Hallo =),
Ich bekomme seit gestern von Antivir gemeldet dass sich ein Backdoor programm auf meinem pc befindet :
in der Datei 'D:\System Volume Information\_restore{D72D429D-E150-400C-A749-5175C6D9B61A}\RP91\A0029537.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Backdoor.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern
ein Freund meinte es könnte eine falschmeldung sein, ich kenn mich überhaupt nicht mit so was aus und bin auf dieses Forum gestossen. soweit ich das mitgekriegt hab soll ich ne hijack file einfügen und auf eure (hoffentlich) kommenden antoworten warten =). ps. spybot und norton findet nichts nur antivir macht immer wieder ne Meldung(5 mal oder so seit gestern).
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
D:\Programme\Canon\MyPrinter\BJMyPrt.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\WINDOWS\vVX1000.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Programme\Microsoft LifeCam\MSCamS32.exe
D:\Programme\Google\Update\GoogleUpdate.exe
D:\Programme\Steam\Steam.exe
D:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Windows Live\Contacts\wlcomm.exe
D:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
d:\programme\avira\antivir desktop\avcenter.exe
D:\Programme\Opera\opera.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - D:\Programme\Norton AntiVirus\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] D:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] D:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "D:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] D:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] D:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [LifeCam] "D:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] D:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Voipwise] "D:\Programme\Voipwise.com\Voipwise\Voipwise.exe" -nosplash -minimized
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0BF3269-D7AF-421A-AEEB-332C0EEB2D13}: NameServer = 195.34.133.21 212.186.211.21
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c9b55fc6e94d0e) (gupdate1c9b55fc6e94d0e) - Google Inc. - D:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - D:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - D:\WINDOWS\system32\GameMon.des.exe (file missing)

p.s. hab keine persönlichen daten gefunden =)
mit freundlichen Grüße d'Arc

ich habe auch seit zwei tagen diese meldung von avira antivir !
und zwar findet antivir den trojaner in dem telefonierprogramm voipraider (ähnlich skype) - und zwar sowohl auf meinem pc als auch dem notebook ...

ich habe mein letztes update von voipraider sicher schon vor einigen monaten gemacht. backdoor.gen gibt es angeblich schon seit 2007, warum findet er das jetzt plötzlich ? ich habe auch voipraider schon deinstalliert, neu heruntergeladen und installiert, aber das selbe in grün: beim rechnerstart, sowie ca. alle 2h meldet antivir die präsenz von backdoor.gen (und zwar ungeachtet dessen, ob es das neu installierte, oder das originale programm von voipraider ist).

wer weiß rat ? ist der trojaner wirklich gefährlich ? und bitte nicht: deinstallier dir das telefonierprogramm ... :-(

danke für alle ernstgemeinten hinweise !

markus

noch was: @d'arc

sehe ich richtig, dass du antivir, norton und trend micro alle gleichzeitig rennen hast ? das darfst du natürlich nicht, denn so kann ein virenprogramm ein anderes (fälschlicherweise) als virus identifizieren !
aber wahrscheinlich hattest du die fehlermeldung schon, bevor du norton und trend micro gestartest hast, oder ?

lg,
markus

Hallo Markus,
ich hab das selbe Problem bei voipwise, antivir hat bei mir erstmal bei voipwise backdoor gefunden. danach hab ich so wie du auch voipwise gelöscht. danach bekam ich die meldung, welche ich im ersten Post eingefügt hab.

Ich hab nachdem ich den Virus bekommen hab, norton installiert um zu schauen ob er es auch findet. In der regel läuft bei mir antivir und spybot.

ps. Ich bin mir zwr nicht 100 % sicher aber ich glaub das Problem begann nach nem update von antivir. Daher hab ich auch hier geschrieben, da ich mich frage ob es eine falschmeldung sein kann.

hallo d'arc,

ich habe inzwischen bei
http://virusscan.jotti.org/de/
www.virustotal.com/

die "infizierte" datei überprüfen lassen. bei virustotal wird die upgeloadete datei von ca. 40 virenscannern gecheckt, und außer antivir hat nur ein einziger auch den trojaner gefunden (jottis virenscanner uploadet immer noch, kann aber sein, dass der hängt ;-) ). deshalb vermute ich, dass es sich dabei um eine falschmeldung handelt. ich hab auch schon an avira die verseuchte datei geschickt, mit der bitte um klärung.
ich rate dir das selbe zu tun: schau bei antivir, welche dateien angeblich infiziert sind und lass die von den beiden o.a. scannern überprüfen. wenn das ergebnis ähnlich ist wie bei mir, dann kannst zumindest (fast) sicher sein, dass es ein fehlalarm ist und ruhig schlafen ;-)

nur: auf den ordner system volume information hast du unter windows keinen zugriff. da musst du entweder dein system mit bart pe starten (pseudo-windows), und die datei "restore" löschen, oder aber du deaktivierst temporär die systemwiederherstellung (das bedeutet das "restore"), denn da drinnen ist trotz löschung deine voipwise (und somit das "virus") gespeichert ! nach deaktivieren der systemwiederherstellung wird glaube ich die datei "restore" gelöscht - evtl. erst nach neustart ...
danach sollte die fehlermeldung nicht mehr kommen (es sei denn, du installierst wieder voipwise).

ich hoffe, ich konnte dir helfen, falls nicht, schreib wieder ...

lg,
markus

Danke =),

ich nehm dann wohl an dass antivir einfach mist gebaut hat ^^, aber dennoch werde ich mal weiter mich informieren^^.
Nunja ich hab voipwise gelöscht(kanns also nicht kontrollieren lassen oder doch?), heute wollte ich es installieren da ich es brauche, weil ich immer wieder internationale Anrufe tätige muss und dies die billigste variante ist, aber sobald ich es installiert hatte ( noch während der installation) bekam ich gleich wieder die Meldung -.- , dass da ein Backdoor programm ist. also Genau wie beid dir.
ich glaub ich werd mal warten was Antivir bei dir sagt =). danach je nach meldung installieren oder nicht.( habs jetzt gelöscht da ich keine Meldung haben will).
mfg d'ARc

hallo d'arc,

du kannst sehr wohl deine voipwise checken lassen, schick ihnen einfach die installationsdatei (falls die nicht größer als 15MB ist), denn falls da ein virus (oder ein verwandtes "muster") drinnen ist, ist er das auch in der installationsdatei !
ansonsten melde ich mich halt, wenn ich von antivir antwort habe (ich bin aber ab mittwoch auf urlaub, ich hoffe, die antworten vorher ...).

lg,
markus