Hallo luxor,

ich suche und versuche Information zu diesem => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus zu kriegen. Bis jetzt ist mir das noch nicht gelungen.

SD

Ciadoor.13 hast du dir durch Cyberstriker eingefangen!
-> http://www.antiviruslab.com/descript...151525&lang=de

btw: hab gerade bemerkt, dass er schon gesperrt ist

Hallo Shadowdance,

wie gesagt, habe ich deine Beschreibung ausprobiert. Die Beschreibung zum deaktivieren der Systemwiederherstellung haut bei mir nicht hin, weil es bei mir unter "Systemeigenschaften" überhaupt keine Registerkarte "Systemwiederherstellung" gibt. Habe XP Home Edition vielleicht liegt es daran.

Stefan

Hallo luxor,

es scheint sich hierbei um relativ neue malware zu handeln, die noch nicht allgemein bekannt ist. Sei doch bitte so nett und verpacke die gesammelten Werke der von Dir hier zitierten Viren in einen Zip-Bestand und speichere ihn entweder auf Diskette oder auf CD:

Zitat:

Sat Jan 01 15:33:49 2005 => File D:\System Volume Information\_restore{ECFBD8DB-174B-44DE-9C3E-74829FB1CA4F}\RP13\A0002524.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.
Sat Jan 01 15:33:49 2005 => File D:\System Volume Information\_restore{ECFBD8DB-174B-44DE-9C3E-74829FB1CA4F}\RP13\A0002525.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.
Sat Jan 01 15:33:50 2005 => File D:\System Volume Information\_restore{ECFBD8DB-174B-44DE-9C3E-74829FB1CA4F}\RP13\A0002526.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

Sat Jan 01 14:44:55 2005 => File C:\WINDOWS\System32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:44:56 2005 => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:44:56 2005 => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:44:58 2005 => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:44:59 2005 => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:45:00 2005 => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:46:38 2005 => File C:\WINDOWS\System32\NziLv9b679.ini infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:46:54 2005 => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:47:19 2005 => File C:\WINDOWS\System32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:48:24 2005 => File C:\DOKUME~1\ALLGEM~1\LOKALE~1\TEMPOR~1\Content.IE5 \0DIVKLYF\tbd_web[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:49:31 2005 => File C:\DOKUME~1\ALLGEM~1\LOKALE~1\TEMPOR~1\Content.IE5 \GPERKDEF\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:51:42 2005 => File C:\DOKUME~1\ALLGEM~1\LOKALE~1\TEMPOR~1\Content.IE5 \X4SJHLK9\Fix[1].exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:52:52 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DIVKLYF\tbd_web[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:53:11 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GPERKDEF\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:53:55 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X4SJHLK9\Fix[1].exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:54:35 2005 => File C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\409DAAFL\x[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:54:39 2005 => File C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F6XB82LW\dropper[1].exe infected by "Trojan-Dropper.Win32.Small.ol" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:54:39 2005 => File C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F6XB82LW\dropper[2].exe infected by "Trojan-Dropper.Win32.Small.ol" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:56:17 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:56:17 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.
Sat Jan 01 15:06:34 2005 => File C:\WINDOWS\system32\NziLv9b679.ini infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 15:07:00 2005 => File C:\WINDOWS\system32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 15:07:43 2005 => File C:\WINDOWS\system32\wsock32.sys infected by "Backdoor.Win32 ...

Melde Dich, wenn Du damit fertig bist. Solltest Du vertrauliche Information auf dem Rechner haben, lösche sie bitte oder kopiere sie auf einen anderen Datenträger um.

SD

Hi, ich kenne das Teil auch nicht, Ewido hat es nicht mal erkannt, na ich habe ja das Ding, werde mal ein wenig spielen, mal schauen, wie es gestartet wird.
Falls schon wer was Neues weiß, bitte posten.
Liebe Grüße, Charlie

Nachtrag: Ewido findet es jetzt auch, ich hatte nich das neuste update!

Shadowdance, habe mal nach den Dateien geschaut. Allerdings konnte ich nur eine einzige (wsock32.sys) der aufgeführten Dateien finden.

Stefan

Folgende Einstellungen müssen gesetzt sein, damit du Dateien finden kannst:

Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Hm, scvhost.exe ist doch agobot, oder? Da bringt das rumgedoktere nicht viel, und man sollte den Rechner lieber neu aufsetzen. IMHO.

Cobra

Zitat:

Zitat von Cobra

Hm, scvhost.exe ist doch agobot, oder? Da bringt das rumgedoktere nicht viel, und man sollte den Rechner lieber neu aufsetzen. IMHO.

In diesem Fall ist es kein Agobot, sondern eben diese(r) Ciadoor. Mit dem formatieren geb ich dir Recht, hat aber SD auch schon in Post #14 geschrieben.

mfg Haui

Zitat:

Zitat von Haui45

In diesem Fall ist es kein Agobot, sondern eben diese(r) Ciadoor.

So nennt ihn zumindest Kaspersky. Aber eine Backdoor ist eine Backdoor ist eine Backdoor.

Zitat:

Mit dem formatieren geb ich dir Recht, hat aber SD auch schon in Post #14 geschrieben.

Jo, hab ich gesehen. Sie ist für meine Begriffe bei diesen Dingen aber noch etwas zu liberal.

Cobra

Na gut, dann machen wir es nochmal ein bisschen deutlicher


Bei einer Infektion des Systems mit einem Backdoortrojaner ist die einzige Möglichkeit, um wieder einen vertrauenswürdigen Zustand herzustellen die, das System neu aufzusetzen -> http://www.trojaner-board.de/showpos...8&postcount=2]
Lutz über Datensicherung
Pflichtlektüre
Über die Entfernung von Schädlingen
Bitte beim formatieren an die verlinkte Anleitung halten.

@luxor
ie gesagt, habe ich deine Beschreibung ausprobiert. Die Beschreibung zum deaktivieren der Systemwiederherstellung haut bei mir nicht hin, weil es bei mir unter "Systemeigenschaften" überhaupt keine Registerkarte "Systemwiederherstellung" gibt. Habe XP Home Edition vielleicht liegt es daran.
kuckst du hier
Deaktivierung der Systemwiederherstellung von Windows XP:

Das geschieht in folgenden Schritten.

1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen.

chaosman

Hallo Cobra,

Du hast vollkommen recht. Der Rechner muss formatiert und neu aufgesetzt werden. Es wäre aber gut, wenn wir dieses Paket Malware sicherstellen könnten. Meiner Ansicht gehört diese ganze Virenansammlung auf diesem Rechner zu diesem neuen Backdoor. Sowie luxor diese gesamte malware gezipt hat, müssen wir ihm erklären, wie er seinen Rechner formatieren muss und was er zu tun hat .. es steht ja schon in meinem Posting, weiter oben.

Da fehlt allerdings noch der Hinweis von Lutz zur Datensicherung. Und hier der Hinweis, wie man formatiert.

Backdoor.Win32.Ciadoor.13 ist aber - meiner Ansicht - nicht das gleiche wie Backdoor.Agobot.ID.

SD

Zitat:

Zitat von Shadowdance

Backdoor.Win32.Ciadoor.13 ist aber - meiner Ansicht - nicht das gleiche wie Backdoor.Agobot.ID.

Das ist sicher richtig, ändert aber nichts an meiner Feststellung. Zumindest solange wir nicht definitiv wissen, daß Ciadoor nur ein kleiner bunter Luftballon ist.

Ansonsten war Dein Post vorbildlich. Nur ein wenig härter mußt Du noch werden.

Cobra

*lach* ... danke für Dein Lob @ Cobra.

Trotzdem wäre es gut, wenn diese Malware in ihrer Gesamtheit als Zip-Bestand erhalten bliebe.

Übrigens nehme ich an, dass es sich um einen sehr gefährlichen Backdoor handelt. Luxor hat geschrieben: "Die Beschreibung zum deaktivieren der Systemwiederherstellung haut bei mir nicht hin, weil es bei mir unter "Systemeigenschaften" überhaupt keine Registerkarte "Systemwiederherstellung" gibt. Habe XP Home Edition vielleicht liegt es daran." Ich nehme an, das ist eine der Auswirkungen dieses neuen Backdoors?

SD