Was macht ccproxy.exe?

Lady_in_blue · 26. September 2006 um 15:48

Hallo,
hätte da mal eine Frage:
was macht ccproxy.exe genau?

Hab mit Sophos auf einem Rechner den Virus Troj/ServUGen in eben dieser Datei (c:\winnt\system32) gefunden. Sophos sagt, der wäre nicht tragisch, kann die Datei aber nicht löschen.
Habe den Rechner im abgesicherten Modus gestartet und diese Datei gelöscht (noch im Papierkorb, glaub ich).
Bevor ich sie ganz lösche - was macht die Datei? Braucht man sie unbedingt?

Soweit ich weiß, ist auf dem Rechner kein Norton und kein Symantec installiert, ich kann mich aber täuschen.

Danke schon mal für die Antworten.

Grüße
Ulli

Insulin_941328 · 26. September 2006 um 15:59

http://www.google.de/search?hl=de&q=ccproxy.exe&btnG…

FG Insulin

Lady_in_blue · 26. September 2006 um 16:29

http://www.google.de/search?hl=de&q=ccproxy.exe&btnG…

FG Insulin

Da hab ich natürlich schon geschaut, aber ich finde da nur Hinweise auf Symantec und Norton.
Was aber, wenn die nicht auf dem Rechner installiert sind?

Ulli

Schorsch_de7743 · 26. September 2006 um 16:33

Bevor ich sie ganz lösche - was macht die Datei? Braucht man
sie unbedingt?

Systembestandteil ist sie nicht. Wenn du sichergehen willst, checkst du die Datei halt mit anderen Scannern gegen. Z. B. indem du sie an http://www.virustotal.com/en/indexx.html schickst.

Soweit ich weiß, ist auf dem Rechner kein Norton und kein
Symantec installiert, ich kann mich aber täuschen.

Dann guck doch einfach nach! Dass dein Vorgehen „Mein Scanner hat einen Virus gefunden, ich hab die Datei gelöscht, jetzt ist wieder alles Friede Freude Eierkuchen“ reichlich verantwortungslos ist, sollte allerdings noch erwähnt sein. Zumindest solltest du dir Gedanken machen, auf welchem Wege du deinen Rechner infiziert hast, und wie du derartige Vorfälle in Zukunft vermeidest.

Gruss
Schorsch

Lady_in_blue · 26. September 2006 um 16:43

Bevor ich sie ganz lösche - was macht die Datei? Braucht man
sie unbedingt?

Systembestandteil ist sie nicht. Wenn du sichergehen willst,
checkst du die Datei halt mit anderen Scannern gegen. Z. B.
indem du sie an http://www.virustotal.com/en/indexx.html
schickst.

Soweit ich weiß, ist auf dem Rechner kein Norton und kein
Symantec installiert, ich kann mich aber täuschen.

Dann guck doch einfach nach!

Möglicherweise war das irgendwann mal installiert, so einfach ist das hier nicht. (an dem Rechner sitzt nicht nur eine Person) Und für die Registry kenn ich mich nicht so gut aus; für mich offensichtlich ist es nicht installiert.

Dass dein Vorgehen „Mein Scanner
hat einen Virus gefunden, ich hab die Datei gelöscht, jetzt
ist wieder alles Friede Freude Eierkuchen“

hab ich nie gesagt, dass es damit getan ist. Ist es auch nicht, anderer Scanner läuft.

reichlich
verantwortungslos ist, sollte allerdings noch erwähnt sein.
Zumindest solltest du dir Gedanken machen, auf welchem Wege du
deinen Rechner infiziert hast, und wie du derartige Vorfälle
in Zukunft vermeidest.

Da das nicht MEIN Rechner ist, kann ich das nicht nachvollziehen, woher der Virus kam, wenn ich nicht mal was über diese Datei finde (außer, dass sie von Symantec oder so kommt, bei UNS aber infiziert ist). Und da ich eben nicht verantwortungslos bin, versuche ich es ja auf diesem Weg, nämlich irgendwo an die Infos zu kommen!

Gruss
Schorsch

Gruß
Ulli

Schorsch_de7743 · 26. September 2006 um 20:57

reichlich
verantwortungslos ist, sollte allerdings noch erwähnt sein.
Zumindest solltest du dir Gedanken machen, auf welchem Wege du
deinen Rechner infiziert hast, und wie du derartige Vorfälle
in Zukunft vermeidest.

Da das nicht MEIN Rechner ist, kann ich das nicht
nachvollziehen, woher der Virus kam, wenn ich nicht mal was
über diese Datei finde (außer, dass sie von Symantec oder so
kommt, bei UNS aber infiziert ist). Und da ich eben nicht
verantwortungslos bin, versuche ich es ja auf diesem Weg,
nämlich irgendwo an die Infos zu kommen!

Meine Bemerkung war auch nicht speziell auf dich gemünzt. Mehr so ein „Ceterum censeo…“, es lesen ja auch andere Leute mit.

Diese Datei kommt aber, wenn es sich dabei um einen Trojaner handelt, eben nicht von Symantec, sie hat lediglich einen Namen angenommen, den es auch bei Symantec-Software gibt.

Daher mein Vorschlag, dass, wenn du Grund zur Annahme hast, die Datei könnte legitimen Ursprungs sein, sie anderen Scannern vorzulegen. Besonders, da Sophos sich mit Informationen zu diesem Trojaner sehr bedeckt hält und die Meldungen anderer Scanner hier zu einem erheblichen Informationsgewinn führen könnten.

Gruss
Schorsch

Lady_in_blue · 27. September 2006 um 08:45

Hi,
ich hab gestern nochmal Sophos drüberlaufen lassen, der wollte dann die Datei aus dem Papierkorb eliminieren, hat er auch getan. Dann ist noch der Housecall drüber gelaufen, der hat diesen nicht gefunden, dafür nen anderen.
Grade läuft nochmal Sophos (bin halt leider auf den angewiesen). Leider bringt er jetzt Fehler, dass die Datei (in einem anderen Verzeichnis, hat aber alles mit ccproxy zu tun) beschädigt ist.
Hier mal ein Auszug der Report-Datei…

Fehler: Konnte C:\WINNT\system32\config\ccproxy.exe\dag\emacs-19.30.tar.gz\Gzip nicht überprüfen
Die Datei ist beschädigt.

Fehler: Konnte C:\WINNT\system32\config\ccproxy.exe\dag\fpc-1.0.10.i386.tar\binary.tar\baselinux.tar.gz\Gzip nicht überprüfen
Die Datei ist beschädigt.

Fehler: Konnte C:\WINNT\system32\config\ccproxy.exe\dag\fpc-1.0.10.i386.tar\binary.tar nicht überprüfen
Die Datei ist beschädigt.

Fehler: Konnte C:\WINNT\system32\config\ccproxy.exe\dag\fpc-1.0.10.i386.tar nicht überprüfen
Die Datei ist beschädigt.

Fehler: Konnte C:\WINNT\system32\config\ccproxy.exe\dag\linux-2.2.0.tar.bz2\Bzip2 nicht überprüfen
Die Datei ist beschädigt.

Fehler: Konnte C:\WINNT\system32\config\ccproxy.exe\dag\named-sol.tar.gz\named-sol.tar nicht überprüfen
Die Datei ist beschädigt.

Fehler: Konnte C:\WINNT\system32\config\ccproxy.exe\dag\samba-3.0.3.tar.gz\Gzip nicht überprüfen
Die Datei ist beschädigt.

Info: Sofort Auftrag abgeschlossen um 08:42 am Mittwoch, 27. September 2006
22281 Objekte geprüft, 0 Viren entdeckt, 18 Fehler

5 Objekte nicht überprüft (0 Objekte off-line, 5 Objekte kennwortgeschützt).

Keine Ahnung, ob jetzt noch Handlungsbedarf besteht, wie gesagt, ich kenn mich nicht 100%ig aus, muss das aber machen.

Grüße
Ulli

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Schorsch_de7743 · 27. September 2006 um 12:03

Grade läuft nochmal Sophos (bin halt leider auf den
angewiesen).

Wieso bist du auf den angewiesen? Wenn der eine Datei als zweifelhaft oder infiziert erkennt, kannst du diese Datei auf der Seite http://www.virustotal.com/en/indexx.html hochladen, dort bekommst du dann nach einigen Minuten einen Bericht, was 27 verschiedene andrer Scanner von dieser Datei halten.

Leider bringt er jetzt Fehler, dass die Datei (in
einem anderen Verzeichnis, hat aber alles mit ccproxy zu tun)
beschädigt ist.
Hier mal ein Auszug der Report-Datei…

Fehler: Konnte
C:\WINNT\system32\config\ccproxy.exe\dag\emacs-19.30.tar.gz\Gzip
nicht überprüfen
Die Datei ist beschädigt.

Du könntest überprüfen, ob es sich bei C:\WINNT\system32\config\ccproxy.exe um eine Datei, oder, wie der Name nahelegt, um einen Ordner handelt. Dein Betriebssystem benötigt die ccproxy auf keinen Fall und die Meldungen legen nahe, dass auch kein anderes Programm sie benötigt. Du kannst die Datei oder Ordner also bedenkenlos löschen. Sollte sie von einem noch aktiven Programm angelegt worden sein, wird dies evtl. nicht möglich sein, dann müsstest du zunächst dieses Programm identifizieren.

Insgesamt halte ich es für nicht ausgeschlossen, dass dein Scanner hier einen Fehlalarm produziert hat.

Gruss
Schorsch