|
Log-Analyse und Auswertung: Probleme mit WIN32 BackdoorWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.04.2009, 16:54 | #1 |
| Probleme mit WIN32 Backdoor Hallo liebe Forumsleser und Administratoren, erstmal HALLO im Forum und vielen Dank, dass es solch eine tolle, nicht kommerzielle Unterstützungsmöglichkeit im Dschungel des Webs gibt! Bedauerlicherweise muss ich heute auf diese Hilfe zurückgreifen: Bereits nun vor zwei Wochen meldete mit asquared den Virus WIN.32.sality!IK (ort:?), welchen ich in Quaratäne verschoben habe und danach gelöscht habe. Bei einem erneuten Scan erschien dann diese Meldung:Virus.Win32.Patched.B!IK in C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP116\A0029870.exe, auch diesen habe ich in Quaratäne verschoben und gelöscht. Danach den Rechner mit CCleaner ordentlich geputzt und mit asquared, Norton Security Scan, Super Antispyware, Ad Aware, Antivir und Spybot gescannt und keine Ergebnisse gefunden. Hijack This online auswerten lassen - nichts verdächtiges und nachdem ich dies mehrere Tage täglich gescannt und beobachtet hatte, dachte ich WOW,habe ich das Ding wirklich gekillt!!! Und nun heute der große Schock, wieder beim Scan mit asquared: a-squared Anti-Malware - Version 4.0 Letztes Update: 27.04.2009 12:00:48 Scan Einstellungen: Objekte: Speicher, Traces, Cookies, C:\ Archiv Scan: An Heuristik: Aus ADS Scan: An Scan Beginn: 27.04.2009 15:00:58 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08100_2.1.exe gefunden: Adware.Win32.BetterInternet.aln!A2 C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Anwendungsdaten\SupportSoft\dellsupportcenter\Internet\exec\DSCPatch_2_2_08267_2.1.exe gefunden: Adware.Win32.BetterInternet.aln!A2 C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_07.b06\launcher.exe gefunden: Backdoor.Win32.IRCBot.gju!A2 Gescannt Dateien: 134414 Traces: 668914 Cookies: 5 Prozesse: 50 Gefunden Dateien: 3 Traces: 0 Cookies: 0 Prozesse: 0 Registry Keys: 0 Scan Ende: 27.04.2009 15:54:02 Scan Zeit: 0:53:04 C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_07.b06\launcher.exe Quarantäne Backdoor.Win32.IRCBot.gju!A2 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08100_2.1.exe Quarantäne Adware.Win32.BetterInternet.aln!A2 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\SupportSoft\dellsupportcenter\Internet\exec\DSCPatch_2_2_08267_2.1.exe Quarantäne Adware.Win32.BetterInternet.aln!A2 Quarantäne Dateien: 3 Traces: 0 Cookies: 0 Diese Dateien liegen nun in Quarantäne!!! Heisst das nun, ich muss mein System neu aufsetzen lassen ( ich traue mir dies selbst nicht zu?!?!) oder handelt es sich hierbei um einen Fehler bei asquared, da alle anderen meiner (zu-?) zahlreichen Scanner keinen Fund melden??? Anbei nun 1) Malwarebytes Logfile Malwarebytes' Anti-Malware 1.36 Database version: 2047 Windows 5.1.2600 Service Pack 3 27.04.2009 16:52:41 mbam-log-2009-04-27 (16-52-41).txt Scan type: Full Scan (C:\|) Objects scanned: 110571 Time elapsed: 12 minute(s), 15 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) 2.)Hijack This Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:03:15, on 27.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Dell Support Center\bin\sprtsvc.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TuneUpDefragService.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Anti-Malware\a2service.exe C:\Programme\DellTPad\Apoint.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Dell\Dell Webcam Manager\DellWMgr.exe C:\Programme\Dell\QuickSet\quickset.exe C:\Programme\DellTPad\ApMsgFwd.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\Programme\Dell Support Center\bin\sprtcmd.exe C:\Programme\DellTPad\HidFind.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\DellTPad\Apntex.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://partnerpage.google.com/smallbiz.dell.com/de_de?hl=de&client=dell-row&channel=de-smb&ibd=6080520 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/hws/sb/dell-row/de/side.html?channel=de-smb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/hws/sb/dell-row/de/side.html?channel=de-smb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://partnerpage.google.com/smallbiz.dell.com/de_de?hl=de&client=dell-row&channel=de-smb&ibd=6080520 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/hws/sb/dell-row/de/side.html?channel=de-smb R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://partnerpage.google.com/smallbiz.dell.com/de_de?hl=de&client=dell-row&channel=de-smb&ibd=6080520 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://partnerpage.google.com/smallbiz.dell.com/de_de?hl=de&client=dell-row&channel=de-smb&ibd=6080520 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Dell\BAE\BAE.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Programme\Dell\Dell Webcam Manager\DellWMgr.exe" /s O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [dscactivate] "C:\Programme\Dell Support Center\gs_agent\custom\dsca.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" O4 - HKLM\..\Run: [dellsupportcenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Programme\Dell Support Center\bin\sprtsvc.exe O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing) O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 9752 bytes und 3.) meine installierte Software 7-Zip 4.57 Ad-Aware Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) Adobe Flash Player ActiveX Adobe Reader 8.1.2 - Deutsch Advanced Audio FX Engine Advanced Video FX Engine a-squared Anti-Malware 4.0 a-squared Free 3.5 Avira AntiVir Personal - Free Antivirus Bluetooth Stack for Windows by Toshiba Browser Address Error Redirector CCleaner (remove only) Cisco Systems VPN Client 4.8.00.0440 dBpoweramp Music Converter Dell Support Center (Support Software) Dell Touchpad Dell Webcam Center Dell Webcam Manager HijackThis 2.0.2 hp deskjet 3500 series Intel(R) PROSet/Wireless Software J2SE Runtime Environment 5.0 Update 6 Java(TM) 6 Update 11 Java(TM) 6 Update 7 Laptop Integrated Webcam Driver (1.00.01.0108) Live! Cam Avatar Live! Cam Avatar Creator Malwarebytes' Anti-Malware McAfee SiteAdvisor mCore mDrWiFi mHlpDell Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Microsoft Office Excel MUI (German) 2007 Microsoft Office Home and Student 2007 Microsoft Office Home and Student 2007 Microsoft Office OneNote MUI (German) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Shared MUI (German) 2007 Microsoft Office Word MUI (German) 2007 Microsoft Visual C++ 2005 Redistributable mIWA mLogView mMHouse Mozilla Firefox (3.0.3) mPfMgr mPfWiz mProSafe MRUClear 1.6 mSCfg mSSO MSXML 6.0 Parser (KB933579) mWlsSafe mWMI mZConfig Norton Security Scan Norton Security Scan (Symantec Corporation) NVIDIA Drivers PowerDVD QuickSet Realtek High Definition Audio Driver SearchAssist Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB963027) Skype™ 3.8 Sonic Activation Module Sophos Anti-Rootkit 1.3.1 Spybot - Search & Destroy SpywareBlaster 4.1 SUPERAntiSpyware Free Edition TomTom HOME TuneUp Utilities 2009 VC_MergeModuleToMSI Xvid 1.1.3 final uninstall Soviel nun erstmal, ich hoffe ihr könnt mir einen hilfreichen Rat geben und natürlich, hoffe ich meinen Thread ordentlich editiert zu haben und richtig positioniert Vielen Dank im Voraus, sri-jamu |
Themen zu Probleme mit WIN32 Backdoor |
ad aware, ad-aware, antivir, antivirus, auswerten, avira, backdoor, bho, error, fehler, firefox, flash player, handel, hijack, hijack this, hijackthis, home, neu aufsetzen, plug-in, scan, security, security scan, security update, senden, siteadvisor, software, super, symantec, system, system neu, system neu aufsetzen, traces, tuneup.defrag, virus, windows xp |