Hi

Ich hab ein Problem der besonderen Art. Aus mir nicht nachvollziehbaren Gründen hab ich seit gestern irgenwas maliciöses auf meinem PC, das in unregelmäßigen Abständen versucht eine TCP Verbindung zu mariayalbert.noip.com, bzw. zu der IP Adresse 65.23.198.233 aufzubauen. Der Verbindungsaufbau wird dabei durch die explorer.exe von W2K initiert, wobei die verwendeten Ports auch ständig durchwechseln. (laut Sygate FW Pro)

Da auch der Check mittels mehrerer AV Scanner (NAV 2004, NAV 2005, Trendmicro HomeCall usw...) und auch unterschiedliche AntiSpy Programme keinen Hinweis auf einen Virus gefunden haben, hab ich mich in die Registry begeben und konnte in mehreren Run Anweisungen, sowie im Taskmanager 1 Prozess identifizieren, der hier nicht hingehört und auch keinen Bezug zu einem Programm hat.

Unter dem Eintrag 'Ffix32' wird eine ausführbare Datei mit Namen dractx.exe gelistet, die sich im System Ordner von WINNT befindet. Ein Versuch dieses Datei zu löschen, bzw. die Einträge in der Registry zu entfernen blieb erfolglos, da die Datei. bzw. die Einträge sofort wiederhergestellt werden. Im Abgesicherten Modus konnte ich dann beides entfernen und wurden nach dem Neustart auch nicht wieder erneuert.

Ich hab nun alle laufenden Prozesse im einzelnen gechecked und auch die damit verbundenen .dll's, aber nichts deutet auf 'etwas' hin, das einen Hinweis gibt, weshalb die explorer.exe diese Verbindung versucht aufzubauen. Die explorer.exe ist, wenn man den Eigenschaften von W2K glaubt, unverändert und identisch mit der Original Datei vin der Installations CD.

Ich finde im ganzen Netz keinerlei Hinweise auf die angegebene IP Adresse, den Alias der IP, bzw. der genannten Datei (dractx.exe) und dem Regsitry Eintrag(Ffix32)

Hat jemand irgendeine Ahnung? Wo sind die Cracks?

Poste mal ein Log:

http://www.trojaner-board.de/51130-a...ijackthis.html

@ MountainKing

Mehrfache Thread Eröffnung in diversen Foren: http://www.pcwelt.de/forum/showthread.php?t=133553

Zitat:

Zitat von Cidre

@ MountainKing

Mehrfache Thread Eröffnung in diversen Foren: http://www.pcwelt.de/forum/showthread.php?t=133553

Na warum hab ich das wohl gemacht? 3x darfst Du raten! Richtig, da wusste niemand eine Lösung dafür, deshalb hab ich den Thread hier eingetragen. Alles klar?!

Problem ist inzwischen gelöst. Mit Hilfe von eScan war es mir dann doch möglich den Übeltäter zu finden und hab bei der Gelegenheit auch noch 6 weitere gefunden, die von NAV 2005 nicht ein mal ansatzweise gefunden wurden. Sch.. drauf.

Welche Schädlinge wurden denn genau gefunden? Falls es welche mit Backdoorfunktionen waren, ist nicht automatisch davon auszugehen, dass das Problem wirklich gelöst wurde.

Ob und in wie weit die dractx.exe mit dem aktiven Backdoor.Prosti.b in Zusammenhang steht weiß ich nicht. In jedem Falle hat der die userinit.exe befallen und nach Säuberung treten nun auch keine ungewollte Verbindungsaufbauten mehr auf.

Im übrigen bin ich masslos enttäuscht über den neuen NAV 2005, da kauft man sich ein vermeintlich gutes Produkt und bekommt statt dessen zunächst mal 50 MB RAM zusätzlich abgezweigt und außer einer vermeintlichen Backdoor Funktion, die als quasi Firewall fungieren soll, hat sich daran nichts geändert, groß, schwerfällig, ungenau, also ab damit in den Trash

Hi,

ich hatte das gleiche Problem. Norton Antivirus hat nichts gefunden.
Ich habe auf einer zweiten Partition ebenfalls XP, hier habe ich McAfee Virusscan, der hat dann das Problem gefunden und die "dractx.exe und userinit.exe" gelöscht. Jetzt herrscht Ruhe

Chiefstoker

Hallo,

ich bin ebenfalls Nutzer von Symantec Noton Antivirus 2005 und von dieser Backdoor betroffen.
Ich habe die Datei dractx.exe und die Datei userinit.exe an die Symantec Security Response eingesendet.

Hier ein Auszug aus der Antwort von Symantec:

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

filename: Dractx.exe
machine: AVCAutomation:
result: This file is infected with Backdoor.Trojan

filename: userinit.exe
machine: AVCAutomation:
result: See the developer notes

Developer notes:
Dractx.exe is non-repairable threat. NAV with the latest rapidrelease definition detects this. Please delete this file and replace it if neccessary. Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.
userinit.exe does not appear to contain malicious code.

Symantec Security Response has determined that the sample(s) that you provided are infected with a virus, worm, or Trojan. We have created RapidRelease definitions that will detect this threat. Please follow the instruction at the end of this email message to download and install the latest RapidRelease definitions.
Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

Downloading and Installing RapidRelease Definitions:
1. Open your Web browser. If you are using a dial-up connection, connect to any Web site, such as: http://securityresponse.symantec.com/
2. Copy and paste the address ftp://ftp.symantec.com/public/englis...ease/sequence/ into the address bar of your Web browser and then press Enter.(this could take a minute or so if you have a slow connection) 3. Now select 36781 folder or a higher. Open the folder.
4. Select the file symrapidreleasedefsi32.exe 5. When a download dialog box appears, save the file to the Windows desktop.
6. Double-click the downloaded file and follow the prompts.

Gruss

J0KeR