Support-Forum Mirko Böer Softwareentwicklungen

Jetzt plötzlich, nach dem Booten des PCs, meldet AVG 8 den Trojaner:

\" Trojan horse small.AOQ\", Datei … Drivers\"mchInjDrv \".

Weitere Meldung: Kann nicht gelöscht (beziehungsweise repariert) werden.

Das Besondere:

Wenn der 0190 Warner nicht im Autostart aktiviert ist, erfolgt diese AVG 8. Meldung nicht.

Weiterhin: beim Scannen mit AVG 8 und mit Virus Keeper 2008 erfolgt keine Trojaner-Meldung.

Mit dem \"OK\" im Beitrag vom 19.7.07 13:26 Uhr erfolgt quasi die Bestätigung?

Nicht anzunehmen das nicht bekannt war dass dieser Driver in \"Code von madshi.net\" enthalten ist oder?

Gruß
Manfred

OK also es gehört zum 0190 Warner ist aber kein Rootkit. Dieser \"Treiber\" wird beim Windows-Start bzw. Start des 0190 Warner erstellt und danach wieder gelöscht. Ist im Falle des 0190 Warner völlig ungefährlich und wird gebraucht um den Dialerschutz zu erstellen.

Hallo Mirko,

danke für Deine Antwort.

Was sagt es Dir denn? Was sagt der Registry-Eintrag über die Verwendung dieses \"Injektors\"?

Bei AntiVir brauchst Du nicht nachzufragen, die haben das wie gesagt wieder rausgenommen:

Zitat Kate:
>> Die plötzliche Virenmeldung lag daran, dass die Leute von AntiVir die betreffende Kennung in ein Update eingebaut haben. Grundsätzlich kein Nachteil, da es ja eine potenziell gefährliche Datei ist. Sie haben es wieder rausgenommen, weil es so oft Fehlalarm macht. <<

Ich habe von daher auch keine Virenmeldung mehr und möchte wie gesagt nur gern wissen, wie die Datei mchInjDrv.sys auf meine Festplatte kam! Denn ich weiß bis heute nicht, ob ich mir da ein Rootkit eingefangen habe oder nicht. Du hattest ja gesagt, der 0190-Warner verwendet sie nicht.

Hast Du denn einen Tipp, wie ich herausfinden kann, ob eines meiner Progamme, Plug-Ins etc. diese Datei verwendet? Bisher funktioniert augenscheinlich alles, obwohl ich die Datei verschoben habe.

Gruß
Kate

Mir sagt das was. Ich nutze Code von madshi.net im 0190 Warner, der natürlich auch Injection-Code nutzt, sonst würde das mit dem Abfangen der Einwahlprogramme gar nicht funzen. Der Code von madshi.net wurde auch schon in Trojaner usw. missbraucht, daher hat der \"Boss\" von madshi.net die Freeware-Variante eingestellt. Ist natürlich möglich, dass jetzt Antivir die Sache in die Signatur aufgenommen hat und damit beim Windows-Start die Sache als Rootkit erkannt wird. Ich frage ihn mal.

Danke für Eure Antworten

Hallo Dali,

ich surfe mit DSL und faxe (gelegentlich) analog. Dafür aktiviere ich jeweils den 0190-Warner. Das zu Deinen Punkten 1,2,4.

Zu 3: Es ist wie gesagt ein Treiber (genauer gesagt ein \"Injektor\"), der von \"guten\" wie \"bösen\" Programmen (z.B. Rootkits) genutzt wird, ein recht bekanntes und wohl viel genutztes Ding. Gerade deshalb ist es schwierig, nachzuvollziehen, wie(so) der auf meinen Rechner kam.

Zu 5: Die plötzliche Virenmeldung lag daran, dass die Leute von AntiVir die betreffende Kennung in ein Update eingebaut haben. Grundsätzlich kein Nachteil, da es ja eine potenziell gefährliche Datei ist. Sie haben es wieder rausgenommen, weil es so oft Fehlalarm macht. Bei den ganzen Checks, die den betroffenen Leuten im AntiVir-Forum empfohlen wurden (hijackthis und noch diverse andere) haben die meisten anderen Virenschutzprogramme garnichts an der Datei bemängelt!

Dass Bitdefender gut sein soll, habe ich auch schon gehört. Und danke für Dein nettes Angebot Leider kann ich im Moment an der Stelle nicht investieren, es ist einfach nichts übrig.
---

Hallo Mirko,

dass die Datei nicht vom 0190-Warner benutzt wird, hilft mir schon mal bei meiner \"Ausschlussdiagnostik\". Danke.

Wie ich es verstanden habe, trifft das Wort \"Fehlalarm\" nicht ganz. Man müsste sagen: Es ist OFT Fehlalarm, kann aber auch gerechtfertigt sein. Leider kann kein Anti-Virenprogramm der Welt der Datei selbst ansehen, ob sie nun von den \"Guten\" (vorwiegend wohl Sicherheitsprogramme) oder den \"Schlechten\" (Rootkits mit Backdoor :erschreck: oder sonstiger Malware) benutzt wird. Wie auch - es ist ja ein und dieselbe Datei. Umso ärgerlicher, dass sie überhaupt auch zu \"guten\" Zwecken benutzt wird. Ãœbrigens u.a. von Kopierschutz-Programmen (für CD)! Im Web regen sich einige Leute mächtig darüber auf. Einige Plug-Ins scheinen die Datei auch zu nutzen, siehe hier: http://groups.google.com/group/Google-D ... bf51c368a9

Ich bin also so lange nicht wirklich beruhigt, bis ich weiß, welches meiner Programme diese Datei ggf. nutzt. Dass es ein Windows Update sein könnte ist für mich so nicht rekonstruierbar. Ich habe mein Notebook im Mai gekauft, aber mit Win XP MediaCenterEdition Service Pack 2 von 2002! Und habe da bisher keinerlei Updates draufgespielt. Möglich ist es aber natürlich schon, dass die Datei von Anfang an drauf war und erst nach einem AntiVir-Update bemerkt wurde. Interessant finde ich dann allerdings, dass es meinen Rechner bisher überhaupt nicht stört, dass ich diese Datei aus dem Drivers-Ordner rausgenommen habe.

Schaut mal hier: http://www.greatis.com/appdata/d/m/mchi ... emoval.htm

Da steht:

\"MchInjDrv.sys is a driver for injecting code to other processes.
Publisher is legitimate: http://madshi.net
But it is often used by malicious software.

Kill the file mchInjDrv.sys and remove mchInjDrv.sys from Windows startup.

Removal: mchInjDrv.sys is removed by RegRun.\"

Dieses Programm RegRun ist mir aber völlig unbekannt. Gehen die beiden Maßnahmen nicht auch ohne das Programm?
---
Habt ihr wirklich keine Empfehlung, wie sich rausfinden lässt, von was so eine .sys-Datei überhaupt genutzt wird? In die Registry habe ich geschaut, daraus werde ich aber nicht schlau. Ein Beispiel:

HKEY_CURRENT_USER\\Software\\Microsoft\\Search Assistent\\ACMru\\5603

Name: 000 Typ: REG_SC Wert: mchInjDrv.sys

Und was sagt mir das...?

Grüße
Kate

Die mchInjDrv.sys wird nicht vom 0190 Warner verwendet, auf einem meiner PCs kommt auch die Meldung vom Antivir. Das scheint meiner Meinung nach ein Fehlalarm zu sein. Ich habe die Sache nicht weiterverfolgt aber ich glaube das kommt durch eines der letzten Windows-Updates, gerade weil es eine .sys Datei ist, die sich system32/drivers Ordner befindet. In diesen Ordner dürfen zumindest unter Vista nur Programme greifen die Admin-Rechte besitzen, 0190 Warner hat diese Rechte nicht.

hab noch was vergessen:
wenn du mit dem 0190er rumfummelst, also deinst. u. so, immer sauber über systemsteuerung>software>entfernen gehen.
und nicht etwa den programmordner öffnen u. einzelne dateien löschen, dann kriegt dein pc u. du die krise

hallo,


1. gehe davon aus, dass du ins netz über analogmodem gehst.
das geht leider nicht eindeutig aus deinem post heraus. soll heißen, kein dsl mit router über lan oder wlan netzwerk.

2. egal ob analog oder digital kannst dein fax direkt in die tae dose führen,
null problemo.

3. bei der von dir angegebenen datei sollte es sich um eine systemdatei handeln. nur meinung: finger weg!, sonst könntest du mal stress mit der registry kriegen.

4. haste dsl > kein 0190 warner. selbst wenn du 2 telnr. hast (fax + fon)
brauchst natürlich bei analogem gesamtanschluß nur 1x 0190er. du merkst schon, mache bitte mal ne konkretere aussage bezüglich deiner ggrundversorgung (dsl/analog)

5. bin kein fan von av. würde dir aber raten mal ein anderes prüfprogramm zu probieren. etwa: http://www.bitdefender.de/PRODUCT-14-de ... on-v8.html
oder http://www.pcwelt.de/downloads/datensch ... heit/8061/
oder ruhig mal http://www.chip.de/downloads/c1_downloads_13011934.html

muss aber betonen, dass die bezüglich rootkits sicher nicht so toll sein werden, wenn sie überhaupt dazu in der lage sind. da kann sicher eher mirko was zu sagen.

problem is halt, dass du nicht mit einer freeware als vienprüfprogramm arbeiten kannst, wenn du alle detaillierten prüfarten haben willst.

arbeite mit bitdefender v10. habe freischaltcode für 2 nutzer. könnte dir also das programm sehr günstig zur verfügung stellen. schreib mir einfach ne pn, wenn du interesse hast, ok.

Hallo,

ich bin hier ganz neu und kein Computer-Freak, also bitte nicht schimpfen, wenn ich irgendetwas noch nicht gesehen/verstanden habe.

Ich benutze AntiVir als Virenschutz und der hat mir vor einigen Tagen ein angebliches Rootkit namens mchInjDrv.sys im Verzeichnis C:\\WINDOWS\\system32\\drivers gemeldet.

Vielleicht habt ihr das mitbekommen, denn im AntiVir-Support-Forum hat es eine Menge Staub aufgewirbelt. Inzwischen hat AntiVir diese Datei aus der Prüfung wieder rausgenommen, weil es eine Datei ist, die auch für \"gute\" Zwecke benutzt werden kann und benutzt wird. Als Beispiele wurden diverse Schutzprogramme genannt, an einer Stelle auch der 0190-Warner.

Da ich diesen nutze (für\'s Faxen über analoge Leitung) dachte ich erst, ich hätte den \"Ãœbeltäter\", denn ich frage mich natürlich schon, ob die besagte Datei auf meinem Notebook nun für\"gute\" oder \"böse\" Zwecke genutzt wird.

Habe probeweise 0190-Warner deinstalliert, sie war noch da. Habe sie verschoben (hätte ja sein können, dass sie beim Deinstallieren einfach nicht gelöscht wurde). 0190-Warner neu installiert, sie tauchte NICHT wieder auf in dem betreffenden Verzeichnis!

Da ich von diesen Dingen keine Ahnung habe, frage ich hier an der Quelle einfach mal nach: Nutzt der 0190-Warner diese Datei?

---

Und habt ihr vielleicht einen Tipp, wie man ganz allgemein herausfinden kann, von welchem Programm eine bestimmte Systemdatei/Treiber genutzt wird, wozu sie sich überhaupt auf dem Rechner befindet?

Würde mich über eine Antwort freuen, danke!
Kate