Hallo,

gestern wurde bei der vollständigen Systemprüfung ein Backdoor.PCclient.B von Norton InternetSecurity 2006 gefunden, zwar wurde dieser laut Protokoll isoliert und entfernt, aber um sicher zu sein, möchte ich Euch bitten, Euch folgendes HijackThis Logfile anzuschauen:

*******************
Logfile of HijackThis v1.99.1
Scan saved at 10:07:30, on 24.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\DeTeWe\OpenCom 20\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: CAPIControl.lnk = C:\Programme\DeTeWe\OpenCom 20\Capictrl.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - h**p://216.65.38.226/Download_Plugin.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
***************

Herzlichen Dank im Voraus !
dinahmight

Zitat:

Zitat von dinhmight

gestern wurde bei der vollständigen Systemprüfung ein Backdoor.PCclient.B von Norton InternetSecurity 2006 gefunden, zwar wurde dieser laut Protokoll isoliert und entfernt, ...

Bitte genaue Meldung posten!

Wenn der Schädling aktiv war, dann befolge direkt die Anleitung zum Backdoor entfernen in meiner Signatur.

Edit: Moin Moin Rene-Gad.

Gruß
Yopie

@dinhmight

Zitat:

gestern wurde bei der vollständigen Systemprüfung ein Backdoor.PCclient.B von Norton InternetSecurity 2006 gefunden

Wo?

Zitat:

Goldene Regel 5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören .... Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Grundsätzlich hilft gegen einen aktiven Backdoor nur das Neuaufsetzen von Windows.
EDIT: Servus Yopie

Hallo und erstmal Danke für die schnelle Rückmeldung.

In der Protokolldatei von NIS2006 steht folgendes:

*******
Quelle: Manuelle Prüfung
Risikokategorie Virus
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Pcclient.B
Durchgeführte Aktion: Isoliert
Beschreibung: Betroffene Bereiche:
1 Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cusbohcn.sys - Isoliert
*******

sowie:

*******
Prüfresultate:
--------------------------------------------------------------------------------
Startzeit der Prüfung23.09.2006 20:33:39
Prüfdauer: 51 Minuten 25 Sekunden

Geprüfte Elemente: 227176
Registrierungsabschnitte: 2310
Dateien: 224316
Isoliert: 1
Prozesse: 40
Stapeldateien: 7
Dienste: 498
Autostart-Programme: 3
LSP (Layered Service Provider): 2
Beseitigte Bedrohungen: 1
Details
Backdoor.Pcclient.B : Isoliert
Manuelle Prüfung
Risikokategorie Virus
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Pcclient.B
Durchgeführte Aktion: Isoliert
Beschreibung: Betroffene Bereiche:
1 Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cusbohcn.sys - Isoliert

Verbleibende Bedrohungen: 0
**********

Hallo,

gibt es eine Möglichkeit - VOR vollständig neuer Systeminstallation - über ein Tool zu überprüfen, ob der Schädling aktiv war oder nicht ?

Ich habe gestern schon nach anderen Virenprogrammen geschaut und schonmal diesen PandaActiveScan (http://www.pandasoftware.com/com/de/) drüberlaufen lassen - da wurde nichts gefunden, allerdings weiß ich auch nicht, ob dieser Scan tatsächlich aussagekräftig ist.

Sorry, für die vielleicht naive Frage, aber bislang war ich der noch naiveren Meinung , dass NIS2006 meinen PC ausreichend schützen würde - dies war offensichtlich nicht der Fall.

Ist anhand der HijackThis Logdatei denn irgendetwas zu fixen ?

Danke nochmal,
dinahmight

Hi,

Zitat:

C:\WINNT\system32\regsvc.exe

Über diesen Prozess kann auf deine Regestry über
Netzwerk zugegriffen werden. Hast du diesen Dienst
selbst gestartet? Schau mal nach, ob er immer noch läuft.

Ansonsten sehe ich nichts -> more Security please

mfg Cleriker

Hallo Cleriker,

danke für deine Antwort - ich werde das heute abend zuhause mal untersuchen.

Zum Thema "more security" - ich werde heute abend mal Spybot Search & Destroy sowie diesen escan ausprobieren, um zu schauen, ob der Schädling sich vom Acker gemacht hat. Falls nicht plätte ich den PC und setz alles neu auf (wie hier im Forum beschrieben).

Dann werde ich NIS2006 in die Tonne kloppen (habe das passende Removal Tool schon gefunden :aplaus: ) und stattdessen AntiVir und ZoneAlarm installieren. Fielen diese beiden Tools deiner Meinung nach unter "more Security" oder gibt es andere, die besser sind ?

Zumindest weiß ich jetzt dass Norton die falsche Entscheidung war.

Zitat:

Zitat von dinhmight

Dann werde ich NIS2006 in die Tonne kloppen (habe das passende Removal Tool schon gefunden :aplaus: ) und stattdessen AntiVir und ZoneAlarm installieren. Fielen diese beiden Tools deiner Meinung nach unter "more Security" oder gibt es andere, die besser sind ?

Du sitzt einem gefährlichen Irrtum auf, wenn du denkst, du könntest dich mit dem Installieren von Software schützen.

Schau in die Pflichtlektüre in meiner Signatur!

Gruß
Yopie

Hallo Yopie,

Zitat:

Du sitzt einem gefährlichen Irrtum auf, wenn du denkst, du könntest dich mit dem Installieren von Software schützen.

Schau in die Pflichtlektüre in meiner Signatur!

Glaub mir, das tue ich spätestens seit gestern abend nicht mehr. Zugegebener Maßen habe ich bislang gedacht, dass wenn ich ein "anständiges" Antivirenprogramm/Firewall habe und dazu noch ein relativ teures ist alles in Butter. Daher hab ich mich damals auch für NIS2006 entschieden weil da alles mit drin war und ich nicht selbst noch eine Firewall konfigurieren musste. Frauen und Technik halt ;-)

Zunächst geht es mir erstmal darum eine anständige Viren- bzw. Firewalllösung zu haben, die besser ist als NIS2006 - um zumindest schonmal die Tür nicht sperrangelweit offen zu haben. Das die Software nicht ausreicht, um 100%ig oder auch nur 10%ig sicher zu sein, zeigen all diese Beiträge und Eure Anleitung zum Absichern des Systems (extra Benutzerkonto, Firefox, etc.)

Ich brauche jedoch für den Anfang eine Empfehlung von jemanden der sich damit auskennt für einen NIS2006 Ersatz - denn nur "more Security" ist ein ziemlich weit gefasster Begriff.

Danke & gruß,
dinahmight

Joar,

wenn man das wieder so aus dem ganz kritischen
Hut betrachtet, ist es natürlich äußerst schwer,
seinen Rechner zu sichern, auch wenn man Yopie's
Pflichtlektüre liest.*g*

Da würde ich doch einfach mal sagen:
1. Neu aufsetzen nach den Vorgaben des Linkes in unseren Sig's
2. Antivir rauf spielen und regelmäßig updaten lassen
3. Firewall aktivieren (auch wenn's nur die von Windows ist)
4. externer Browser (z.b Mozilla oder Thunderbird) installieren
-> ebenfalls regelmäßig updaten lassen
5. Antispyware in Hinterhand behalten oder sogar installieren.
6. Pflichlektüre von Yopie lesen *g*

Mit diesen Fakten bin ich eigentlich ganz gut durchgekommen.
Die Liste kann gern aufgrund der konkreten Anfrage
verbessert oder erweitert werden.

mfg Cleriker

Eine Firewall brauchst du nicht, wenn du deine Ports durch Beenden von Diensten geschlossen hast. Siehe dafür http://dingens.org/

Als Virenscanner kann ich mangels Erfahrung mit anderen Scannern nur Avira empfehlen. Ich selbst setze aber keinen ein.

Gruß
Yopie