![]() |
|
Plagegeister aller Art und deren Bekämpfung: Backdoor ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Backdoor Problem Ich hatte vor längerer Zeit einige Viren die ich mit einer eScan Trial Version gelöscht habe. Jedoch wurden anscheinend nicht alle Viren gelöscht und nun habe ich gestern ganz zufällig einen Computer namens Joans im Netzwerk gefunden. Ich konnte sogar auf ihn zu greifen. Schon davor war mir aufgefallen das meine Firewall ständig down war und sobald ich sie an machte sie auch schon wieder aus war. Also habe ich mir noch mal eScan runtergeladen und gescannt. eScan hat einen Prozess gefunden der in der winsock32.sys datei war. Irgendein Backdoor. Den genauen Namen weiß ich nicht mehr und eScan findet ihn auf einmal nicht mehr obwohl ich ihn nicht gelöscht habe. In einem anderen Forum habe ich auch darüber gelesen und es stand da das es fast unmöglich wäre ihn zu löschen weil er sich im gesamten System breit macht ... Wenn das wirklich nicht mehr geht wüsste ich trotzdem gerne ob ich meine Dateien auf einer anderen Partition (ich habe 2 eine mit Windows und eine ohne) irgenwie sichern kann ohne das ich den Virus mit drauf habe? Hoffe auf schnelle antwort denn ich habe immer weniger Zugriff auf meinen PC ich schreibe jetzt schon auf einem anderen PC. m fg KillingFrenzy |
![]() | #2 |
![]() | ![]() Backdoor Problem Entschuldigt den doppelpost aber eScan hat die Datei nun wieder gefunden und gelöscht. Sie heißt Backdoor.Win32.Ciadoor13". Doch gelöscht wurde die schon oft soll heißen sie ist immer wieder da. Zudem wurde der Virus "Trojan-PSW.Win32.VB.km" gefunden...
__________________Hoffe das hilft etwas bei der bekämpfung |
![]() | #3 |
/// Helfer-Team ![]() ![]() ![]() ![]() | ![]() Backdoor Problem Hi,
__________________wichtig ist es die Systempartition zu formatieren und neu zu installieren. Wenn auf der anderen Partition wirklich nur Daten liegen (also keinerlei Programme), dann ist sie relativ ungefährlich. Nach Neuinstallation ist es aber dennoch zu empfehlen, sie sorgfältig scannen zu lassen bevor Du sie wieder nutzt. Du kannst ja noch mal ein HijackThis reinstellen, allerdings deine bisherigen Beschreibungen lassen mich stark vermuten, dass das nichts mehr helfen wird. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Dieser Schritt ist erforderlich geworden, da es Malware gibt, die das Programm ansonsten erkennt und sich vor ihm versteckt. Nun HJT.exe starten, auf "Scan" klicken und das Log hier posten. Gruß, Karl |
![]() | #4 |
![]() | ![]() Backdoor Problem Logfile of HijackThis v1.99.1 Scan saved at 15:10:55, on 20.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\mom.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Intel Audio Studio\IntelAudioStudio.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Winamp\winampa.exe C:\Programme\A4Tech\Mouse\Amoumain.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\QuickTime\qttask.exe D:\Programme\FlashGet\FlashGet.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Wave Systems Corp\Common\DataServer.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\programme\steam\steam.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\Programme\Intel\AMT\LMS.exe C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\eScan\mwavscan.exe C:\PROGRA~1\eScan\vista\ScanningProcess.exe C:\PROGRA~1\eScan\vista\ScanningProcess.exe C:\Programme\Mozilla Firefox\firefox.exe D:\hjt\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [Flashget] D:\Programme\FlashGet\FlashGet.exe /min O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168538686125 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: DataSvr - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Common\DataServer.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE O23 - Service: NTRU Hybrid TSS v1.05 TCSD (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe |
![]() | #5 | |
/// Helfer-Team ![]() ![]() ![]() ![]() | ![]() Backdoor ProblemZitat:
![]() |
![]() | #6 |
![]() | ![]() Backdoor Problem Was ist hinüber? Soll ich alles neu installieren oder kann ich meine D Partition noch retten? Sind einige Sachen drauf die ich nicht so gerne verliere ... Filme und einige Spiele^^ Schon mal danke für die Hilfe KarlKarl. mfg KillingFrenzy |
![]() | #7 |
![]() | ![]() Backdoor Problem Datei C:\WINDOWS\system32\wsock32.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\Program Files\firefox.exe markiert als not-a-virus:PSWTool.Win32.FirePass.a. Keine Aktion vorgenommen. Datei C:\Program Files\Steamdown_P10_client.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\Programme\TightVNC\VNCHooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.b. Keine Aktion vorgenommen. Datei C:\Programme\TightVNC\WinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP225\A0119802.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119830.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119833.exe//UPX infiziert von "Trojan-PSW.Win32.Steam.f" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119905.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119920.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0120059.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0120308.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht. Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122325.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht. File D:\BlackHackerDVD\ChrisControl-v1.7.exe//PE_Patch.UPX//UPX//psexec.exe//UPX markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Datei gelöscht. Datei D:\BlackHackerDVD\dialupass2\dialupass.exe//UPX markiert als not-a-virus:PSWTool.Win32.Dialupass.f. Keine Aktion vorgenommen. Datei D:\BlackHackerDVD\mspass\mspass.exe//PE_Patch.UPX//UPX markiert als not-a-virus:PSWTool.Win32.Messen.110. Keine Aktion vorgenommen. Datei D:\BlackHackerDVD\ophcrack an Resch (192.168.123.160)\win32_tools\LsaExt.dll markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen. Datei D:\BlackHackerDVD\ophcrack an Resch (192.168.123.160)\win32_tools\pwservice.exe markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen. Datei D:\BlackHackerDVD\ophcrack an Resch (192.168.123.160)\win32_tools\samdump.dll markiert als not-a-virus:PSWTool.Win32.PWDump.2. Keine Aktion vorgenommen. Datei D:\BlackHackerDVD\ophcrack-win32-installer-2.3.4.exe//data0036 markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen. Datei D:\Downloads\steam serial generator\steam serial generator.exe infiziert von "Backdoor.Win32.Bifrose.aes" Virus. Aktion vorgenommen: Datei gelöscht. Datei D:\Downloads\steam.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.VB.are" Virus. Aktion vorgenommen: Datei gelöscht. Datei D:\Downloads\steamdown\firefox.exe markiert als not-a-virus:PSWTool.Win32.FirePass.a. Keine Aktion vorgenommen. Datei D:\Downloads\steamdown\Steamdown_P10_client.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht. Datei D:\Games\Warcraft III\support\Layout\cheat cs.exe markiert als not-virus:BadJoke.Win32.Badgame. Keine Aktion vorgenommen. File D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122326.exe//PE_Patch.UPX//UPX//psexec.exe//UPX markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Datei gelöscht. Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122327.exe infiziert von "Backdoor.Win32.Bifrose.aes" Virus. Aktion vorgenommen: Datei gelöscht. Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122328.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.VB.are" Virus. Aktion vorgenommen: Datei gelöscht. Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122329.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht. Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122331.exe markiert als not-a-virus:PSWTool.Win32.FirePass.a. Keine Aktion vorgenommen. Das hat eScan gefunden! |
![]() | #8 | |
![]() ![]() ![]() ![]() | ![]() Backdoor Problem @KillingFrenzy Zitat:
![]() |
![]() | #9 |
Gesperrt | ![]() Backdoor Problem naja...Das einfachste wäre halt in irgendein Computerfachgeschäft zu gehen (wo die auch reparatur anbieten) und das die dass dann überprüfen...aber hab Mitleid mit deiner armen Brieftasche^^ ich überprüf grad auch meinen PC 5 trojaner 21 TrackingCookie und 4 backdoor wünscht mir viel spass die ganze *piiiieeeep* zu entfernen^^ |
![]() |
Themen zu Backdoor Problem |
auf einmal, backdoor, computer, datei, dateien, down, escan, firewall, forum, gelöscht, löschen, namens, netzwerk, nicht mehr, problem, prozess, system, version, viren, virus, windows, winsock, wirklich, zufällig, zugriff |