Trojaner und Backdoors ?

Loopexpert · 08.09.2007, 18:17

Guten Abend

Seit ein paar Tagen versuchen Prozesse auf das Internet zuzugreifen, welche von ZoneAlarm bzw. BitDefender Internet Security 10 geblockt werden. BitDefender findet zB einen "Trojan.Peed.Gen" in einer "frfdlyb.exe" oder einen "Backdoor.Agent.YRG" in einer "bzchepa.exe" oder einen "Backdoor.Irc.Bod.HA" in einer "pselbyz.exe". All diese Files befinden sich in /system32.

Hier mal der HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:01:23, on 08.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
O:\WINNT\System32\smss.exe
O:\WINNT\system32\winlogon.exe
O:\WINNT\system32\services.exe
O:\WINNT\system32\lsass.exe
O:\WINNT\system32\Ati2evxx.exe
O:\WINNT\system32\svchost.exe
O:\WINNT\system32\ZoneLabs\vsmon.exe
O:\WINNT\system32\spoolsv.exe
O:\WINNT\system32\svchost.exe
O:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
O:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
O:\WINNT\system32\MSTask.exe
O:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O:\WINNT\astra32.exe
O:\WINNT\System32\WBEM\WinMgmt.exe
O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O:\WINNT\system32\Ati2evxx.exe
O:\WINNT\Explorer.EXE
O:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O:\Programme\Analog Devices\SoundMAX\Smax4.exe
E:\ASUS\AsusProb.exe
O:\Programme\Logitech\iTouch\iTouch.exe
O:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
E:\BITDEFENDER\bdagent.exe
E:\ADOBE\ACROBAT_8PRO\Acrobat\Acrotray.exe
E:\BITDEF~1\bdmcon.exe
E:\ZONEALARM\ZoneAlarm\zlclient.exe
O:\Programme\Java\jre1.6.0_01\bin\jusched.exe
E:\BITDEFENDER\vsserv.exe
O:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O:\WINNT\system32\internat.exe
N:\HIJACKTHIS_\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - O:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - O:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] O:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "O:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ASUS Probe] e:\ASUS\AsusProb.exe
O4 - HKLM\..\Run: [zBrowser Launcher] O:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] O:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [BDAgent] "E:\BITDEFENDER\bdagent.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\ADOBE\ACROBAT_8PRO\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [BDMCon] E:\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\ZONEALARM\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "O:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = E:\ADOBE\ACROBAT_8PRO\Acrobat\acrobat_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\ADOBE\ACROBAT_8PRO\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\ADOBE\ACROBAT_8PRO\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - O:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - O:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7F48C7E-3947-4361-9D21-9D3514208D5E}: NameServer = 195.58.160.xxx,195.58.161.xxx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - O:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - O:\WINNT\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - O:\WINNT\System32\dmadmin.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - O:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - O:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sysinfo Tool for Win32 - Unknown owner - O:\WINNT\astra32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - O:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - E:\BITDEFENDER\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - O:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

rot markiert habe ich mir persönlich suspekte Prozesse.

Ich bitte um Durchsicht des Log-Files durch einen Experten - Danke!

Herzliche Grüße

Loopexpert

**Sunny** · 08.09.2007, 18:22

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

o:\winnt\frfdlyb.exe
O:\WINNT\astra32.exe
O:\WINNT\bzchepa.exe
O:\WINNT\pselbyz.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Gruß

Sunny

Loopexpert · 09.09.2007, 16:47

Hallo!

Als erstes herzlichen Dank für die ausführliche Beschreibung und Anleitung.
Ich bin nun einige Stunden gesessen und habe die Ausführungen exakt befolgt. Leider gab es immer wieder Probleme.

Zunächst die Ergebnisse der Online-Prüfung:

Ergebnisse von Virus Total:

/system32/tftp.exe

File size: 18192 bytes
MD5: b781393c50ad9d803c24d75f734645e4
SHA1: 330bf911c2763a4d0cf78b063b8ccb3bd5748c10

Gefunden:
AVG 7.5.0.485 2007.09.09 Generic_c.KR
alle anderen - fehlerfrei
---------------

/system32/ftp.exe

File size: 42256 bytes
MD5: e241461385ba144184c738c59760bbd5
SHA1: 8a668afe2b26559bfd15e60acb3f14ec0dfbb6ce

Gefunden:
AVG 7.5.0.485 2007.09.09 Generic_c.RT
alle anderen - fehlerfrei
---------------

Die gesuchten Dateien

o:\winnt\frfdlyb.exe
O:\WINNT\astra32.exe
O:\WINNT\bzchepa.exe
O:\WINNT\pselbyz.exe

wurden sofort beim Start des Computers vom Bitdefender erkannt und verschoben, ohne dass diese aktiv werden konnten.
Ich bin aber sicher, dass diese Dateien - oder Verwandte davon - noch immer irgendwo im Gerät herumschwirren, denn es kommen oft unmotiviert Anzeigen vom BitDenfender (ich schreibe z.B. gerade in Word einen Brief), dass es in /System32 einen Virus gefunden hat, den aber unschädlich machen konnte. Die Quarantäne-Ordner des BD sind aber leer (ich lasse auch versteckte Dateien etc. anzeigen - Ordneroptionen - diese Vorgänge sind mir geläufig).

Dann das E-Scan:

Die "find.bat" hat die Sprache nicht richtig erkannt und daher abgebrochen obwohl ich zuverlässig "deutsch" gewählt habe. Das Suchprogramm selbst lief auch in Deutsch problemlos ab.
Aus diesem Grund kann ich keinen Log dieser Datei posten. Ich habe aber die Protokolle im Programm in den Editor kopiert:

Code:

ATTFilter

E-Scan - Protokoll:
-------------------
Gescannte Dateien:

Sun Sep 09 16:59:16 2007 =>
Anzahl der gelöschten Dateien: 0

Sun Sep 09 16:59:16 2007 =>
Anzahl Fehler: 48

Sun Sep 09 16:59:16 2007 =>
Dauer des Scans bisher: 00:59:19

Sun Sep 09 16:59:16 2007 =>
Virus-Datenbank Datum: 9/9/2007

Sun Sep 09 16:59:16 2007 =>
Virus-Datenbank Zähler: 410526

Sun Sep 09 16:59:16 2007 =>
Scan vollständig.
---------------------------------

Virus Protokoll Information:

Datei O:\WINNT\system32\Explorer.exe infiziert von "Backdoor.Win32.IRCBot.afm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Object "toolbardeepdive Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\Access.Error.3" verweist auf das ungültige Objekt "{F83FF591-1EF3-713F-24A7-5036C2550987}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\TSLV.TSLV" verweist auf das ungültige Objekt "{612DE685-FCC5-11D1-8A36-00A0C9B82ABC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\TSLV.TSLV.1" verweist auf das ungültige Objekt "{612DE685-FCC5-11D1-8A36-00A0C9B82ABC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\BITDEFENDER\asemlrbl.mdl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\BITDEFENDER\asemlnn.mdl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\BITDEFENDER\aswfwords.dat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\BITDEFENDER\aswfconf.dat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\BITDEFENDER\asnndata.dat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\BITDEFENDER\as2imgdb.dat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt O:\WINNT\system32\drivers\vsdatant.sys". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "O:\DOKUME~1\DasTeam\LOKALE~1\Temp\SqlSetup\Temp\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "O:\DOKUME~1\DasTeam\LOKALE~1\Temp\SqlSetup\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ADM". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".at/www/". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".at/www/home/". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".BAK". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".cbk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".db". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".de/pub/". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".de/pub/linux/". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".de/pub/linux/knoppix/". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".Evt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".hpt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".llr". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".msf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".quarcore_cache". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rbf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".tmp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".xpi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Thunderbird (1.5)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei O:\WINNT\system32\explorer.exe infiziert von "Backdoor.Win32.IRCBot.afm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Auch die "filelist.bat" funktioniert auf meinem System nicht, weil sie mein Betriebssystem (Win 2000 SP4) nicht unterstützt.

Code:

ATTFilter

not supported windows version 
---------------------------------------- 

Microsoft Windows 2000 [Version 5.00.2195]

Soviel dazu.

Liebe Grüße
Loopexpert

KarlKarl · 09.09.2007, 17:11

Hi,

doch, Windows 2000 wird unterstützt. Ich vermute mal eher, dass Du die zu Windows gehörende Datei find.exe mal gelöscht hast. Mit Windows werden einige Programme installiert, die dazu dienen, aus Batchdateien (oder von der Befehlszeile) aufgerufen zu werden. Das Fehlen der find.exe führt dazu, dass die Versionserkennung nicht mehr funktioniert. Wer Systembefehle entfernt, hat dadurch ein anderes System, bei dem es dann Glückssache ist, was noch funktioniert.

Ich hatte schon mal eine Version geschrieben, die das Vorhandensein aller benutzten Befehle prüft, bei der wären dann aber Windows 95, 98 und ME außen vor. Dummerweise hat mir dann jemand geflüstert, dass ich die unterstützen müsse (wovon ich garnichts halte).

Notbehelf: Öffne filelist.bat mit dem Editor und füge die im folgenden fett formatierte Zeile ein:

Code:

ATTFilter

@echo off
if "%temp%"=="" set temp=%windir%\..
set lfile=%temp%\filelist.txt
if exist %lfile% del %lfile%
goto newwin

ver | find /i "Windows XP" > nul
if not errorlevel 1 goto newwin
ver | find /i "Windows 2000" > nul
if not errorlevel 1 goto newwin
ver | find /i "Windows 2003" > nul
if not errorlevel 1 goto newwin
[...]

abspeichern. Nun wird die Versionserkennung übersprungen und es sollte klappen.

So wie sich allerdings bei dir die Backdoors stapeln, ist das wohl nicht mehr relevant: Nach formatieren und neu installieren sollte dein Betriebssystem wieder in Ordnung sein.

Gruß, Karl

Loopexpert · 09.09.2007, 18:31

Hallo Karl,
zunächst danke für Deine Hilfe.
Die Änderungen im Progarmm werde ich versuchen und darüber berichten.

Allerdings:

Zitat:

Zitat von KarlKarl

So wie sich allerdings bei dir die Backdoors stapeln, ist das wohl nicht mehr relevant: Nach formatieren und neu installieren sollte dein Betriebssystem wieder in Ordnung sein.

Das klingt ja nach dutzenden von "Freunden".
Defacto kann ich nur zwei Dinge aus den Files herauslesen, die aber jeweils dreimal gefunden wurden - warum auch immer:

Datei O:\WINNT\system32\Explorer.exe infiziert von "Backdoor.Win32.IRCBot.afm" Virus.
Object "toolbardeepdive Adware" in Dateisystem gefunden

Dass die "explorer.exe" betroffen ist, stimmt mich allerdings unruhig, denn die ist ja nicht ganz unwichtig für die stabile Funktion des Rechners. Hier gab es in der letzten Zeit einige Probleme. Aber kann nicht nur diese Datei neu installiert werden - z.B. kopiert aus einem anderen Rechner mit dem selben Betriebssystem?

Die anderen Angaben über ungültige Verknüpfungen finde ich nicht so schlimm - ich kenne keinen Rechner, der nicht zumindest einige derartige "Fehler" aufweist.
Oder liege ich hier falsch?

Den Rechner neu aufsetzen ist ein absolutes Disaster

Damit sind wieder viele Tage Arbeit verbunden, die mir derzeit nicht zur Verfügung stehen und ich kenne die "Freuden" dieses "Jobs", bis alles wieder einigermaßen so funktioniert, wie es soll.
Verdammte Sch.....

Was ich mich frage ist, wie diese Schädlinge auf meinen Rechner kommen. Ich arbeite normalerweise auf einem eingeschränkten Account (kein Administrator). Habe Virenscanner, Firewall, AdAware etc. installiert und gehe nur dann Online (XDSL), wenn es wirklich erforderlich ist und besuche keine fragwürdigen Sites. Ich lasse diese Schutzprogramme auch regelmäßig Scans machen, ohne dass bisher etwas gefunden wurde. Ich verwende Firefox und Thunderbird, um nicht von den Problemen aus Redmond betroffen zu sein. Beim Öffnen von Mails bin ich extrem restriktiv - was nicht astrein erscheint, wird ohne Öffnen (auch kein Vorschaufenster in Verwendung) als Spam gelöscht und entsorgt.
Wo sitzt der Hase im Pfeffer?

Muss ich wirklich alles neu aufsetzen?

Liebe Grüße aus Wien
Loopexpert

Franz1968 · 09.09.2007, 18:42

Zitat:

Zitat von Loopexpert

Muss ich wirklich alles neu aufsetzen?

Ja, musst du. Um die legitime explorer.exe brauchst du dir übrigens keine Gedanken zu machen, denn die dürfte noch "da" und im Übrigen auch "gesund" sein. Sie gehört nämlich in den Windows- und nicht in den system32-Ordner. Das Exemplar im system32-Ordner ist dein Problem oder ein Teil davon, denn von Microsoft kommt es nicht.
Woher der Befall letztendlich kommt: keine Ahnung, naturgemäß. Ein nicht oder unzureichend abgesichertes Netzwerk fällt mir noch ein, natürlich auch der physische Zugriff eines anderen auf deinen Rechner. Virenscanner und Firewall dagegen können keine hundertprozentige Sicherheit garantieren.

Loopexpert · 09.09.2007, 19:09

Hallo Franz,

na, das sind ja nicht unbedingt erfreuliche Nachrichten:

Zitat:

Zitat von Franz1968

Ja, musst du. Um die legitime explorer.exe brauchst du dir übrigens keine Gedanken zu machen, denn die dürfte noch "da" und im Übrigen auch "gesund" sein. Sie gehört nämlich in den Windows- und nicht in den system32-Ordner. Das Exemplar im system32-Ordner ist dein Problem oder ein Teil davon, denn von Microsoft kommt es nicht.

Aber eine Frage noch:
Wenn ich irgendwie versuche - wie auch immer - die "explorer.exe" im Systen32-Ordner zu killen, geht das dann? Oder wird es da auch noch versteckte Registry-Einträge, die die Datei wie Phoenix aus der Asche wieder erstehen lassen, geben? Geht das irgendwie?

Dass die Herkunft von den Quälgeistern nicht einfach nachzuvollziehen ist, ist ja ohnedies bekannt - leider. Ich bin mir nur wirklich keiner Schuld bewußt, dass ich irgendwelche Fehler gemacht hätte. Naja, what shalls!

Liebe Grüße
Loopexpert

Loopexpert · 16.09.2007, 15:03

Hallo,

entschuldigt zunächst, dass ich mich längere Zeit nicht gemeldet habe - ich stehe arbeitsmäßig momentan ziemlich Kopf

und arbeite auch die Wochenenden durch - wie jetzt soeben.

Jedenfalls habe ich dann die gefälschte Datei "explorer.exe" (ca. 40kB) im System32-Ordner zunächst zugänglich gemacht und dann gelöscht - ging problemlos.

Ja, und seither ist wieder Ruhe - der Rechner ist wieder schneller, die diversen Suchprogramme finden derzeit nichts - die Inhalte in den diversen Quarantäne-Ordnern habe ich auch gelöscht.

Ich bin froh, dass ich hier so einfach das Problem mit Eurer Hilfe lösen konnte - war wohl auch ein gutes Stück Glück dabei.

Jedenfalls ein herzliches DANKE für Eure Tipps, ich habe wieder einiges dazugelernt.

Liebe Grüße aus Wien
Loopexpert

Trojaner und Backdoors ?

Log-Analyse und Auswertung: Trojaner und Backdoors ?