Hallo,

mein Avira AntiVir hat bei mir schon öfters den "Virus" Cirdoor.13 gefunden, was ist das und was soll ich dagegen machen?

Ich kann seit neustem auch kein Crysis mehr starten, weil meine Grafikkarte wohl nicht dafür ausreicht (8800gt Ging vor kurzem aber noch) und mein CounterStrike Source startet ebenfalls nichtmehr. Kann es sein, dass sowas an dem Ciadoor liegt?

Ich habe gelesen, dass man einen HJT-Logfile machen sollte und den hier posten, dann mach ich das mal:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:31:43, on 31.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Dokumente und Einstellungen\Virus90\Desktop\Downloads\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.r-b-a.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

Seht ihr da was Aussergewöhnliches? (Ich kenne mich da garnicht aus)
Was soll ich dagegen tun?

Ich bin auf jeden Fall für jede Antwort dankbar!

Mit freundlichen Grüßen und euch Allen einen guten Rutsch,
Vitalij

Hallo,
ich bins nochmal :-(

Ich stelle gerade fest, dass keine Spiele mit neuer Grafik gehen, obwohl ich eine 8800gt und die neusten Treiber installiert habe. Könnte das an dem Virus liegen? =O

Also nur zur Information die Spiele, die davor gingen und auf einmal nichtmehr:

Battlefield 2142
Counterstrike Source
Day of Defeat Source
Crysis
Need for Speed Pro Street Demo


Und alte Spiele, wie Counterstrike 1.6 gehen

Ich bin echt verzweifelt. Was ist mit meinem (erst 3 Tage alten) System los und was kann ich tun :-(

Gruß
Vitalij

Hi,
Ich habe dein logfile bei Hijackthis.de scannen lassen und es scheint als hättest du den SDBOT.N bei google habe ich herausgefunden dass das ein Backdoor Trojaner ist.

Erläuterung:
Troj/Sdbot-N ist ein Backdoor-Trojaner, der einem Remote-Anwender unbefugten Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Wenn er ausgeführt wird, legt sich Troj/Sdbot-N als C:\Windows\system\svchosts.exe ab und fügt den Registrierungseintrag "Services" mit dem Wert "svchosts.exe" zu

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

hinzu.

Troj/Sdbot-N läuft als Dienste-Prozess im Hintergrund und versucht sich mit einem IRC-Server und einem bestimmten IRC-Kanal zu verbinden.

Troj/Sdbot-N wartet dann auf dem IRC-Kanal auf bestimmte Anweisungen und führt dann die entsprechenden Maßnahmen aus.

Quelle:Troj/Sdbot-N - Trojaner - Sophos Bedrohungsanalyse

Entvernung:

Bevor Sie das Trojaner-Programm löschen, müssen Sie den Trojaner-Dienst beenden.

Windows NT/2000/XP

Unter Windows NT/2000/XP müssen Sie folgenden Registrierungseintrag löschen. Unter Windows 95/98/Me ist das Entfernen dieses Schlüssels optional.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

und löschen Sie alle Verweise auf die von Ihnen gelöschten Dateien.

Schließen Sie den Registrierungseditor.

Quelle:Troj/Sdbot-N - Trojaner - Sophos Bedrohungsanalyse

Dein system ist aber kompromittiert und deshalb musst du um einen vertrauenswürdigen zustand zu erreichen das system neu aufsetzen und es absichern!

Anleitung:
http://www.trojaner-board.de/12154-a...sicherung.html

dankesehr schonmal für die schnelle hilfe, bin dir echt sehr dankbar.
aber noch eine frage bevor ich registrierungsdateien lösche. unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run in dem ordner alle registrierungsdateien löschen oder nur bestimmte? ich hab da 16 einträge, soll ich einfach alle löschen?
und ist der trojaner nach dem löschen der registrieungsdateien vollständig entfernt oder muss ich ihn noch irgendwo löschen?

und dann wenn er weg ist, müsste es doch vielleicht auch ohne system neu aufsetzen gehen oder? ich war selber so blöd und hab mir den trojaner wohl selber eingefangen, er ist nicht durch sicherheitslücken durchgekommen, hab was auf einer unbekannten seite runtergeladen.

und wieso zeigt mir mein Avira Antivir "BDS/Ciadoor.13" an und nicht SDBOT.N?

Im Vorraus schonmal vielen dank an den, der mir die fragen beantwortet. ich hoffe ich nerve euch nicht

Sorry für den Doppelpost, ich weiß nicht wie man hier Beiträge editiert.
Falls es von Bedeutung ist: Ich habe gerade das System nochmal gescannt mit Avira AntiVir und 2 mal "Trojanische Pferd TR/Crypt.NSPM.Gen" gefunden

Hi,
Ich würde dir empfehlen das system neuaufzusetzen da es nicht mehr sicher irgendwer kann sich jederzeit den vollen zugriff auf deinen rechner nehmen und dateien lesen programme starten usw.!
Setze dein System einfach neu auf nach dieser Anleitung http://www.trojaner-board.de/12154-a...sicherung.html. Danach müssten auch deine spiele wieder funktionieren! Und da du die ja bestimmt gekauft hast ist eine neu instalation auch kein problem oder
Weil selbst wenn du es nach der anleitung entfernst ist dein System immernoch kompromittiert (Technische Kompromittierung - Wikipedia) Also einfach neu aufsetzen!

och nöö ja ich habe die spiele orginal, sind onlinegames für die man einen key braucht. aber hab den pc erst circa 1 oder 2 wochen und alles eingerichtet und alles installiert was ich brauche. jetzt nochmal alles von vorne?
wie unsicher ist der pc wenn ich die trojaner nur entferne und das system nicht neu aufsetze? ist der pc dann unsicherer als wenn ich mir einfach ein komplettsystem kaufe auf dem windows schon installiert ist (nur als beispiel) oder ist der pc aufgrund von dem einen trojaner angegriffen und verwundbarer?

und nochmal:
1. - HKLM\Software\Microsoft\Windows\CurrentVersion\Run soll ich einfach alle registrierungseinträge vom Run-ordner löschen?
2. - und ist dann der trojaner weg?
3. - oder muss ich zusätzlich dann nochwas löschen?

vielen dank für deine hilfe!

Trojaner greifen nicht an, Du lädst sie Dir irgendwo runter und dann startest Du ihn. Was Du dabei für ein System benutzt ist egal, denn das Problem sitzt vor dem PC und bedient ihn.

ja schon. aber wenn ich ihn entferne ist mein system wieder so "sicher" wie vor dem trojaner download?

und bitte das noch beantworten:
1. - HKLM\Software\Microsoft\Windows\CurrentVersion\Run soll ich einfach alle registrierungseinträge vom Run-ordner löschen?
2. - und ist dann der trojaner weg?
3. - oder muss ich zusätzlich dann nochwas löschen?

Nein eben nicht dein system ist erst nach dem wíeder neu aufsetzen wieder so sicher wie vor dem trojaner!
http://www.trojaner-board.de/13150-u...-erfa-ulm.html Vorallem Nr. 6 ist wichtig für dich!
Und das wie man den trojaner entfernt habe ich nur der Vollständigkeit halber dazu geschrieben!

das heißt auch nachdem ich den trojaner entfernt habe, kann jemand meine date(ie)n einsehen und manipulieren und meine passwörter klauen etc.? und bitte beantworte die 3 fragen noch

woher willst Du eigentlich wissen, dass da nicht ein zweiter Trojaner läuft?

weil Du ihn nicht findest? das wäre dann beabsichtigt.

aber wenn man das so sieht, dann könnte man immer einen trojaner haben, also jeden tag system neu aufsetzen? :S

ich bitte immernoch um die beantwortung von den 3 fragen von vorhin

Und Nein nicht den ganzen Eintrag HKLM\Software\Microsoft\Windows\CurrentVersion\Run löschen!
Sondern nur den Eintrag:Services mit dem Wert: svchosts.exe
Aber besser und sicherer ist es das system neuaufzusetzen.
Und wenn du in der Registry auch nur einen falschen eintrag löschst musst du vielleicht sowieso das system neu aufsetzen!
Troj/IRCBot-P, Sdbot.N Der gleiche trojaner nur eine andere bezeichnung!

Der der die kontrolle über dein system hat, wer weiß schon wie lange, kann schon tausend andere trojaner, schadprogramme, schadcodes usw. instaliert haben! Ohne das dein AV programm was merkt er kann es ja manipuliert haben! Er kann auch andere programme so verändern das sie schädlich sind ohne das du verdacht schöpfst aber wenn du das System neu aufsetzt dann wird die festplatte komplett formatiert (gelöscht) einfach alles was drauf ist und das system wird neu instaliert das heißt das du wieder frei von trojanern bist und wenn du nicht wieder einen ausführst kannst du auch nicht wieder manipuliert werden ! Also bist du wieder sicher!
Also bitte setze dein system neu auf!

dann werde ich wohl in den nächsten tagen das system neu aufsetzen dankesehr für eure hilfe, ihr seid klasse!
achja und ich habe im run-ordner garkeinen Services-Eintrag mit dem Wert svchosts.exe.