Hallo Forum!
Ich hatte Malware. Jetzt scheint sie weg zu sein. Waren es digitale Strauchdiebe, die ich erfolgreich verjagt habe, oder haben sich die Syndikatskiller nur versteckt und werden bald grausam zuschlagen?

Ich habe mir am 01.01.2008 bei der Suche nach Plugins für den WindowsMediaPlayer möglicherweise Malware eingefangen. Bei der Mediathek vom ZDF wird das eingebaute Plugin von Mediaplayer 9 nicht erkannt Das Problem samt Lösung ist hier beschrieben: http://mozilla.b61.de/plugins/#wmp2
Bis ich das Problem gelöst hatte und diese Stelle gefunden hatte war ich auf mehreren „hilfreichen“ Websites und habe anschließend das Sytem geprüft. Bei Hijachthis war ein unbekannter Eintrag bei O4, der bei der Onlineauswertung als schädlich angegeben wurde und gefixt werden sollte. Das habe ich getan, der Eintrag blieb nach neuer Prüfung mit HijackThis weg. Leider wurde dabei das Logfile überschrieben, sodaß ich den genauern Namen des Problems nicht mehr herausbekomme. Systemtests mit Antivir, Malwarebytes und Spybot waren ohne Malwarenachweis.
Am 03.11.2008 bekam ich plötzlich vom Antivir Guard eine Malwarewarnung es sei das Backdoorprogramm „PDS/Pcclient.ptl“ in einem Teil von Firefox gefunden worden. Ich habe das Programm bei Jotti testen lassen. Dabei fand nur Antivir das Programm schädlich. Wegen des Verdachtes auf false positiv habe ich die Datei zu Antivir (http://analysis.avira.com/samples/index.php ) geschickt und bekam folgende Nachricht:
(Zitat)„Die Datei '177E6B52d01' wurde als 'DAMAGED FILE (MALWARE)' eingestuft.Dies bedeutet, dass diese Datei beschädigt und nicht richtig lauffähig ist. Dennoch konnten wir feststellen, dass es sich hierbei um eine Datei handelt welche schädliche Codefragmente aufweist.“ (Zitatende)
Beim Aufräumen des Computers habe ich ein (angebliches?) WindowsMediaplayerUpdate mit CCleaner gelöscht. Das hatte ich tags zuvor auch schon ohne Reaktion vom Antivir Guard ausgeführt. Beim Löschvorgang bekam ich die Warnung, es sei das unerwünschte Programm „TR/Agent.553108“ [trojan] gefunden worden. Weil das Antivir immer so rumzickt, wenn ich ein Schadprogramm aus der Quarantäne bei Jotti hochladen will, hab ich es diesesmal mit „umbenennen“ versucht. Beim Versuch des Hochladens aus C:\Recyclers\S-1- usw.war die Datei aber schon leer. Die leere Hülle habe ich mit Killbox beseitigt.
Die anschließenden Suchdurchläufe mit Antivir, Spybot und Malwarebytes waren wieder ohne Malwarefund. Der Computer läuft wie sonst. Eine Prüfung mit der Avira Rescue-CD war wegen des zu kleinen Arbeitspeichers nicht möglich. Die Prüfung des Routers bei Heise Security ergab keine Lücken. Das Hijachthis Logfile scheint in Ordnung. Ich werde es getrennt vom betroffenen Rechner schicken.
Ich finde es erstaunlich, daß nach meinen Irrwegen im Netz plötzlich so halbe Bedrohungen auftauchen. Kann man irgendwie herausbekommen, ob irgendwo eine Backdoor offen ist? Viele Grüße harlud

Hier die weiteren Daten:
mein System:
Computer:
Betriebssystem Microsoft Windows 2000 Professional
OS Service Pack Service Pack 4
DirectX 4.07.00.0700 (DirectX 7.0)

Motherboard:
CPU Typ Mobile Intel Celeron, 600 MHz (6 x 100)
Motherboard Name TOSHIBA S1690CDT
Motherboard Chipsatz Intel 82440BX/ZX
Arbeitsspeicher 192 MB (SDRAM)
BIOS Typ Phoenix (06/01/00)
Anschlüsse (COM und LPT) Kommunikationsanschluss (COM1)
Anschlüsse (COM und LPT) Druckeranschluss (LPT1)

Anzeige:
Grafikkarte XPERT 98 AGP 2X (4 MB)
3D-Beschleuniger ATI 3D-Rage LT Pro
Monitor Digital-Flachbildschirm (800x600)

Multimedia:
Soundkarte Cirrus Logic CS4281 Audio Accelerator

das HijackThis-File:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:06, on 04.11.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: xxx

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\ati2plxx.exe
C:\WINNT\System32\svchost.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Privoxy\privoxy.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HiJackThis.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=127.0.0.1:8118;h**ps=127.0.0.1:8118;socks=127.0.0.1:9050
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204997824279
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207746767063
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2plxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 4138 bytes
Gruß harlud
PS.: Das Fernsehgucken geht übrigens mit diesem alten Schätzchen sehr gut, obwohl die Systemanforderungen des ZDF nicht erfüllt werden.

Hallo zusammen! Bisher keine Antwort. OK, also zuviel Story und zu diffuse Frage meinerseits. Inzwischen ist auch der Komplett-Scan von SUPERAntiSpyware ohne Fund.
Kurze Frage : reicht das? Gruß harlud

Hiho,

Woooow, das ist mal der Vorbildlichste Thread den ich bis jetzt gesehen habe!

b2t: Du hast definitiv einen Backdoor auf dem System gehabt. Nun hast du aber eine 50/50 Chance:

1. Der Backdoor war nur dieses eine "Plugin"

oder

2. Der Angreifer hat schon einen anderen Backdoor in deinem System verankert, den man so ohne weiteres NICHT löschen kann.

Leider ist in deinem Fall das 2 wahrscheinlicher, da du das ganze andere Zeug so leicht abschießen konnstest..

Meine Empfehlung (und die von jedem Supporter hier):

http://www.trojaner-board.de/51262-a...sicherung.html

Wenn du eine Bereinigung versuchen/riskieren willst, poste hier nochmal

Kann ab hier einer von den Regulars bitte übernehmen? Ich werde die nächsten Tage nicht on sein..

lg, Sky

Danke SKY ! Neuaufsetzen ist eigentlich kein Problem. Die Festplatte ist klein und ich habe eigentlich alle Daten griffbereit. Allerdings habe ich bisher noch nicht begriffen, warum man offenbar nicht feststellen kann, ob eine Backdoor offen ist. Ich könnte zum Beispiel auf dem fraglich befallenen Rechner alle sensiblen Dinge meiden und mal abwarten, ob sich über eine offene Backdoor wieder Malware einschleicht. Und mit einem 600MHz Celeron und einer 5,59GB Festplatte mit 1,51GB freiem Speicherplatz kann die BotNet-Mafia auch keine großen Sprünge machen.
Meine Fragen:
1.) kann man das wagen?
2.) findet z.B.Combofix offene Backdoors?
Viele Grüße harlud

Hallo zusammen! Ich hatte mich ausgesperrt. Nach Wechseln des Passwortes gabs keine Internetverbindung mehr. Ich brauchte erst einige Zeit, bis ich merkte, daß es nicht Malware sondern das alte Passwort im Router war. Jetzt bin ich wieder online und habe nichts verpasst.
Die erste Frage muß ich selber beantworten, klar.
Aber noch mal die Frage: Findet Combofix Backdoors? Ich meine nicht Backdoortrojaner sondern offene Backdoors. Gibt es irgendwo eine Zusammenfassung, nach welchem jeweiligen Prinzip die hier bei der Reparatur eingesetzten Programme arbeiten? Gruß harlud

Zitat:

Findet Combofix Backdoors? Ich meine nicht Backdoortrojaner sondern offene Backdoors. Gibt es irgendwo eine Zusammenfassung, nach welchem jeweiligen Prinzip die hier bei der Reparatur eingesetzten Programme arbeiten? Gruß harlud

Offene Hintertüren werden durch Combofix nicht gefunden.

Hallo Silent Shark! So werde ich wohl neu aufsetzen. Wie Windows neu aufgesetzt wird, weiß ich. Wie aber, wenn ich stattdessen Xubuntu laden will. Wird die HD dann beim Installieren auch neu formatiert? Gruß harlud

Zitat:

Wird die HD dann beim Installieren auch neu formatiert?

Bin ich mir nicht sicher.
Ich würde das Risiko aber nicht eingehen.

Beim Aufspielen von Xubuntu kann man auswählen, ob und wie man die Festplatte formatieren will, wenn vorher Windows drauf war, ist formatieren aber sowieso Pflicht.
Bei 'nem 600MHZ Celeron würde ich als Desktop übrigens Fluxbox nehmen, das ist noch ein ganzes Stück ressourcenschonender als Xfce und, wenn man sich mal dran gewöhnt hat, toll.

LG
Taranis

Hallo Taranis! Ich bin gerade mit der Linux Version Puppy-Linux 4.1 hier auf der Website. Das ist auch schlank und schien mir einfacher in der Anwendung zu sein. Danke an alle! harlud