Hi!
Hab ein Riesenproblem ich habe mir eben gerade die Vire "Backdoor.Win32.Optix.Pro.13" eingefangen. Kaspersky hat diese in den 2 Dateien die sich im system32 Ordner befinden gefunden:
syst32cwinx2.exe
syst32xwin2.exe

Kaspersky konnte diese beiden Dateien nicht desinfizieren und konnte sie nur löschen. Nach dem löschen kann ich jedoch kein einziges Programm mehr starten. Auch nicht den Windows Explorer. Stattdessen kommt immer dieses Fenster was man kennt, wenn man auf eine Datei "Rechtsklick --> Öffnen mit..." geht.
Ich hoffe mir kann einer helfen Log file liegt bei:

Logfile of HijackThis v1.99.1
Scan saved at 22:59:59, on 03.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
d:\progra~1\pinnacle\mediac~1\epgspo~2.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
D:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\explorer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Outlook Express\msimn.exe
c:\windows\system32\syst32cwinx2.exe
C:\Programme\Hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:/Programme/AutoProxy/Mr.Brain
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [systwin32x1] c:\windows\system32\syst32cwinx2.exe
O4 - HKLM\..\RunServices: [systwin32x1] c:\windows\system32\syst32cwinx2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Radeon Omega Drivers\v3.8.205\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131117022609
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAB59349-C2DD-4AD2-9E22-B012F7EC42E1}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - d:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

*** Bitte erst noch auf Bestätigung eines anderen Forenteilnehmers warten***

Da der Backdoor bereits aktiv ist,

Zitat:

c:\windows\system32\syst32cwinx2.exe
O4 - HKLM\..\Run: [systwin32x1] c:\windows\system32\syst32cwinx2.exe
O4 - HKLM\..\RunServices: [systwin32x1] c:\windows\system32\syst32cwinx2.exe

bleibt nur noch ein Neuaufsetzen des Systems.
Bei Backdoors ist leider keine andere Massnahme sinnvoll.

Anleitung zum Neuaufsetzen gibt es hier:

http://www.trojaner-board.de/showthread.php?t=12154

Scheiße... Mit so etwas hab ich schon gerechnet.

Ich warte natürlich trotzdem noch auf eine weitere Meinung.

Du meintest: "Bei Backdoors ist leider keine andere Massnahme sinnvoll."
Meinst du damit das es Maßnahmen gibt um sie eventuell zu entfernen?

Kann ich Datenverlust erleiden wenn dieses Teil einfach aktiv lasse? Bin ich eine Gafahr für andere die sich damit noch infizieren können?
Danke für die Antworten!

Grüße
Blackman

Zitat:

Zitat von BL@CKM@N

Ich warte natürlich trotzdem noch auf eine weitere Meinung.

Ja, tue das.

Zitat:

Du meintest: "Bei Backdoors ist leider keine andere Massnahme sinnvoll."
Meinst du damit das es Maßnahmen gibt um sie eventuell zu entfernen?

Vielleicht kann man ihn entfernen. Das Problem ist, das der Backdoor Zugriff auf Deinen Rechner gestattet. Und was derjenige der unter Umständen auf Deinen Rechner zugegriffen hat, alles veranstaltet hat, weiss kein Mensch.
Fazit: Du kannst Deinem Rechner nicht mehr Vertrauen.

Zitat:

Kann ich Datenverlust erleiden wenn dieses Teil einfach aktiv lasse? Bin ich eine Gafahr für andere die sich damit noch infizieren können?

Eher nicht, der Rechner wird ja noch gebraucht. Und ja, Du bist eine Gefahr.
Zudem kannst Du in alles mögliche verwickelt werden.

Hallo BL@CKM@N,

bei einem Befall mit einem Backdoor-Trojaner ist IMHO die Einholung einer 2. Meinung überflüssig.
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

dartus

@MightyMarc

hi

Lies mal hier, wie Du Deine *.exe wieder normal starten kannst.

http://www.treiber.de/forum/topic.asp?TOPIC_ID=32355

Wenn das alles erst gerade passiert ist, Starteinträge löschen, Server.exe entfernen und ich wäre zufrieden, wenn es mein Rechner wäre.

@MightyMarc,
eigentlich kann man seinem Rechner nie vertrauen, denn AV-Programme finden nun wirklich nicht alles, aber das nur nebenbei.

Boar VIELEN VIELEN DANK Heike!!!!!
Der Rechner läuft erstmal wieder ganz normal :-) Jetzt heisst es nur noch die restlichen Spuren wegsäubern.

Ich besitze ja eine Firewall... Müsste diese nicht den Traffic bemerken und diesen blockieren?

Diese Datei sys... bla bla ist übriegns nichtmehr in autoruns drin.

Ich beobachte jetzt ca. seit 10 Min den Traffic... nichts ungewöhnliches, es findet kein Datenaustausch statt. Ist das Problem an sich (das andere Leute auf mein Rechner zugreifen können) nun erstmal behoben?

Grüße
Blackman

Eine Firewall ist nicht unbedingt ein Schutz, beobachte lieber mal mit Ethereal was auf deinem PC passiert, wenn kein von Dir gestartetes Programm ins Internet geht.
http://www.ethereal.com/

Vielleicht änderst Du noch Deine Passworte und dann beschäftige Dich mal etwas "tiefer" mit Sicherheit. Dann bist wohl mit einem blauen Auge davongekommen.

Hehe naja vielleicht konnte sich das scheiss Backdoor Teil nmicht groß ausbreiten. Ich hab sofort gehandelt und unter prozesse den prozess beendet und sofort einfach mal mit kaspersky den ordner system32 gescannt. Beide Dateien rausgelöscht und dann war erstmal sense... :-P

Das Programm war vielleicht 3-4 Sek. Aktiv. Mit der Sygate Firewall hab ich den scheiss Teil gleich das Inet blockiert...

Ethareal kann ich auch nochmal ausführen. Hab aber schon Smartsniff 10 min. offen gelassen. kein traffic... so wies auch die Firewall anzeigt. Ich glaube ich habe das Teil besiegt. Habe manuell alle Schlüssel aus der Registry entfernt die mit syst32cwinx2.exe oder ähnliches beginnen. Waren nur 2 Schlüssel.

Kaspersky eben auch rübergeschickt alles tutti. Hier nochmal ein Post der HijackLog, wo man erkennt das die Datei nichtmehr ausgeführt wird.

Vielen Vielen Dank nochmal für alles

Logfile of HijackThis v1.99.1
Scan saved at 01:56:25, on 04.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Radeon Omega Drivers\v3.8.205\ATI Tray Tools\atitray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Yahoo!\Messenger\YPager.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:/Programme/AutoProxy/Mr.Brain
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Radeon Omega Drivers\v3.8.205\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131117022609
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAB59349-C2DD-4AD2-9E22-B012F7EC42E1}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - d:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Zitat:

Wenn das alles erst gerade passiert ist, Starteinträge löschen, Server.exe entfernen und ich wäre zufrieden, wenn es mein Rechner wäre.

Damit wäre ich nicht zufrieden! Selbst Sekundenbruchteile können ausreichen ein System entspr. anzupassen!

dartus

OK der Schein trügt. Wenn ich auf Systemsteuerung gehe öffnet sich der Explorer. Viele Verknüpfungen sind zerstört. (zum Beispiel die vom Geräte-Manager)

Das ist mir jetzt alles zuviel Aufwand, ich stell jetzt mein Acronis True Image 9 Backup wieder her -.-

Grüße
Blackman

dann hast du sicherlich zu viel gereinigt.

Acronis True Image 9 Backup <-- ist eine sehr gute Lösung.

Hehe Joa! Ich habe Glück hab das Backup am 22. Januar gemacht und funzt einwandfrei.

Nur Pro Evolution Soccer 5 muss ich wieder installieren ansonsten alles noch drin