hi

habe scheinbar den im titel genannten backdoor aufm rechner. problem is nur ich finde ihn nicht wirklich.. habe als AV-software kaspersky AV. wenn ich den durchlaufen lasse findet er nichts. nur der realtime scan findet hin und wieder eine datei die angeblich mit dem backdoor infiziert is. die datei kann laut kasperksy nicht gelöscht werden, ist aber nach der meldung trotzdem weg.

spybot s&d findet auch nichts und der trendmicro online scan (housecall) hat nur ne spyware gefunden und entfernt.

nun weiss ich leider nicht was ich sonst noch machen sollte. irgendwie is der backdoor da aber irgendwie nicht...

hab mal HijackThis durchlaufen lassen. hier die log:

C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lance1\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1126359328296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126359314296
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9612B13-E5E5-4A7D-8018-74C5C5657A2C}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

vielleicht kann mir ja einer von euch weiterhelfen.

Hallo !

Das Logfile hat so nicht viel sinn, es fehlen die Systeminformationen und die Version von Hijackthis, ebenso ein paar Zeilen der aktiven Prozesse, also zurück an den Start.

poste bitte das ganze logfile,sonst kann man dir hier nicht helfen
lg heli
und falls du wirklich diesen schädling in deinem system hast,setz dein system gleich neu auf hier eine anleitung
www.trojaner-board.de/showthread.php?t=12154

Logfile of HijackThis v1.99.1
Scan saved at 10:25:45, on 10.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KeirNet\K9\K9.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lance1\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1126359328296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126359314296
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9612B13-E5E5-4A7D-8018-74C5C5657A2C}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

so das is nu alles was inner logfile steht. ich glaub ich werd aber trotzdem neu aufsetzen.. hab ich zwar gestern gemacht und den schädling bekommen aber jetz hab ich die aktuellen updates.

@damike

Zitat:

. hab ich zwar gestern gemacht und den schädling bekommen aber jetz hab ich die aktuellen updates.

Aus deinem Log ist es kaum zu sehen:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

SP2 wäre aktuell.
BTW: Der Log sieht sauber aus. Kannst du die Virus-Meldung von KAV genau aufschreiben (mit dem Pfad und Virusnamen)?

hab die logfiles vom kaspersky nichtmehr. hab grad neu formatiert. jedenfalls wars immer ein andrer name von einer exe. keine richtige bezeichnung sondern nur irgendwelche buchstaben. die datei war immer im ordner win/system32.
bei der kaspersky meldung hab ich dann auf "datei löschen" geklickt aber das ging laut kaspersky nicht weil ich die rechte dazu net habe (war aber als admin eingeloggt). die "schädlingsdatei" war aber trotzdem weg.

naja jedenfalls is das sys jetz wieder neu und momentan is nix von nem schädling zu erkennen. falls sich doch noch was ändert meld ich mich wieder.

Ich hoffe, dass du dir die o.g. Anleitung um Neuaufsetzen zu Herzen genommen hast.

ne.. habs mir net durchgelesen. hab aber bis jetz keine probs und auch keine fehlermeldungen. das sys scheint wieder clean zu sein.

SP2 würde ich dir noch empfehlen,sonst sehen wir uns hier bald wieder
lg heli