|
Log-Analyse und Auswertung: log-auswertung; backdoor?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.10.2006, 17:35 | #1 |
| log-auswertung; backdoor? Hello mates, eine Freundin von mir hat ein Problem mit ihrem PC, nachdem sie eine Datei namens lol.exe über ICQ empfangen und geöffnet hat, lassen sich die meisten Anwendungen nicht mehr starten. Ihr Norton AntiVirus findet nichts auf dem Computer, hijackthis zeigt allerdings dxtpdx.dll an, laut google wohl ein backdoor. Nachträglich ließen sich aber weder im normalen noch im abgesicherten Modus spybot, stinger etc. starten. Hier die log-datei: Logfile of HijackThis v1.99.1 Scan saved at 17:49:20, on 15.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\keyhook.exe C:\Programme\Arcade\PCMService.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\sistray.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\user\Desktop\hijackthis.com.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tagesschau.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender8\bdswitch.exe" O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O4 - Global Startup: phase6_17_demo_erinnerung.lnk = C:\Programme\phase6\phase6_17_demo\WinStart\WinStartDemo.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Ich hoffe ihr könnt mir helfen, wäre sehr nett. greets, lastsamurai |
15.10.2006, 17:39 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | log-auswertung; backdoor? C:\WINDOWS\SYSTEM32\dxtpdx.dll
__________________Die Datei sticht richtig ins Auge, könnte eine Haxdoor-Variante (Backdoor) sein. Werte die Datei doch mal bei Jotti oder Virustotal aus und poste das Ergebnis.
__________________ |
15.10.2006, 18:00 | #3 |
| log-auswertung; backdoor? Hey, das ging ja schnell. Die Datei wird leider nicht im System angezeigt, weder im explorer noch im task-manager, die wird anscheinend von irgendetwas versteckt.
__________________ |
15.10.2006, 18:06 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | log-auswertung; backdoor? Lässt du auch alle Dateien anzeigen?
__________________ Logfiles bitte immer in CODE-Tags posten |
15.10.2006, 18:15 | #5 |
| log-auswertung; backdoor? Ja, natürlich. Also soo neu bin ich auch nicht in der Branche. Aber es wird halt trotzdem nichts angezeigt. Also geh ich mal von irgendeinem Versteckspielchen des Backdoors aus....aber ich hab halt keine Ahnung was ich jetzt tun soll. |
15.10.2006, 20:55 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | log-auswertung; backdoor? Lass das System mal mit Blacklight scannen. Evtl. hast Du ein Knoppix oder BartPE zur Hand. Dann boote von diesem Medium und schau ob Du von dort die Datei sehen kannst.
__________________ --> log-auswertung; backdoor? |
16.10.2006, 15:58 | #7 |
| log-auswertung; backdoor? Es hat sich was getan...ich hatte im Internet bei einem ähnlichen Problem (Start vieler Anwendungen wird unterbunden) einen Tipp gefunden, obwohl ich ein später draufgeladenes AntiVir (Avira) nicht öffnen konnte (hat einfach nicht reagiert) ließ es sich, wie alle anderen Anwendungen dann auch mit winrar öffnen und installieren. Nach dem nächsten Neustart hat antivir dann direkt Signaturen des Trojaners TR/PSW.PdPi.CT.1.D unter C:\WINDOWS\system32\qz.dll gefunden. Dadurch konnte ich ihn schonmal aus dem Speicher schmeißen (Quarantäne) und danach gingen alle Anwendungen ohne Probleme wieder. Hab dann Blacklight scannen lassen und währenddessen meldet sich antivir und erzählt mir vom Fund BDS/Haxdoor.JC.2 unter C:\WINDOWS\system32\dxtpdh.sys. Hier die Blacklightlog: 10/16/06 16:18:43 [Info]: BlackLight Engine 1.0.47 initialized 10/16/06 16:18:43 [Info]: OS: 5.1 build 2600 (Service Pack 2) 10/16/06 16:18:44 [Note]: 7019 4 10/16/06 16:18:44 [Note]: 7005 0 10/16/06 16:18:46 [Note]: 7006 0 10/16/06 16:18:46 [Note]: 7011 1688 10/16/06 16:18:46 [Note]: 7026 0 10/16/06 16:18:47 [Note]: 7026 0 10/16/06 16:18:52 [Note]: FSRAW library version 1.7.1020 10/16/06 16:19:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\QZ.DLL 10/16/06 16:19:23 [Note]: 7002 0 10/16/06 16:19:23 [Note]: 7003 1 10/16/06 16:19:23 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DXTPDH.SYS 10/16/06 16:19:29 [Note]: 7002 0 10/16/06 16:19:29 [Note]: 7003 1 10/16/06 16:19:30 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\QZ.SYS 10/16/06 16:19:31 [Note]: 7002 0 10/16/06 16:19:31 [Note]: 7003 1 10/16/06 16:19:32 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\MS87.DAT 10/16/06 16:19:32 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\REDIR2.A3D 10/16/06 16:19:32 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\KLGCPT~1.DAT 10/16/06 16:19:33 [Note]: 2000 1012 10/16/06 16:19:33 [Note]: 2000 1012 10/16/06 16:19:33 [Note]: 2000 1012 10/16/06 16:21:27 [Note]: 7007 0 Wie muss ich jetzt weiter vorgehen? |
16.10.2006, 16:02 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | log-auswertung; backdoor? Jetzt wissen wir, dass es sich eindeutig im eine Hintertür handelt. Hier bleibt definitiv nur das Neuaufsetzen und anschließende Absicherung des Systems.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.10.2006, 16:07 | #9 |
| log-auswertung; backdoor? Aber ein Backdoor infiziert keine normalen Anwendungsdaten, oder? Also ich meine, da sind etliche Fotos auf dem PC, könnte man die gefahrenlos brennen und auf das neue, abgesicherte System kopieren? |
16.10.2006, 16:19 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | log-auswertung; backdoor? Naja, durch eine Hintertür kann ein Dritter Vollzugriff auf den befallenen Rechner erlangt haben, d.h. es ist rein theoretisch möglich, dass er Dateien manipuliert hat. Ich schätze eine Wiederinfizierung durch Daten des jetzigen verseuchten Systems ist recht unwahrscheinlich, wenn Du nur reine Datendateien (Dokumente, MP3s, Fotos) sicherst und auf dem frischen Windows zurückspielst. Sach Deiner Freundin, sie möge doch regelmäßig wichtige Daten brennen. Ein Plattencrash kommt immer dann wenn man ihn gerade nicht gebrauchen kann und wenn man dann keine Datensicherung hat, ja dann gute nacht...
__________________ Logfiles bitte immer in CODE-Tags posten |
16.10.2006, 17:18 | #11 | ||
| log-auswertung; backdoor? Hallo, da dürfte auch noch einiges mehr im Argen liegen... Hier zum Beispiel : Zitat:
Zitat:
|
16.10.2006, 17:54 | #12 |
| log-auswertung; backdoor? Ich werd mal ein ernstes Wörtchen mit ihr über Sicherheit und Benutzerverhalten reden... Sie hatte nach dem Befall direkt den PC heruntergefahren und ich hatte vorsichtshalber ihr internet deaktiviert, deswegen müsste das dann mit den Daten gehen. Ist ja dann letztendlich noch mal gut gegangen. Vielen Dank auf jeden Fall, ist außerdem ein super Forum hier, bin schon länger heimlicher Mitleser, lastsamurai |
Themen zu log-auswertung; backdoor? |
abgesicherten modus, adobe, antivirus, backdoor, bho, browser, computer, defender, desktop, drivers, einstellungen, excel, explorer, google, helfen, hijack, hijackthis, internet, internet explorer, launch, log-datei, monitor, problem, rundll, server, settings manager, software, starten., sweetim, symantec, system, urlsearchhook, windows, windows xp, über icq |