingetreten sind, von denen keines vorhersehbar und in seinem Umfang vollständig erfassbar war. Damit dürfte der Definition in http://faq.jors.net/virus zutreffend sein.

Der Rechner (XP Pro sp2) ist jedenfalls kurz danach eingefroren

In beiden Fällen war Nero damit beschäftigt, eine Film - DVD

Hast du Bedenken?

Übrigens hat man sich bei de.comp.security.virus in den vergangenen 24 Stunden ebenfalls mit diesem Problem auseinandergesetzt und kam zu einem ähnlichen Ergebnis.

Ich verstehe ja euch Profis, … Wir sollten aber eine gemeinsame Argumentation finden und insbesonders einer Anwendung von Laufwerk-Images den Vorzug geben. Diese ist in den meisten Fällen auch für Otto Normalo preiswerter, oft sogar kostenlos und schneller realisierbar, als hochkomplizierte Sicherheitslösungen mit sonst was. Die HD’s geben das heute auf alle Fälle her.

der hinterwäldler

Das kann ich nicht bestätigen, gugge mal hier:
http://www.bullguard.com/forum/8/Trojan-found-in-Qui…

Das habe ich mir gestern schon angeschaut, mehr als die übliche Standardreaktion des Benutzerbetreuers in einem interessengesteuerten Firmenforum eines AV-Herstellers sehe ich hier nicht.

Das das Internet nicht allzuviel hergibt, liegt wohl eher
daran, das dieser Trojaner ganz neu ist. Übrigens, obwohl ich
mit meinem XP SP2 auch QuickTime abspielen kann, besitze ich
eine derartige .exe nicht

Ist Standard bei der Quicktime-Installation. Wenn du lediglich die entspr. Codecs in einem anderen Player eingebunden hast, gibt’s die Datei natürlich nicht.

Wichtig ist doch die Erkenntniss, das in einem zeitlichen
Zusammenhang zwei merkwürdige Ereignisse auf Barbara’s System
eingetreten sind, von denen keines vorhersehbar und in seinem
Umfang vollständig erfassbar war. Damit dürfte der Definition
in http://faq.jors.net/virus zutreffend sein.

Zufällige Koinzidenz. Einfrieren und Absturz ist üblicherweise nicht die typische Folge von Trojanern, die ja eher auf ein stabiles System angewiesen sind. Wobei das natürlich einen Virenverdacht in keiner Weise entkräften kann.

Möglicherweise war Barbaras qttask.exe infiziert, die Abstürze aber waren, wie die weiteren Posts gezeigt haben, davon unabhängig. Geradeso wie das Fehlschlagen des Knoppix-Starts. Hier handelte es sich also, m. E. offenkundig, um zwei unabhängige Vorgänge.

Ich verstehe ja euch Profis, … Wir sollten aber eine
gemeinsame Argumentation finden und insbesonders einer

Basis der Argumentation sollte aber eine nüchterne Betrachtung des konkreten Einzelfalls sein sowie die unbedingte Vermeidung der typischen Topoi der Virenscanner- und Panikmacherindustrie. Wobei sich trefflich streiten lässt, worüber der Anwender eher in Panik gerät: „Du pass auf, du hasst dir einen Trojaner eingefangen“ - oder - „alles nicht so schlimm, dir ist bloss die Hardware abgeraucht“…

Anwendung von Laufwerk-Images den Vorzug geben. Diese ist in
den meisten Fällen auch für Otto Normalo preiswerter, oft
sogar kostenlos und schneller realisierbar, als
hochkomplizierte Sicherheitslösungen mit sonst was. Die HD’s
geben das heute auf alle Fälle her.

Dem ist nichts hinzuzufügen.

Gruss
Schorsch