Hallo,
ich hatte hier bei Euch gelernt, wie man sich schützt, kontrolliert und bei "Bedarf" sich selbst hilft.

Leider scheint das nicht wirklich funktioniert zu haben.

Mein System:
Win XP SP2 - aktuell
Dienste (Dingens.org) abgeschaltet (Computer im Netzwerk)
Surfen als eingeschränkter Benutzer
Windows FW an
Antivir Personal Edition
Spybot S&D
Ad-Aware

und alles fast täglich aktuell. (Antivir täglich)

Mein Surfverhalten: Ebay, Onlinebanking, bekannte Websites stöbern, Command & Conquer online spielen.

Als ich meinem Bruder gestern seinen "neuen"-gebrauchten PC einrichten wollte, fand Antivir 4 "Viren" (Maleware), Spybot S&D tracking Cookies usw.

Deshalb dachte ich, es kann ja nicht schaden, mal wieder E-Scan bei mir laufen zu lassen.

Schreck:
2 Backdoor Trojaner, und einer sogar doppelt.

Fakt ist ja nun, daß ich neuinstallieren muss, und das, wo ich doch gerade auf einer 2. Partition Win XP neuinstalliert habe.
Ich weiß, daß diese Partition jetzt wohl auch nicht sicher ist.

Aber, warum zum Teufel, oder besser - wie sind die Backdoors in mein System gekommen?

Ich weiß nicht ob es möglich ist, aber ich hatte vor einer Weile eine gefälschte Ebayrechnungs-Mail bekommen (sofort erkannt) und diese an Ebay gemeldet/geschickt -

kann es sein, daß dadurch "was passiert ist" ?
Im Anhang dieser Mail war ein Zip-File, welches die angebliche Rechnung sein sollte, welche ich aber NICHT geöffnet habe.

Wie kann mir das nun passiert sein?
Ich frage vorallem deswegen, weil ich nicht möchte, daß mir das noch einmal passiert, und ich das Vertrauen in Microsoft langsam verliere.

Ach ja - ich hatte vor kurzem dieses beworbene "~Second Life"-"Spiel" installiert - wäre ja vieleicht auch eine "Quelle" des Bösen (?).
Aber dann hätten ja 100.000 oder mehr Menschen dieses Problem.

Hier nun das Ergebniss von E-Scan:

Zitat:

Fri Dec 29 12:51:38 2006 => **********************************************************
Fri Dec 29 12:51:39 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Fri Dec 29 12:51:39 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Dec 29 12:51:39 2006 => **********************************************************
Fri Dec 29 12:51:39 2006 => Version 8.8.1 (C:\Bases_X\mwavscan.com)
Fri Dec 29 12:51:39 2006 => Log File: C:\Bases_X\MWAV.LOG
Fri Dec 29 12:51:39 2006 => Last Scan Date and Time: 27.01.2006 20:29:17
Fri Dec 29 12:51:39 2006 => MWAV Registered: FALSE.
Fri Dec 29 12:51:39 2006 => User Account: Administrator
Fri Dec 29 12:51:39 2006 => OS Type: Windows Workstation
Fri Dec 29 12:51:39 2006 => OS: Windows XP
Fri Dec 29 12:51:39 2006 => Ver: Service Pack 2 (Build 2600)
Fri Dec 29 12:51:39 2006 => Windows Root Folder: E:\WINDOWS
Fri Dec 29 12:51:39 2006 => Windows Sys32 Folder: E:\WINDOWS\system32
Fri Dec 29 12:51:39 2006 => Local Fixed Drives: c:\,d:\,e:\
Fri Dec 29 12:51:39 2006 => MWAV Mode: Only Scan files.
Fri Dec 29 12:51:45 2006 => Latest Date of files inside MWAV: 29 Dec 2006 09:47:2.
Fri Dec 29 12:51:51 2006 => AV Library Loaded...
Fri Dec 29 12:51:51 2006 => MWAV doing self scanning...
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\Getvlist.exe
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\main.avi
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\virus.avi
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\ScanningProcess.exe
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\Kave.dll
Fri Dec 29 12:51:52 2006 => Scanning File C:\Bases_X\prloader.dll
Fri Dec 29 12:51:52 2006 => MWAV files are clean.
Fri Dec 29 12:51:52 2006 => Virus Database Date: 12/29/2006
Fri Dec 29 12:51:52 2006 => Virus Database Count: 254891

Fri Dec 29 12:57:08 2006 => **********************************************************
Fri Dec 29 12:57:08 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Fri Dec 29 12:57:08 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Dec 29 12:57:08 2006 =>
Fri Dec 29 12:57:08 2006 => Support: support@mwti.net
Fri Dec 29 12:57:08 2006 => Web: AntiVirus Software Content Security - MicroWorld
Fri Dec 29 12:57:08 2006 => **********************************************************
Fri Dec 29 12:57:08 2006 => Version 8.8.1 (C:\Bases_X\mwavscan.com)
Fri Dec 29 12:57:08 2006 => Log File: C:\Bases_X\MWAV.LOG
Fri Dec 29 12:57:08 2006 => User Account: Administrator
Fri Dec 29 12:57:08 2006 => Windows Root Folder: E:\WINDOWS
Fri Dec 29 12:57:08 2006 => Windows Sys32 Folder: E:\WINDOWS\system32
Fri Dec 29 12:57:08 2006 => OS: Windows XP
Fri Dec 29 12:57:08 2006 => Ver: Service Pack 2 (Build 2600)
Fri Dec 29 12:57:08 2006 => Latest Date of files inside MWAV: 29 Dec 2006 09:47:2.

Fri Dec 29 12:57:08 2006 => Options Selected by User:
Fri Dec 29 12:57:08 2006 => Memory Check: Enabled
Fri Dec 29 12:57:08 2006 => Registry Check: Enabled
Fri Dec 29 12:57:08 2006 => StartUp Folder Check: Disabled
Fri Dec 29 12:57:08 2006 => System Folder Check: Disabled
Fri Dec 29 12:57:08 2006 => System Area Check: Disabled
Fri Dec 29 12:57:08 2006 => Services Check: Enabled
Fri Dec 29 12:57:08 2006 => Drive Check: Disabled
Fri Dec 29 12:57:08 2006 => All Drive Check :Enabled
Fri Dec 29 12:57:08 2006 => Folder Check: Disabled



Fri Dec 29 12:58:44 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Fri Dec 29 12:59:02 2006 => System found infected with crazynet Trojan (server.exe)! Action taken: No Action Taken.

Fri Dec 29 12:59:02 2006 => System found infected with crazynet Trojan (server.exe)! Action taken: No Action Taken.

Fri Dec 29 13:56:53 2006 => Scanning Folder: E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*

Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\446300f7.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4472ff09.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44fdf256.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44fdf25a.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4522f6a0.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\452ad7b3.qua
Fri Dec 29 13:56:54 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\452bd4f9.qua
Fri Dec 29 13:56:54 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\456dcc1f.qua
Fri Dec 29 13:56:54 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\45c164b2.qua

Fri Dec 29 14:01:50 2006 => File E:\Dokumente und Einstellungen\Namex\Lokale Einstellungen\Anwendungsdaten\Identities\{457F5BCF-483B-4A27-834A-9E3A6CFDD0C4}\Microsoft\Outlook Express\Gesendete Objekte.dbx infected by "Trojan-Downloader.Win32.Agent.aqk" Virus! Action Taken: No Action Taken.
(gelöscht) (dies war die gefälschte Ebay-Rechnung)


Fri Dec 29 15:10:10 2006 => ***** Scanning complete. *****

Fri Dec 29 15:10:10 2006 => Total Objects Scanned: 88324
Fri Dec 29 15:10:10 2006 => Total Critical Objects: 4
Fri Dec 29 15:10:10 2006 => Total Disinfected Objects: 0
Fri Dec 29 15:10:10 2006 => Total Objects Renamed: 0
Fri Dec 29 15:10:10 2006 => Total Deleted Objects: 0
Fri Dec 29 15:10:10 2006 => Total Errors: 30
Fri Dec 29 15:10:10 2006 => Time Elapsed: 02:12:36
Fri Dec 29 15:10:10 2006 => Virus Database Date: 12/29/2006
Fri Dec 29 15:10:10 2006 => Virus Database Count: 254891

Fri Dec 29 15:10:10 2006 => Scan Completed.

Fri Dec 29 15:13:21 2006 => Virus Database Date: 12/29/2006
Fri Dec 29 15:13:21 2006 => Virus Database Count: 254891
Fri Dec 29 15:13:32 2006 => AV Library Unloaded (3)...

und die Log von HJT:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:06:30, on 29.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\system32\slmdmsr.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Apoint2K\Apoint.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\sistray.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Apoint2K\Apntex.exe
E:\Programme\Opera\Opera.exe
E:\Dokumente und Einstellungen\cotton\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [**=****://www.google.de/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [**=****://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [**=****://go.microsoft.com/fwlink/?LinkId=54896]Windows Live[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [**=****://go.microsoft.com/fwlink/?LinkId=54896]Windows Live[/**]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [**=****://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [**]****://192.168.2.1/top_start_passwort.htm[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] E:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Apoint] E:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiS Tray] E:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - [**]****://www.sis.com/ocis/OSInfo.cab[/url]
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - [**]****://www.sis.com/ocis/SiSAutodetectNT.cab[/url]
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [**]****://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [**]****://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136581612869[/url]
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - Unknown owner - (no file)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\- - PROGRAMME - -\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\- - PROGRAMME - -\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\- - PROGRAMME - -\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - E:\WINDOWS\SYSTEM32\slmdmsr.exe

Danke, für jede Hilfe.
Cotton

Edit* Links entfernt*

Schau mal ob das Dingens überhaupt existiert.

Es sollte die Datei <System>\ntsvc.ocx vorhanden sein und ebenso der Systemtreiberdienst "NTAuth" mit dem Anzeigenamen "NTAuth" und dem Starttyp "Automatisch".
Nach folgenden Registrierungseinträgen suchen:

HKLM\SYSTEM\CurrentControlSet\Services\NTAuth\
HKCR\CLSID\(E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\Interface\(E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\Interface\(E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C)
HKCR\NTService.Control.1\
HKCR\TypeLib\(E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C)

Quelle: http://www.sophos.ch/security/analyses/trojtaladraf.html

Wie Du den Patienten auf den Rechner bekommen hast? Vermutlich im Adminaccount Schabernack installiert.

Also,
soweit ich das prüfen kann, ist "NTAuth" unter


HKEY_USERS\S-1-5-21-2000478354-1078145449-1957994488-1004\Software\Microsoft\Search Assistant\ACMru\5603

zu finden.
Sozusagen nicht da, wo ich suchen sollte.

Die Beschreibungen bei Sophos usw hab ich auch schon gelesen, daher kam ich ja darauf, daß ich diesen Backdoor habe.

Wie genau ich jetzt feststellen kann, ob "er" wirklich "da" ist, weiß ich nicht.
Da würde ich Euch gerne noch mal um Hilfe bitten.

Was mich wundert - ich habe ab und zu HJT "laufen" lassen, und selbst geprüft, was da alles läuft, aber fand nie etwas auffälliges.

Weiter hieß es ja bei Sophos, daß diese "ntsvc.ocx" und noch eine andere Datei "legitim" seien, was ich nicht verstehe.
(war auch bei Sophos, aber ähnliche Beschreibung)

Wie gesagt, helft mir bitte herauszufinden, ob er wirklich da ist.
Nur, da ich ja diesen anderen Backdoor auch noch drauf hab, wird das wohl kein HappyEnd.

Hallo,
ich hab mir nochmal ein paar Gedanken gemacht -

Die Backdoors wurden von AV, Spybot und Ad-Aware nicht gefunden -
E-Scan fand diese in der Registrierung, nicht als Datei -

Nach meinem Verständnis bin ich ja dann doch nicht befallen, oder?
AV usw scannen ja nicht in der Reg., daher fanden die ja auch nichts.

Kann es sein, daß sich die Schädlinge versucht haben zu installieren, es aber nicht geschafft haben?

Das würde dann auch erklären, warum nichts auffälliges passiert ist.
Ich meine, wenn die Dinger da wären, würden die ja auch was unternehmen, was sich ja dann bemerkbar machen würde, indem das System lahm oder instabil wird .

Eines der beiden Backdoortroj. ist ja eine "Server.exe", welche meinen Pc gefügig machen soll - bin ich vieleicht zu uninteressant für "den Gegenüber"?

(möchte jetzt nicht klugsch***, ich möchte es nur verstehen)

PS: Die in Quarantäne steckenden, von AV gefundenen "Viren", sind Fehlalarme wie z.B. "Audacity", "PWFinder" (***< entfernen), die Ebayrechnung, und mit "Guardian of Data" verschlüsselte Dateien.

Zitat:

Nach meinem Verständnis bin ich ja dann doch nicht befallen, oder?

nur mal so: ich habe mir gestern mal ne Trail-Version von Norton Internet Security 2007 auf meinem Test-PC installiert.
Es wurde einiges gemeldet, war mir klar. Nicht, weil mein PC infiziert ist, sondern weil ich die Programme installiert habe.

Testweise habe ich dann noch mal 3 Server von bekannten "Trojanern" installiert, einer wurde gelöscht, 2 Server laufen ohne Probleme.

Zitat:

Ich meine, wenn die Dinger da wären, würden die ja auch was unternehmen, was sich ja dann bemerkbar machen würde, indem das System lahm oder instabil wird

nicht unbedingt, könnte so sein, muß aber nicht sein.
beende mal alle Programme, die eine Verbindung zum Internet aufbauen und checke mal mit Wireshark ob da noch Traffic ist, mindestens 15 Minuten lang. Falls Du "befallen" bist, würde mit hoher Wahrscheinlichkeit während dieser Zeit eine Meldung an den Client Deines Servers gesendet werden, die dann wahrscheinlich im Log auftauchen würde.

Viele Grüße,
Heike

Hallo und ein schönes, gesundes neuses Jahr

@Heike
also mit Wireshark kam ich nicht klar, deshalb hab ich mir mit dem Taskmanager und E-scan (View Network Activity) weitergeholfen.

Ergebniss: nichts. Kein zucken.

Nun, da ich ja sowieso neuinstalliere, ist es ja eigentlich egal, ob was drauf ist, oder nicht. Nachher jedenfalls nicht.

Und damit häte ich gleich wieder eine Frage:

Ich fand aufWinfuture dieses Updatepack. Dadurch soll sich eine Neuinstallation schneller herrichten, ohne die "langsamen" downloads bei MS.

Jetzt wollt ich euch mal fragen, ob es "vertrauenswürdig" ist.
Mein problem ist - ich kenne diese Site nicht.
Wenn mir jemand sagen könnte, ob da alles in ordnung ist, fänd ich gut

Danke,
cotton