Hallo,
das hier habe ich zu deinem Backdoor gefunden.....

Troj/BandKit-A - Spyware-Trojaner - Sophos Bedrohungsanalyse
wenn du mich fragst......
Ich würde mir die Beschreibung bei Sophos durchlesen,ohnmächtig vom Stuhl fallen und sobald ich wieder bei mir bin,nach "Anleitungen,FAQ,Links" gehen,das hier auf der Startseite ist und mir den Thread "Neuaufsetzen des Systems und die anschließende Absicherung aber sowas von vornehmen....
Vor allem würde ich mein besonderes Augenmerk darauf richten,das Sophos sagt, dieser Backdoor würde Tastenfolgen mitschreiben.Daraus würde ich dann schließen,das meine sämtlichen Passwörter unbedingt durch neue ersetzt werden müssen und zwar nach der Neuinstallation.Weiterhin würde ich nicht so dumm sein und nur einfach die Passwörter untereinander tauschen.Ich könnte mir nämlich vorstellen,das der "Besitzer" des Trojaners dies ebenfalls bedenkt und mal ein bissel probiert ....
Aber das alles ist,was ich machen würde........
Was du machst ist deine Sache,denn es ist auch deine Kiste und es kann auch deine U-Haft-Zelle sein ,in der du dich wiederfinden könntest, falls der "Trojanerbesitzer" eine richtig üble S.. ist.
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,
das hier habe ich zu deinem Backdoor gefunden.....

probably und suspected sind nicht gerade Begriffe, die geeignet sind, eine gesicherte Diagnose zu stellen. Warten wir noch eScan ab, bevor das Todesurteil gefällt wird.

Edit:
Ich gehe aber auch davon aus, dass was Böses auf dem Rechner ist.

Du bist Sekunden vor mir gewesen......

Zitat:

AntiVir 7.3.1.36 02.09.2007 TR/Bandok.A

Damit war ich unterwegs.....
Ist schon intressant,wieviel "no virus found" dazu sagen....scheint auch ganz neu zu sein....Das Datum ist sicher amerikanisch geschrieben ? 09.02.07
War ja auch nur, was ich machen würde........
Irrlicht

Zitat:

Zitat von irrlicht

Du bist Sekunden vor mir gewesen......


Damit war ich unterwegs.....
Ist schon intressant,wieviel "no virus found" dazu sagen....scheint auch ganz neu zu sein....Das Datum ist sicher amerikanisch geschrieben ? 09.02.07
War ja auch nur, was ich machen würde........
Irrlicht

Vielen Dank schon mal auch euch beiden für die Hilfe.

Also verwundert bin ich da schon auch, wieviele diesen Trojaner nicht erkennen.

Selbst als ich mit Microsofts Tool den System 32 Ordner gescannt habe, fand es auch alles in Ordnung. Dabei dürfte es doch nicht allzuschwer sein, das ein Tool den so wichtigen System-Ordner und seinen Inhalt kennt, beziehungsweise erkennt, was da nicht reingehören könnte.

So als nun zum escan. Glaubt Ihr, das das dann noch was bringt. Das Tool ist ja von Kaspersky und von Kaspersky wurde dieser Backdoor ja auch nicht erkannt. Ausserdem hab ich die Datei gerade mit dem On demand Scanner von
Kaspersky prüfen lassen, wieder nichts gemeldet.

Ich hab mittlerweile auch schon versucht, die Registry-Einträge mit der Bezeichnung Bandook und MsnMesnger.exe zu entfernen. Fehlanzeige, läßt sich entfernen und taucht sofort wieder auf.

Zum Glück wird dieses Gerät für keine sensiblen Daten wie Konto,Kreditkarten oder Adresse oder sonstige Daten verwendet. Der "Dieb" wird also recht wenig anfangen können, ausser das er vielleicht in einen Foren-account von mir kommt.

Okay, ich mach jetzt mal den escan.

So, nun meld ich mich aschließend nochmal!

Wenn ich Glück hatte, hab ich das Problem wohl gelöst.:aplaus:

Der Reihe nach und für, die sich vielleicht auch dieses Teil einfangen.

Wie vermutet hat der escan auch nichts gefunden. Aber dadurch habe ich einen anderen Lösungsansatz gefunden.

Mir fiel plötzlich auf, das sich der Windows Updater bevor ich den Rechner runterfuhr, immer anzeigte, das ein Update noch installiert wir und dann erst runtergefahren wird. Hat mich Anfangs nicht gewundert, war ja ein neues System und Anfangs kommen da schon mal einige Updates.
Meine jetzige Vermutung ist allerdings, das sich dieses Teil damit gekoppelt hat und sich somit immer wieder selbst installierte.

Folgende Schritte:

Es geht um den Prozess Namens [Bandook]C:\WINDOWS\system32\msnmesnger.exe ( so die Bezeichnung nach HJT)

Gefunden wurde das Teil von den Programmen Sophos und von Prevx. Das Problem war, beide konnten es nicht dauerhaft installieren, kaum hatte man es gefixt, war es wieder da auch ohne runterfahren.

HjT fand die Einträge auch, konnte aber ebenfalls nicht fixen.

Escan und Kaspersky fanden diesen Backdoor nicht!

Zum auffinden also Sophos oder Prevx verwenden oder über http://www.virustotal.com testen lassen.

Dann hab ich das Tool Kill Box heruntergeladen (hier ein Link mit Anleitung zu escan und Kill Box , http://www.rokop-security.de/index.php?showtopic=3867 )
Als nächstes habe ich die Systemwiederherstellungskonsole deaktiviert und und auch das automatische Windows-Update Tool deaktiviert.

Danach in den abgesicherten Modus gegangen, escan drüberlaufen lassen (hat aber in meinem Falle nichts gebracht).


Dann Kill box starten und oben dann in der Leiste auf durchsuchen klicken, und dann bis zum Pfad C:\WINDOWS\system32\msnmesnger.exe gehen. Die Exe auswählen und im Kill Box Menue die Häckchen auf "Delete on Reboot" und "End Explorer Shell while Killing File" setzen und das rote x drücken, danach noch bestätigen.

Jetzt ging ich in die Registry( Start>Ausführen>regedit) und gab unter "bearbeiten">"suchen" den Begriff Bandook ein. DOrt dann noch Häkchen in alle drei Suchmuster "Schlüssel" "Werte" und "Daten" setzen und Suche starten. Sobald er was gefunden hat, nur diese Einträge löschen, die das Wort Bandook enthalten.Dazu Rechtsklick auf die betreffende Zeile und löschen. Die Suche muß eventuell mehrmlas weitergestartet werden, bis die Registry komplett durchsucht ist, das wird dann angezeigt. Jedenfalls immer nur die Zeilen mit Bandook löschen, alles andere was angezeigt wird, hab ich stehenlassen.
Insgesamt waren es bei mir 4 Einträge.

Als nächstes habe ich nochmals HJT gestartet und die Einträge von "Bandook" dort nochmals gefixt. Nun noch die Festplatte gereinigt und dann hab ich den Rechner neu gestartet.

Im normalen Modus habe ich dann das Windows-Update wieder aktiviert, nochmals escan, HJT, Sophos, Norton ANtivir und Prevx durchlaufen lassen. Keine der Programme konnte noch was finden. Auch der Eintrag ,msnmesengr.exe im System32-Ordner ist weg. Alles läuft momentan sauber und ohne Probleme. Habe 10 Probestarts und ausschalten gemacht, Autostart-Einträge und Ordner jedesmal überprüft. Derzeit nichts mehr zu finden. Vielleicht hatte ich Glück.


Ich möchte aber ausdrücklich betonen, das ich ein ausgewiesener Leihe bin, eigentlich keine Ahnung von solchen Sachen habe und vielleicht kann ein Experte hier das ganze Vorgehen nochmals genauer durchleuchten. Ich bin das Risiko nur eingegangen, da die nächste Alternative eh nur ein Neuaufsetzen des Systems gewesen wäre. Insofern konnte ich diesen Vorgang eigentlich recht risikolos austesten, da ich meine eigenen Daten bereits auf CD-Rom gesichert hatte.

Meinerseits kann dieser Thread somit geschlossen werden und danke nochmals allen hier, die mir Ihre Hilfe angeboten haben.