hallo!
nachdem AVK bei mir „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ gefunden hat und nicht desinfizieren konnte, habe ich es mit escan wie empfohlen versucht. Das Ergebnis war folgendes: „Sassdor“ wurde gefunden sowie zwei weitere von ihm infizierte Dateien. Diese wurden umbenannt (trotzdem hat AVK danach erneut eine sassdor-infizierte Datei gemeldet). „Backdoor“ wurde nicht gefunden, auch sonst konnte ich im Internet nichts darüber finden. Die automatische Auswertung mit HighjackThis hat mich auch nicht weiter gebracht. Kann mir jemand weiterhelfen?


Logfile of HijackThis v1.98.2
Scan saved at 21:25:38, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Mozilla1.6\Mozilla.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\internet\Eigene Dateien\Eigene Downloads\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.6\Mozilla.exe" -turbo
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de

Hallo, zazou,
würde mal folgendes tun: Systemwiederherstellung deaktivieren... dann im abgesicherten Modus starten und erneut mit dem Scanner versuchen den Virus zu entfernen. Geht immer wieder mal.
cacatoa

hi

wo wurde den die schadsoftware gefunden ?
in den temp. ordnern? oder im restor-archiv?

ansonsten ist dein logfile sauber
diese datei C:\Programme\Classic PhoneTools\CapFax.EXE solltest du keine verbindung dazu herstellen können, mit Kaspersky onlinscan überprüfen

danke erstmal für eure infos, ich probiere es nochmal mit systemwiederherstellung deaktivieren!

Hallo nochmal,
beide Viren befinden sich in C:/windows/system32, weitere infizierte Dateien in C:/System Volume Information/_restore...

@ zazou

Backdoor.BotGet.FtpB.Gen

Lade den eScan (Anleitung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen" Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

@ shadowdance

danke für die info zu "backdoor..."!!! - werde sie gleich eingehender studieren.


hier nochmal das ergebnis von escan.

Mon Oct 18 21:21:28 2004 => File C:\WINDOWS\system32\lsass32.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed.

Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP22\A0010964.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed.

Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP24\A0011147.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed.

Mon Oct 18 22:27:24 2004 => Total Number of Disinfected Files: 0

cacatoa hatte mir geraten, den escan nochmal mit deaktivierter systemherstellung zu versuchen. Habe mich aber noch nicht getraut, da damit alle Wiederherstellungspunkte gelöscht werden. zazou

@ zazou

wenn Du den "Backdoor.BotGet.FtpB.Gen" auf dem System hast, muss Dein System als kompromittiert angesehen werden: 'Usually, if such a file is found on a computer in a LAN, it is very possible that other systems may have been compromised as well." --> Ansteckungsgefahr bei Computern in einer LAN-Verbindung.

Das hat dann dies zur Folge: formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

... aber führe erst den eScan durch, damit wir sicher sein können, was Du auf dem System hast.

SD

@ shadowdance

...sowas hatte ich befürchtet...
Ich habe es mit dem eingeschränkten benutzerkonto nicht so genau genommen und das hat offenbar schon gereicht...

die ergebnisse vom escan stehen in meiner letzten antwort - braucht ihr mehr infos? "Backdoor..." hat escan im Gegensatz zu AVK nicht gefunden.
zazou

@ zazou,

überprüfe die betroffene Datei bei verschiedenen Online-Scannern: Auswahl und wenn das auch nichts ergibt, sende Die Datei passwortgeschützt an diese beiden Mailadressen: partytime-germany.ice@web.de - detections@spybot.info mit Hinweis auf diesen Thread und der Info unter Betreff, dass es sich um den "Backdoor.BotGet.FtpB.Gen" handeln könnte.

SD

@ shadowdance

das werde ich versuchen - danke dir erstmal für deine hilfe!!!
zazou