Hallo Boardies,

heute meldete mir das GData AVK folgendes :

Beim Öffnen der Datei "C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP566\A0085978.exe" wurde der Virus "Backdoor.Win32.SdBot.awq" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Ich habe nochmal spybot, ad-awre und asquared laufen lassen, Ergebnis Null, deshalb bitte ich mal um Überprüfung meines Log-File. Vielleicht findet ihr ja ne Schwachstelle...

Logfile of HijackThis v1.99.1
Scan saved at 13:46:44, on 25.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
C:\WINDOWS\system32\E_S00RP2.EXE
C:\Programme\MySQL\bin\mysqld-nt.exe
C:\WINDOWS\system32\SAgent4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\T-Com\T-Sinus 154data II\PRISMSVR.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\MySQL\bin\winmysqladmin.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\a-squared Free\a2free.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\avk.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\Download\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yakumo.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oemxyz.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {60DF4425-F36F-42D7-AECF-A409EBE4558C} - C:\Programme\SimonTools\CyberGhost\tbcghost.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} - C:\Programme\SimonTools\CyberGhost\tbcghost.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\T-Sinus 154data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Startup: EMAIL Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\MySQL\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124957868703
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF9D47E8-1687-4BE6-92A7-E09B478D3B87}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySql - Unknown owner - C:/Programme/MySQL/bin/mysqld-nt.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Über eine baldige Nachricht würde ich mich freuen...

FishHunter

Hi,

eigentlich ist es bei einem Befall durch einen Bagdoor-Trojaner
höchste Eisenbahn, das System neu aufzusetzen, jedoch kann
man aus dem Log-File keine Schäden erkennen.
Musst du selbst wissen:
Falls du großen Wert auf zukünftige Sicherheit legst,
wäre eine Neuauflage angebracht.
Falls nicht -> tu'es nicht

mfg Cleriker

Zitat:

Zitat von Cleriker

Hi,

eigentlich ist es bei einem Befall durch einen Bagdoor-Trojaner
höchste Eisenbahn, das System neu aufzusetzen, jedoch kann
man aus dem Log-File keine Schäden erkennen.
Musst du selbst wissen:
Falls du großen Wert auf zukünftige Sicherheit legst,
wäre eine Neuauflage angebracht.
Falls nicht -> tu'es nicht

mfg Cleriker

Grüße nach Bernau!
Vielen Dank für die schnelle Nachricht, obwohl Sie mir heftige Bauchschmerzen verursacht. Leider bin ich nicht der Crack, der das mal eben schnell macht, ohne die Angst zu haben, wichtige Daten zu vermasseln.
Ich hatte gehofft, ich würde die Mitteilung bekommen, dass vielleicht der Backdoor vor aktiv-werden gelöscht worden ist. Könnte das sein (hoff)

Viele Grüße...

Hijep,

jap das könnte durch aus sein.
Aber, wie gesagt, das Risiko besteht.
Konnte der Trojaner schon zugreifen
oder hast du ein Verbot des Zugreifens
im Vorhinein ausprechen können?

mfg Cleriker

Mahlzeit,

was Dir AVG Meldet ist "nur" die Systemwiederherstellung.
Deaktiviere diese, Starte den Rechner neu und aktiviere sie anschleißend wieder!

Muss da mal Cleriker recht geben.....normal sollte bei einem Backdoor befall der Rechner Platt gemacht und kopmlett neu gemacht werden.

Allerdings stellt sich auch mir die Frage, ob das Teil aktiv war.
Habe zwar Dein Log jetzt net angesehen, aber mache mal nen eScan....
eScan mit Anleitung .
Bitte genau Lesen und das Ergebnis mit Hilfe der find.zip ( Punkt 5 der Anleitung ) Posten!


Gruß Mellosun

Zitat:

Zitat von Mellosun

Mahlzeit,

was Dir AVG Meldet ist "nur" die Systemwiederherstellung.
Deaktiviere diese, Starte den Rechner neu und aktiviere sie anschleißend wieder!

Muss da mal Cleriker recht geben.....normal sollte bei einem Backdoor befall der Rechner Platt gemacht und kopmlett neu gemacht werden.

Allerdings stellt sich auch mir die Frage, ob das Teil aktiv war.
Habe zwar Dein Log jetzt net angesehen, aber mache mal nen eScan....
eScan mit Anleitung .
Bitte genau Lesen und das Ergebnis mit Hilfe der find.zip ( Punkt 5 der Anleitung ) Posten!


Gruß Mellosun

AVG ist glaub ich was anderes oder? ich meinte AVK von GDATA.
escan habe ich versucht nach entpacken zu installieren und siehe da, es kommt da schon die Meldung:

Beim Schließen der Datei "F:\Download\mwav\mexe.com" wurde der Virus "BehavesLike:Win32.FileInfector" von der Engine "BDF" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.
Beim Schließen der Datei "F:\Download\mwav\mwavscan.com" wurde der Virus "BehavesLike:Win32.FileInfector" von der Engine "BDF" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Was bedeutet das nur???

Zitat:

Zitat von FishHunter

AVG ist glaub ich was anderes oder? ich meinte AVK von GDATA.

Ja...Tipfehler...sorry!

Zitat:

Zitat von FishHunter

escan habe ich versucht nach entpacken zu installieren und siehe da, es kommt da schon die Meldung:

Du sollst nichts Installieren.......
Die exe entpacken.....Updaten...im Abgesicherten Modus Scannen....
Notfalls AVk mal auschalten wenn im abgesicherten Modus auch die meldung kommt! Das Programm ist 100%ig sauber wenn du es von der Original Seite hast!

Gruß Mellosun

Oki, dann mach ich mich mal ans werk...
Danke vorerst, ich meld mich dann.

Hallo Mellosan,

ich bzw. der Rechner waren fleissig, hier nun die Auswertung:

Ist es das, was uns weiterbringt?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Sep 25 15:43:36 2006 => Object "toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 25 15:43:50 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Mon Sep 25 15:44:08 2006 => Object "toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 25 15:49:02 2006 => Object "toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 25 15:49:03 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Mon Sep 25 15:49:05 2006 => Object "toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Sep 25 15:43:12 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\download\phpmyadmin-2.6.4-pl1\phpmyadmin-2.6.4-pl1\libraries\dbi
Mon Sep 25 15:43:50 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
Mon Sep 25 15:44:08 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\download\phpmyadmin-2.6.4-pl1\phpmyadmin-2.6.4-pl1\libraries\dbi
Mon Sep 25 15:49:02 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\download\phpmyadmin-2.6.4-pl1\phpmyadmin-2.6.4-pl1\libraries\dbi
Mon Sep 25 15:49:03 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
Mon Sep 25 15:49:05 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\download\phpmyadmin-2.6.4-pl1\phpmyadmin-2.6.4-pl1\libraries\dbi
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Sep 25 15:47:22 2006 => Total Errors: 119
Mon Sep 25 17:34:52 2006 => Total Errors: 439
Mon Sep 25 15:47:22 2006 => Time Elapsed: 00:05:27
Mon Sep 25 17:34:52 2006 => Time Elapsed: 01:46:18
Mon Sep 25 15:47:22 2006 => Total Objects Scanned: 23949
Mon Sep 25 17:34:52 2006 => Total Objects Scanned: 214270
Mon Sep 25 15:15:14 2006 => Virus Database Date: 9/21/2006
Mon Sep 25 15:28:49 2006 => Virus Database Date: 9/25/2006
Mon Sep 25 15:41:31 2006 => Virus Database Date: 9/25/2006
Mon Sep 25 15:47:22 2006 => Virus Database Date: 9/25/2006
Mon Sep 25 15:48:02 2006 => Virus Database Date: 9/25/2006
Mon Sep 25 17:34:52 2006 => Virus Database Date: 9/25/2006
Mon Sep 25 20:01:21 2006 => Virus Database Date: 9/25/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Temp\MWAV.LOG
--------------------------------------------------

Ich hab auch gleich noch im abgesicherten Modus die üblichen Programme durchlaufen lassen, alles sauber meinen diese.
Hoffentlich gibts keine vernichtenden Neuigkeiten...
<<<erwartungsvoll guck

Morgen,

Lade und Update Ad-aware und Spybot und lasse die Programme laufen.
hier
Lade auch Ewido . Update auch dieses und lasse es laufen. Lösche alles, was von den Programmen gefunden wird.
Installiere Cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
hier


Poste dannach ein neues LOG ind mache nochmals den eScan....sollte dann baer sauber sein!

Gruß Mellosun