Hallo Forengemeinde,

nachdem ich zu meinen Backdoors (siehe Threadüberschrift) kaum etwas im Netz gefunden habe, möchte ich kurz meine Erfahrung dazu berichten (zu alrs.exe steht noch überhaupt nichts im WWW).

Also, das inzwischen schon von mehreren Benutzern altbekannte Spiel ging auch bei mir los. Das AV-Proggie erkannte, dass rasmed.exe und dreve.exe böse sind und wollte sie löschen. Der Delete-Befehl griff aber ins Leere. Nur die zu den Progs dazugehörige install.bat (WinNT/System32/Com/install.bat) konnte ich ausfindig machen.
Alle bisher bekannten Gegenmaßnahmen (Cleanup, datfindbat) bescheinigten mir ein sauberes System. Nix mit "die letzten 3 Monate kopieren" - sondern alle Partitionen waren clean (nach Ausführung von Cleanup). Auch ein scan durch Ad-Aware brachte nichts.

Die/das Backdoor griffen immer wieder auf meine Netzverbindung zum Internet zu und ich konnte nur noch das Netzwerkkabel aus meinem Router entfernen.

Auch ein AV-Scan von einem anderen gestarteten Betriebssystem, brachte zwar 2 verdächtige Dateien aber diese beiden hatten nichts mit meinem Problem zu tun.

Also Handarbeit war angesagt (eine Neuinstallation schließe ich erstmal aus - ehrlich gesagt kann ich diesen Angriff auch nicht so richtig einschätzen -> gefährlich / oder Kids hatten Langeweile).

...also habe ich mein letztes Image (gesichert auf externer Festplatte) mal mit meinem jetzigen OS verglichen. Ich hätte nicht gedacht, dass das so einfach wäre. Nach 5 Minuten suchen, war Ruhe im Karton. Habe nur die neuesten angelegten Files mit meinem Backup verglichen - und siehe da: alrs.exe (Eigenschaften: schreibgeschützt, Archivbit, Systemdatei, versteckt) war der Übeltäter. In der Registrie hat er sich verewigt unter "Windows Als Service". Habe das Teil erst mal nur umbenannt und ich hatte nach Neustart wieder Ruhe.

...was ich absolut nicht verstehen:
Die AV-Progs finden Backdoors mit irgendetwas von Crypt (also verschlüsselt), aber die alrs.exe finden sie nicht. Sind die echt so naiv, und man braucht nur das Versteckt-Bit setzen und hat damit jedes AV-Prog ausgehebelt?

In der alrs.exe steht nämlich volgendes drin "This programm protected with UNREGISTERED copy of EXECryptor". Also ich kenn kein normales Prog, welches den Inhalt seiner Dateien verschlüsselt. Und schon gar nicht mit einer "Demoversion" von einem Cryptproggi.

..naja lange Rede - kurzer Sinn: Ich bin den Plagegeist los. Ich wollte nur zu dem alrs.exe mal etwas schreiben, weil ich dazu im Netz noch überhaupt nichts gefunden hab. Und da dies ein grosses Board ist, hoffe ich anderen damit ein wenig geholfen zu haben (falls sie auch mal dieses Prob haben und nach dreve.exe und rasmed.exe googlen).


PS: An der Misere bin ich selber schuld. Habe durch einen Fehler meinen Router weit offen gelassen. Port 22 bis 10022 waren freigegeben (habe vergessen die 100 auch vor den ersten Eintrag zu setzten). Binnen 4 std. war ich infiziert.


-volker-

Zitat:

Zitat von Volker S

Alle bisher bekannten Gegenmaßnahmen (Cleanup, datfindbat) bescheinigten mir ein sauberes System.

Was soll den alle bekannten Gegenmaßnahmen heißen? Wie kann dir CleanUp ein sauberes System bescheinigen? Das räumt nur deine temporären Dateien.
Datfind.bat bescheinigt auch gar nichts. Weder positiv noch negativ.

Zitat:

Die/das Backdoor griffen immer wieder auf meine Netzverbindung zum Internet zu und ich konnte nur noch das Netzwerkkabel aus meinem Router entfernen.

Backdoor=schlecht. Dazu gleich mehr, aber das Netzwerkkabel zu ziehen war sicherlich eine gute Idee.

Zitat:

Auch ein AV-Scan von einem anderen gestarteten Betriebssystem, brachte zwar 2 verdächtige Dateien aber diese beiden hatten nichts mit meinem Problem zu tun.

Kann ich nicht beurteilen, da du nichts über die Dateien preisgibst (Pfadangabe, genaue Meldung des AVs, welches AV den überhaupt?).

Zitat:

Also Handarbeit war angesagt (eine Neuinstallation schließe ich erstmal aus - ehrlich gesagt kann ich diesen Angriff auch nicht so richtig einschätzen -> gefährlich / oder Kids hatten Langeweile).

Backdoorbefall bedeutet ohne hinreichende Fachkenntnis Neuaufsetzen. Des weiteren kommen bei einem ordentlich gepatchten System Backdoors auch nicht durch Zauberei auf den Rechner, sondern es geht zumeist ein Fehlverhalten des Users voraus.
Grundsätzlich ist jeder Backdoorbefall als gefährlich anzusehen, Stichwort Kompromittierung

Zitat:

...also habe ich mein letztes Image (gesichert auf externer Festplatte) mal mit meinem jetzigen OS verglichen. Ich hätte nicht gedacht, dass das so einfach wäre. Nach 5 Minuten suchen, war Ruhe im Karton. Habe nur die neuesten angelegten Files mit meinem Backup verglichen - und siehe da: alrs.exe (Eigenschaften: schreibgeschützt, Archivbit, Systemdatei, versteckt) war der Übeltäter. In der Registrie hat er sich verewigt unter "Windows Als Service". Habe das Teil erst mal nur umbenannt und ich hatte nach Neustart wieder Ruhe.

Solltest du ein sauberes Image darufgespielt haben ist alles OK. Ist dem nicht der Fall, ist dein Problem sicherlich nicht behoben, sondern nur Symptome kuriert, siehe oberer Link.

Zitat:

...was ich absolut nicht verstehen:
Die AV-Progs finden Backdoors mit irgendetwas von Crypt (also verschlüsselt), aber die alrs.exe finden sie nicht. Sind die echt so naiv, und man braucht nur das Versteckt-Bit setzen und hat damit jedes AV-Prog ausgehebelt?

Kann ein AV denken?

Zitat:

..naja lange Rede - kurzer Sinn: Ich bin den Plagegeist los.

Das wage ich zu bezweifeln.

Zitat:

Ich wollte nur zu dem alrs.exe mal etwas schreiben, weil ich dazu im Netz noch überhaupt nichts gefunden hab. Und da dies ein grosses Board ist, hoffe ich anderen damit ein wenig geholfen zu haben (falls sie auch mal dieses Prob haben und nach dreve.exe und rasmed.exe googlen).

Das ehrt dich, bringt aber nichts, da es sich hier den beschrieben Symptomen nach um Backdoorbefall handelt, allein der Eintrag als Dienst läßt bei mir alle Alarmglocken klingeln.

Zitat:

PS: An der Misere bin ich selber schuld. Habe durch einen Fehler meinen Router weit offen gelassen. Port 22 bis 10022 waren freigegeben (habe vergessen die 100 auch vor den ersten Eintrag zu setzten). Binnen 4 std. war ich infiziert.

Glaub ich dir, aber das war sicherlich nicht der einzige Grund. Systemdienste können nur durch Administratoren gestartet werden. Im Internet sollte man aber nur mit eingeschränkten Rechten unterwegs sein.

Ich lege dir hiermit die Anleitung zu Neuaufsetzen ans Herz:

http://www.trojaner-board.de/showthread.php?t=12154

Hi cronos,

erst mal schönen Dank für Deine Info's. Vieles ist für mich noch nicht so recht einschätzbar. Ich glaube das ich evtl. die Boshaftigkeit von Backdoorprogs noch unterschätze. Ich gebe Dir weiter unten im Text mal eine kurze Zusammenfassung was passiert ist.

Zitat:

Zitat von cronos

Solltest du ein sauberes Image darufgespielt haben ist alles OK. Ist dem nicht der Fall, ist dein Problem sicherlich nicht behoben, sondern nur Symptome kuriert, siehe oberer Link.

Hier kommt das erste Verständnisproblem. Falls das Backdoor irgendwelche sensiblen Daten schon übertragen hat, bringt ein Neuaufsetzen (was ich hier sehr oft lese) sicherheitstechnisch nur für mein System selber etwas (kann nicht mehr ferngesteuert werden, oder kann nicht mehr angegriffen werden). Warum wird das so ausführlich vorgeschlagen? In meinen Augen wäre das ein sekundäres Problem (was man natürlich auch in Angriff nehmen sollte).
Hilfreich würde ich eine Aufstellung finden, was auf jedenfall zu tun ist wenn man dieses oder jenes Backdoorproggie auf seiner Platte hatte oder hat.

Gibt es da Erkentnisse (Tabellen) darüber, was verschiedene Backdoors machen?

So in der Art:

Backdoor A: harmlos - spioniert nur Cookies aus. Variante AB=Emailkonten.
Backdoor B: Versucht an ebay-Konten dran zukommen.
Backdoor C: sehr gefährlich!! Sofort alle sicherheitsrelevanten Passwörter von einem sicheren PC austauschen (Onlinebanking, Providerzugänge, ebay-Konten).

Danach könnte man auch die weitere Vorgehensweise besser abschätzen. Ich gehe jedenfalls nicht davon aus, das alle Backdoors gleich gefährlich sind.

...zu Deinem Text (siehe oben). Wieso soll ein sauberes Image (zurückspielen) sicher sein? Sämtliche Zugangspasswörter sind identisch mit dem aktuellen (verseuchten) System. Mein Image ist übrigens 3 Monate alt.

Zu Deiner Frage:
Mein AV ist Avira Antivir PersonalEdition Classic

Was ist geschehen:

Stark in Verdacht habe ich ein Installationspaket für Virenschutz, Würmerschutz, Backdoorschutz eines Privatanbieters (Freeware) für meine phpbb2-Forensoftware. Solche Programme stehen bei mir immer unter Verdacht (kann natürlich daneben liegen). Jedenfalls ist 10 Minuten nach der Installation der AV-Guard zum ersten Mal angesprungen (ich kopiere mal die Meldungen der Ereignisanzeige). Das war ein Tag vor dem Dauerconnectversuch von dreve.exe, rasmed.exe.

06.10.06 21:09
Benutzer: NT-AUTORITÄT\SYSTEM
AntiVir erkannte in der Datei J:\WINNT\winlogon.exe verdächtigen Code mit der Bezeichnung 'Worm/Sdbot.95232.74'!

06.10.06 21:11
Benutzer: NT-AUTORITÄT\SYSTEM
AntiVir erkannte in der Datei J:\WINNT\eraseme_25358.exe verdächtigen Code mit der Bezeichnung 'Worm/Sdbot.95232.74'!

Gegenmittel: Die beiden Dateien wurden gelöscht
Kein weiteres auffällige Verhalten wurde bemerkt. Ich wurde nur stutzig, und habe sofort an meinen Router gedacht (der lässt normalerweise nix rein, seit ca. 6 Jahren ist hier auf meinem System virenmässig nichts mehr gelaufen). Mir viel ein, dass ich für Putty vor 4 h etwas verändert habe. Habe dann mal in der Konfiguration nachgeschaut. Dicken Fehler gefunden und die offenen Ports deaktiviert.

Einen Tag später:
07.10.06 11:43:00
Benutzer: NT-AUTORITÄT\SYSTEM
AntiVir erkannte in der Datei J:\WINNT\system32\Com\dreve.exe verdächtigen Code mit der Bezeichnung 'TR/Packed.CryptExe'!

07.10.06 11:43:47
Benutzer: NT-AUTORITÄT\SYSTEM
AntiVir erkannte in der Datei J:\WINNT\system32\gebawwx.dll verdächtigen Code mit der Bezeichnung 'TR/Vundo.Gen'!

...nachdem ich dann von einer anderen Partition Win XP gebootet habe (das betroffene System war Win 2000) und von dort C:/ und J:/ nochmal duchscannte (die install.bat in /Com wurde manuell gelöscht) habe ich Win 2000 erneut gebootet. Da ich bis dato noch nicht die versteckte Systemdatei alrs.exe gefunden hatte, bekam ich die oberen 2 Warnungen natürlich erneut. Den Rest kennst Du schon (manuelle Entfernung von alrs.exe).

Hier noch die protokollierten Meldungen von AntiVir: Der Report wird nur bei einem Scan erstellt, und die händisch verschobenen, gelöschten Dateien nach den Warnungen sind nicht gespeichert. Die Dateien, die in Quarantäne sind führe ich auch nochmal auf. Hier das Wichtigste:
Report AV:

Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 45 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

J:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\vssms32.exe.q_641B816_q
[FUND] Ist das Trojanische Pferd TR/Multidropper.BMJ
[INFO] Die Datei wurde gelöscht.
J:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0RWFIDGH\pro[1].exe
[0] Archivtyp: RAR SFX (self extracting)
--> dreve.exe
[FUND] Ist das Trojanische Pferd TR/Packed.CryptExe
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4596c6fd.qua' verschoben!
J:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OT41K5YX\pro[1].exe
[0] Archivtyp: RAR SFX (self extracting)
--> dreve.exe
[FUND] Ist das Trojanische Pferd TR/Packed.CryptExe
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4596c70c.qua' verschoben!
J:\Dokumente und Einstellungen\Volker Schlothmann\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\Dokumente und Einstellungen\Volker Schlothmann\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\Dokumente und Einstellungen\Volker Schlothmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\Dokumente und Einstellungen\Volker Schlothmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\Dokumente und Einstellungen\Volker Schlothmann\Lokale Einstellungen\Temp\sqlite_AraZ8csRuLbR50Z
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\Dokumente und Einstellungen\Volker Schlothmann\Lokale Einstellungen\Temp\sqlite_AraZ8csRuLbR50Z-journal
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\eraseme_25358.exe
[FUND] Enthält Signatur des Wurmes WORM/Sdbot.95232.74
[INFO] Die Datei wurde gelöscht.
J:\WINNT\system32\ntswrl32.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Cakl.A.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '459ac906.qua' verschoben!
J:\WINNT\system32\Perflib_Perfdata_6a4.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\config\System.ALT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\WINNT\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

So viel verseuchte Daten sind das doch gar nicht. Das was auf meine Platte gekommen ist, ist auch wieder entfernt worden.


-volker-

Hier nochmal mein HiJack-Log

Logfile of HijackThis v1.99.1
Scan saved at 14:58:59, on 09.10.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
J:\WINNT\System32\smss.exe
J:\WINNT\system32\winlogon.exe
J:\WINNT\system32\services.exe
J:\WINNT\system32\lsass.exe
J:\WINNT\system32\svchost.exe
J:\WINNT\system32\spoolsv.exe
H:\Win 2000\Programme\CPUCooL_test\CooLSrv.exe
J:\WINNT\system32\CTsvcCDA.exe
J:\WINNT\System32\svchost.exe
J:\WINNT\System32\GEARSec.exe
H:\Win 2000\Programme\VeriSign\NAVI\naviagent.exe
J:\WINNT\system32\nvsvc32.exe
J:\WINNT\system32\MSTask.exe
J:\WINNT\system32\stisvc.exe
J:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
H:\Win 2000\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
J:\WINNT\system32\WFXSVC.EXE
J:\WINNT\System32\WBEM\WinMgmt.exe
J:\WINNT\system32\svchost.exe
H:\Win 2000\Programme\Bonjour\mDNSResponder.exe
J:\WINNT\Explorer.EXE
H:\WIN200~1\PROGRA~1\RCRAWLER\RCrawler.exe
J:\WINNT\system32\wfxsnt40.exe
H:\WIN200~1\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
H:\WIN200~1\PROGRA~1\Sony\SONICS~1\SsAAD.exe
H:\Win 2000\Programme\FreePDF\FreePDFA.exe
H:\Win 2000\Programme\Logitech\MouseWare\system\em_exec.exe
J:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Win 2000\Programme\Java\jre1.5.0_06\bin\jusched.exe
H:\Win 2000\Programme\Winamp\winampa.exe
H:\Win 2000\Programme\iTunes\iTunesHelper.exe
H:\WIN200~1\PROGRA~1\MEDIAK~1\MagicKey.exe
H:\Win 2000\Programme\VIA\RAID\raid_tool.exe
J:\WINNT\system32\CTHELPER.EXE
J:\WINNT\system32\RUNDLL32.EXE
J:\WINNT\TBPanel.exe
J:\WINNT\system32\internat.exe
H:\Win 2000\Programme\Microsoft ActiveSync\WCESCOMM.EXE
H:\Win 2000\Programme\cam2pc_free\cam2pc.exe
H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
H:\Win 2000\Programme\BT500\BTTray.exe
H:\Win 2000\Programme\CPUCooL_test\CPUCooL.exe
H:\ChrystalCPUID\CrystalCPUID.exe
H:\Win 2000\Programme\Microsoft Office\Office\OSA.EXE
H:\Win 2000\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
H:\Win 2000\Programme\KeirNet\K9\K9.exe
H:\Win 2000\Programme\Webshots\WebshotsTray.exe
H:\WIN200~1\PROGRA~1\MEDIAK~1\OSD.exe
H:\Win 2000\Programme\BT500\BTStackServer.exe
H:\Win 2000\Programme\iPod\bin\iPodService.exe
J:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
H:\Win 2000\Programme\Mozilla Firefox\firefox.exe
H:\Win 2000\Programme\AntiVir PersonalEdition Classic\avguard.exe
H:\Win 2000\Programme\AntiVir PersonalEdition Classic\avgnt.exe
H:\Win 2000\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\WINNT\system32\mmc.exe
H:\Win 2000\Programme\AntiVir PersonalEdition Classic\avcenter.exe
H:\Win 2000\Programme\Totalcmd\TOTALCMD.EXE
J:\WINNT\system32\notepad.exe
G:\BOX\1FILES\VIRUS\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeepzone.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = g:\WWW-Jeeps-are-us\templates\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - H:\Win 2000\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Win 2000\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - H:\Win 2000\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - H:\Win 2000\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - H:\WIN200~1\PROGRA~1\PREISP~1\PREISP~1\IEBUTT~1.DLL
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - H:\Win 2000\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Registry Crawler] H:\WIN200~1\PROGRA~1\RCRAWLER\RCrawler.exe -TRAYONLY
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [RouterControl] H:\WIN200~1\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [SsAAD.exe] H:\WIN200~1\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [FreePDFAssistent] H:\Win 2000\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [TkBellExe] "J:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "H:\Win 2000\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Win 2000\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Win 2000\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "H:\Win 2000\Programme\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [iTunesHelper] "H:\Win 2000\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MagicKey] H:\WIN200~1\PROGRA~1\MEDIAK~1\MagicKey.exe
O4 - HKLM\..\Run: [avgnt] "H:\Win 2000\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] H:\Win 2000\Programme\VIA\RAID\raid_tool
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] J:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "H:\Win 2000\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE J:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Gainward] J:\WINNT\TBPanel.exe /A
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Win 2000\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [cam2pc] "H:\Win 2000\Programme\cam2pc_free\cam2pc.exe" /tray
O4 - HKCU\..\Run: [NBJ] "H:\Win 2000\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RoboForm] "H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: Launch K9.lnk = H:\Win 2000\Programme\KeirNet\K9\K9.exe
O4 - Startup: Webshots.lnk = H:\Win 2000\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: BTTray.lnk = H:\Win 2000\Programme\BT500\BTTray.exe
O4 - Global Startup: CPUCooL.lnk = H:\Win 2000\Programme\CPUCooL_test\CPUCooL.exe
O4 - Global Startup: CrystalCPUID.lnk = H:\ChrystalCPUID\CrystalCPUID.exe
O4 - Global Startup: Office-Start.lnk = H:\Win 2000\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Service Manager.lnk = H:\Win 2000\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - H:\\Win 2000\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: RF - Formular ausfüllen - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Win 2000\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Win 2000\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\Win 2000\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Win 2000\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Win 2000\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - H:\Win 2000\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://H:\Win 2000\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - H:\Win 2000\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - H:\Win 2000\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O10 - Unknown file in Winsock LSP: h:\win 2000\programme\bonjour\mdnsnsp.dll
O20 - AppInit_DLLs: sockspy.dll sockspy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Win 2000\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Win 2000\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - H:\Win 2000\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - H:\Win 2000\Programme\CPUCooL_test\CooLSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - J:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - J:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - J:\WINNT\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - J:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - H:\Win 2000\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - J:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: MSCSPTISRV - Sony Corporation - J:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - H:\Win 2000\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINNT\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - J:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - H:\Win 2000\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - H:\Win 2000\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - J:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - J:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - J:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: V2i Protector - PowerQuest Corporation - H:\Win 2000\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - J:\WINNT\system32\WFXSVC.EXE
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - J:\WINNT\winlogon.exe (file missing)


...was mir dabei etwas auffällig ist, ist

O10 - Unknown file in Winsock LSP: h:\win 2000\programme\bonjour\mdnsnsp.dll
O20 - AppInit_DLLs: sockspy.dll sockspy.dll



-volker-

Hallo,
dieser hier :

Zitat:

Ist das Trojanische Pferd TR/Packed.CryptExe

sind anonyme FTP-Server, die zu einem Backdoor/Trojaner gehoeren und Zugriff auf dein System haben.
Eingeleitet wurde das ganze vermutlich von diesem :

Zitat:

'Worm/Sdbot.95232.74'!

Was sonst noch verändert wurde,vermag niemand, auch du nicht,sicher zu sagen...
Ich mumaße mal ,das du eine Email aus ungekannter Quelle geöffnet und ausgeführt hast....

Zitat:

Gibt es da Erkentnisse (Tabellen) darüber, was verschiedene Backdoors machen?

Jeder AV-Hersteller sagt auf seiner Seite,wer was tun kann.....zumindest bei Sophos und KAV ist dem so...

Der Rat von "Cronos" hat noch immer seine Berechtigung und Gültigkeit
Irrlicht

Zitat:

Zitat von irrlicht

TR/Packed.CryptExe sind anonyme FTP-Server, die zu einem Backdoor/Trojaner gehoeren und Zugriff auf dein System haben.

Jeder AV-Hersteller sagt auf seiner Seite,wer was tun kann.....zumindest bei Sophos und KAV ist dem so...

...bevor ich hier etwas unternehme (mein 6 Jahre altes OS ist mir nämlich erstmal viel zu schade es über den Jordan zu kippen - ich würde hier mehrere Tage an einer Neuinstallation sitzen - zumal ich 3 Partitionen killen müsste um 100% sicher zu sein - thoretisch müsste ich ja sogar alle Partitionen löschen, die das betroffene System sehen kann und anschliessend neu partitionieren um die MBR und andere Infos auch noch zu killen), würde ich schon gerne etwas mehr erfahren (z.B. zu TR/Packed.CryptExe). Ich habe in Goggle mal TR/Packed.CryptExe eingegeben und leider nur 10 Verweise in Deutsch bekommen (eher BlaBla - ohne Begründung was das Prog macht) und 15 Verweise weltweit. Weder Bitdefender noch Sophos kennt sich damit aus. Und wenn ich keine näheren Informationen darüber erhalte ist eine Systemformatierung (nur eine Partition) vielleicht gar nicht ausreichend.

Kannst Du mir bitte Deine Quelle nennen bezüglich TR/Packed.CryptExe. Du sagst ja, dass das anonyme FTP-Server wären, die Zugang zu meinem System hätten.
Das da jemand mein System missbraucht hat steht fest. Die hatten nicht nur Zugang, sondern mein Computer wurde fest in Deren Bot-Netzwerk eingebunden. Das ist zwar eine reine Vermutung, aber sobald der Rechner online war, hat er Daten übertragen. Wenn ich das Kabel gezogen hatte, lief der Prozess von meinem Rechner weiter (ohne Warnung vom Netzwerk, dass der Host nicht mehr gefunden werden kann, oder sich nicht mehr meldet).

PS: Auch bei KAV (Kaspersky) findet sich nichts über TR/Packed.CryptExe.


-volker-

Immer das gleiche...
Meinst Du ein Bereinigen (wenn es sofern möglich wäre) würde hier weniger lang dauern? Du frickelst und frickelst und kannst dir am Ende nichtmal sicher sein, dass wirklich alle Schädlinge weg sind und das System wieder vertrauenswürdig ist, denn Systemdateien könnten manipuliert worden sein.
Bei einem Backdoorbefall sollte man nicht lange fackeln und das System gleich flachmachen, eine Bereinigung ist da in meinen Augen eher reine Zeitverschwendung.
Denk mal in Zukunft über ein gescheites Backupkonzept nach. Ggf. mit Programmen wie Acronis True Image, denn dann kannste mal nach einem Befall schnell mal wieder ein frisches Image ausrollen und hast so innerhalb kurzer Zeit wieder ein lauffähiges und sauberes OS.
Es muss auch nicht immer Virenbefall sein, was willste du machen wenn deine Festplatte stirbt?

Lektüre: Warum man bei Befall das System neu aufsetzen sollte...

Hallo,
die von mir genannten AV-Herstellerseiten waren nur als Beispiel gedacht.Das Problem dabei ist,das jeder AV-Hersteller glaubt,jedem in den Signaturen aufgenommenen Schädling einen eigenen Namen geben zu müssen.Du wirst deshalb keine namentlichen Übereinstimmungen finden,außer auf der Seite deines AV-Herstellers.Ist es ein guter .läßt sich dort eine Beschreibung aber finden.
Irrlicht

Hallo Volker,

die wesentlichen Infos hast du bereits erhalten. Daher folgendes nur zur Ergänzung: Eine Infizierung des MBR halte ich für unwahrscheinlich, dies kommt sehr selten vor. Zudem sehe ich grad

Zitat:

Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!

Aber selbst wenn, wo liegt das Problem? Formatiere alle Partitionen, die ausführbaren Code enthalten, fixe meinetwegen den MBR, partitioniere neu und spiele die Images in die jeweiligen Partionen zurück. Du kennst das Alter deiner Backups und du kennst das Datum des Befalls. Das ist allemal besser als händisch die momentane Installation mit einem Image abzugleichen.

Du sitzt einem Denkfehler im Hinblick auf die so oft beschworene "Kompromittierung" auf. Das Problem der Backdoors liegt gar nicht mal darin, welche unmittelbaren Veränderungen sie an deinem System vornehmen (obwohl sich da oftmals auch nur im Trüben fischen läßt), sondern vor allem in der Hintertür, die sie öffnen. Du und wir haben keine Ahnung, welchen Schadcode die Dinger bereits nachgeladen haben. Insofern ist es sinnfrei, sich in allen Einzelheiten auf den Türöffner zu konzentrieren, der hat seine Schuldigkeit längst getan. Gruß

Nur zur Info:

Alleine dieser Eintrag rechtfertigt ein Neuaufsetzen:

O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - J:\WINNT\winlogon.exe (file missing)

Da ja alles wesentliche geasagt ist, schreibe ich bis zur nächsten konkreten Frage nichts mehr.
Nur zu den Passwörtern. Im Zweifel, egal ob ausgelesen oder nicht, gehören diese natürlich alle geändert.

Danke für alle Eure Infos.

Bei der Wiederherstellung habe ich leider wieder ein neues Problem (siehe Windowsforum hier im Board). Vielleicht weiss da jemand von Euch auch noch einen Rat zu (ich bin schon recht lange raus aus der Materie - wie gesagt, seit ca. 6 Jahren habe ich nicht mehr viel gemacht.)

hallo

so wie es aussieht habe ich es auch

bei mir zeigt anti vir folgendes an:
___________________________________

C:\WINNT\msrvs32.exe

ist das trojanische pferd TR/Packet.CryptExe
___________________________________

aber wie wird man denn nu das problem los, was ist da zu empfehlen

vielen dank für eure antworten

Poste ein Hijackthis-Logfile.

Sollte sich die von Dir genannte Datei wirklich auf dem PC befinden, sollte eine Neuinstallation erforderlich werden:
http://www.sophos.com/security/analy...tilebothm.html

Zur Sicherheit kannst Du sie ja auch online scannen lassen. Nutze dazu die Hinweise in meiner Signatur.