Gugugs ihr Lieben,

ich hab hier von einem Freund den Log vom HiJackThis,er bekam eine Wurmmeldung von seinem Kasperskyvirenscanner

Hier erst einmal den Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:09:12, on 15.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Overnet\overnet.exe
C:\Programme\Native Instruments\Traktor DJ Mixer\TraktorDJ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1145715367468
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.com/de/download/NpFp415.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)


Nun zum Problem :

Gibt es für den Backdoor.Win32.VB.asy ein Removaltool??Wenn ja,wo find ich den?? Bei Google find ich nix oder aber ich bin doch Plond
Vielleicht kann eine/r von euch mir helfen?? Wäre klasse von euch

Ein dickes Danke schon mal im voraus

Grüßele Shadow

@Shadoweye

Zitat:

Gibt es für den Backdoor.Win32.VB.asy ein Removaltool?

Jain, wie gegen jeden Backdoor: Removal Tool können einen Backdoor grundsätzlich nicht beseitigen.

Zitat:

You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.

Quelle
BTW:

Zitat:

Goldene Regel 5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören..... Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Ok,ich probiers mal,ob ich es auf die Reihe kriege

Der Rechner selbst macht keine Anstalten,meine damit,kein Aufhängen oder Einfrieren oder dergleichen.
Das einzige,was mein Freund gemacht hatte,war ein Virenscan zu machen,was er jede Woche einmal macht.
Dabei hat er den Backdoor gefunden,hab nachgeschaut,was dieser Backdoor macht.
Der Backdoor.Win32.VB.asy greift nur die Exe Dateien an,soweit ich das nu gelesen habe bei AntivirusLab ( http://www.antiviruslab.com/descript...341675&lang=de )

Versteh ich das so,das man die Kiste Neuaufsetzen sollte?? Hoffentlich nedd

Trotzdem scho mal dangäää Rene-gad für deine Hilfe

Grüßele Shadow

@Shadoweye.

Zitat:

Dabei hat er den Backdoor gefunden

Noch mal:

Zitat:

Dazu gehören..... Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Es gibt Unterschiede: wenn Schädling in einer Zip-Datei in Temp-Ordner gemeldet wurde oder in einem Windows-Ordner.

Ups sorry,hatte ich vergessen noch mit dazu zu tippern :

Im Windows Xp Ordner wurde der Backdoor nicht gefunden,der Backdoor war auf der Festplatte M:Exen/GXT gefunden.
Die Festplatte M ist eine externe,dort speichert mein Freund alle Exendateien ab,komischerweise wurden sonst keine anderen Exen Dateien befallen,nur diese eine. *koppkratz*

Grüßele Shadow

@Shadoweye
Das ist scheinbar ein "präpariertes" Freeware-Tool für Irgendwas (frage deinen Kumpel, wo er das geholt hat) . Löschen - und tschüß.

Er sagte mir heute morgen noch,das wäre zum Mp3s umwandeln

Aber gut zu wissen,dangääää trotzdem

Grüßele Shadow

Hallo zusammen,

das Problem ist bekannt wird aber von dem Autor des Programmes gern ignoriert.

Eine Zusammenfassung findet man hier:
http://www.chip.de/c1_forum/thread.html?bwthreadid=964326

Auch eine Konfrontation des Admins mit diesem Problem:
http://www.germanixsoft.de/vbb/showthread.php?p=1471


Man beachte die unterschiedlichen Scanergebnisse des Admins und mir.
Mann könnte denken sein Ergebniss wurde manipuliert um eine möglichst geringe Erkennungsrate dahinzustellen.


Heute erhielt ich Rückmeldung von Antivir das die Datei als "BD.VB.asy" in die Erkennung aufgenommen wird.

Auch Bitdefender erkennt ihn seit heute als "Backdoor.VB.ASY".


Gruss
Rob_LD

Zitat:

Alles Signaturenbasierte Erkennungen!
Das heisst die Datei wurde von den AV Labs identifiziert und in die Virendefinition aufgenommen.

Will heißen 100% des schädlichen Codes wurde identifiziert - kein Fehlalarm.
Ich denke da will sich jemand ein bisschen Geld nebenbei verdienen, viele verkaufen gerne befallen Rechner bzw. den Zugriff an Dritte.
Dieses Programm ist als unseriös einzustufen.

Auch wenn der schädliche Code nicht direkt vom Entwickler kommt und nur die Downloadserver manipuliert worden sind, Sicherheit ist nicht mehr gegeben.

mfg,
Markus

Der Autor des GXTranscoders hat nachgebessert und die zwei Funktionen die aus der .dll verwendet wurden in das Hauptprogramm implementiert.
http://www.germanixsoft.de/vbb/showthread.php?t=377

Die "Umfangreiche" dll kann gelöscht werden.

Gruss
Rob_LD

Hallo zusammen,

hatte ebenfalls das Problem mit dem "GX Transcoder".

Ad-Aware, AntiVir wie auch Kaspersky haben den
"Backdoor.Win32.VB.asy" bei mir auf dem Rechner gefunden.

Nachdem ich nun sämtliche Foren studiert habe, weiß ich nun gar nicht mehr, ob es nun ein gefährlicher Trojaner ist oder nicht. Sollte ich mein System doch komplett neu aufsetzen oder ist es damit getan, dass ich die Datei gelöscht habe.

Systemrelevante Dateien waren nicht betroffen. Meine Festplatte ist in drei Bereiche aufgeteilt C:, D: und E:
"C" enthält die Systemrelevanten Daten
Das Programm GX Transcoder war jedoch auf "D" installiert und nur dort wurden die Funde gemeldet.
Pfad: D:\System Volume Information\_restore .....
hier die Dateien "A0028261.dll" und "A0028428.exe"

Wäre super, wenn mir jemand helfen kann, bzw. antwortet !!

Danke LG
Anke

Hallo Anke,

Zitat:

ob es nun ein gefährlicher Trojaner ist oder nicht. Sollte ich mein System doch komplett neu aufsetzen oder ist es damit getan, dass ich die Datei gelöscht habe.

Jein,
die entsprechende Datei enthielt Befehle die durch dritte hätten genutzt werden können um das System zu manipulieren.

Dies war aber nach aktuellem Kenntnisstand noch nicht der Fall.

Da die Datei bei dir in der Systemwiederherstellung sitzt musst du die selbige kurzzeitig deaktivieren um sie zu löschen.
Dazu deaktivierst du die Systewiederherstellung, startest den Rechner neu und aktivierst sie dann wieder.
Wie du das machst erfährst du hier.
http://www.systemwiederherstellung-deaktivieren.de

Schlussendlich solltest du noch die entsprechende dll aus dem GX-Transcoder Ordner löschen und die neue Version des Transcoders einspielen.
(Siehe Link in meinem vorherigem Posting)

Gruss
Rob_LD

Egal, ob nachgebessert, oder nicht. Ich hatte auch diesen Konverter. Das Vertrauen in mein System ist jetzt dahin. Eine Sauerei ist das. Ich bin gerade dabei die Daten von meinem Notebook zu sichern und dann format C:\ ...

Den GX Transcoder hatte ich über Chip.de heruntergeladen. ...

Die Arbeitszeit müsste der Programmierer mir am Besten bezahlen!

MfG

Hallo Wayne,

Zitat:

Das Vertrauen in mein System ist jetzt dahin.

Womit du 100% recht hast, somit muss jeder für sich selbst entscheiden ob er sein System platt macht.

Wie gesagt, im Moment gab/gibt es eben nur keinen Hinweise darauf das die Backdoormöglichkeit ausgenutzt wurde.

Gruss
Rob_LD

Zitat:

Da die Datei bei dir in der Systemwiederherstellung sitzt musst du die selbige kurzzeitig deaktivieren um sie zu löschen.
Dazu deaktivierst du die Systewiederherstellung, startest den Rechner neu und aktivierst sie dann wieder.
Wie du das machst erfährst du hier.
http://www.systemwiederherstellung-deaktivieren.de

Hallo Rob_LD,

vielen Dank für deine Antwort!! Hoffe ich bekomme das mit der Systemwiederherstellung hin. Werde mir den Link gleich mal zu "Gemüte führen".
Den GX Transcoder hatte ich im übrigen eh direkt deinstalliert und das Programm kommt mir auch nicht mehr auf den Rechner (Sauerei)

Gruß
Anke