Trojaner-Board - 3 gefunden, sind noch mehr drauf?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - 3 gefunden, sind noch mehr drauf? (https://www.trojaner-board.de/21539-3-gefunden-noch-mehr-drauf.html)

3 gefunden, sind noch mehr drauf?

hallo alle
Ich hab ziemlich sicher drei dateien entdeckt bin mir aber nicht sicher ob ich noch paar drauf hab. Mein Problem ist, dass ich das Windows von meinem Laptop nicht updaten kann weil mein DSL anschluss im moment nicht funktioniert wegen des schweren Unwetters von vor 2 Wochen. Ich brauche meinen Laptop nun aber für die Zeit bis mein DSL anschluss für den PC wieder funktioniert um meine E-Mail zu checken, dinge für den Verein zu erledigen. Auf einigen Seiten die Foren zu lesen etc. Es geht mir also primär um Schadensbegrenzung bis ich wieder DSL hab. Danach werd ich wohl eh das System neu aufsetzen.

Antivir -> neustes Update
Outpost -> neustes Update
CWShredder -> neuste Version
Stinger -> neuste Version
Benutze Firefox

Logfile of HijackThis v1.99.1
Scan saved at 22:27:43, on 05.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\spdcheck.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\bldc32a.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Dokumente und Einstellungen\Daniel Halter\Desktop\HijackThis.exe
C:\WINDOWS\System32\ms-dos.pif
C:\WINDOWS\System32\ms-dos.pif

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.ch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [RBc Test] bldc32a.exe
O4 - HKLM\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKLM\..\RunServices: [RBc Test] bldc32a.exe
O4 - HKLM\..\RunServices: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [RBc Test] bldc32a.exe
O4 - HKCU\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\RunServices: [MS-DOS Security Service] ms-dos.pif
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.ch
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\AGNITUM\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
O23 - Service: wincheck (spdcheck) - Unknown owner - C:\WINDOWS\spdcheck.exe

----------------------------------

spdcheck.exe, bldc32a.exe und ms-dos.pif sind meine favoriten. Hab auch schon alle drei von Outpost blockieren lassen. Findet ihr vielleicht noch etwas? Für Tips wie ich diese am besten beseitige bin ich natürlich auch sehr dankbar.

Danke und Gruss Truman

wie hast du dir die sammlung bitte wieder zugelegt?
das sind fast alles backdoor!
hier ist eine neuinstallation unvermeidbar.
Neuaufsetzung & Absicherung des Systems
Grund: Dein System ist kompromittiert und daher nicht mehr vertrauenswürdig.

Wenn ich das nur wüsste.
Ich habe diesen Laptop seit ich ihn hab (2003) erst zwei mal benutzt um online zu arbeiten. Das erste mal kurz nachdem ich in gekauft hab und nun wieder seit 2 Wochen wegen des DSL Ausfalls.
Spdcheck und bldc32a konnte ich löschen (abgesicherter Modus, Antivir und Stinger laufen lassen). MS-DOS.pif wurde von keinem der beiden als gefährlich erkannt. War damit immer nur auf Seiten die ich kenne und auf denen ich sonst auch immer bin. Die Registry einträge von bldc32a sind auch alle weg bei spdcheck hab ich noch bischen probleme.

Hallo, truman!

Tja,

Zitat:

C:\WINDOWS\System32\ms-dos.pif
C:\WINDOWS\System32\ms-dos.pif
...
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [RBc Test] bldc32a.exe
O4 - HKLM\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKLM\..\RunServices: [RBc Test] bldc32a.exe
O4 - HKLM\..\RunServices: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [RBc Test] bldc32a.exe
O4 - HKCU\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\RunServices: [MS-DOS Security Service] ms-dos.pif

sind unter anderen die hier
http://www.sophos.de/virusinfo/analyses/w32rbotajs.html
http://www.sophos.com/virusinfo/anal...32rbotama.html
http://www.sophos.com/virusinfo/anal...32rbotakf.html
Damit, wie Dir schon von chris14 gesagt, ist Dein System hochgradig verseucht und Du hast höchstwahrscheinlich nicht mehr die Kontrolle darüber.
Also folge der Empfehlung und nimm Dein System sofort vom Netz und setze es neu auf nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
Und von wegen aktuelles System: Auch wenn Du nur einmal im Jahr im Internet unterwegs bist, solltest Du darauf achten, dass auch Dein Betriebssystem und alles andere, nicht nur die Virensignaturen auf dem letzten Stand sind
Bis denn, stupormundi

ok das ist mein neustes Log.

Logfile of HijackThis v1.99.1
Scan saved at 13:06:17, on 06.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Dokumente und Einstellungen\Daniel Halter\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.ch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.ch
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\AGNITUM\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

Antivir, Stinger, Outpost melden nichts mehr.
Ich werd heut mal beim Händler, von dem ich den laptop hab, nach ner CD mit dem kompletten SP2 etc fragen. Weiss aber ned ob der sowas hat, da er auch vom Hochwasser betroffen war.
Ich weiss, dass neu aufsetzen das beste ist. Ist es aber möglich so wie es jetzt ist dem umständen entspechend sicher ins i-net zu gehen, bis ich wieder DSL hab (könnte 1 bis 2 Wochen dauern).

Gruss Truman
PS: Wo genau auf der Microsoft seite kann ich die sp2 cd bestellen? Ich find das einfach nicht. Alle links die ich versucht hab, führen auf die selbe englisch sprachige Seite und von der aus kann ich es nur runterladen.

Hallo, truman

Also mal ganz allgemein - wenn Dir hier von gut meinenden anderen Usern (Regulars) der Tipp gegeben wird, etwas nachzulesen, dann wäre es sehr schön wenn Du das auch tun würdest. Sowohl Chris14 als auch ich haben Dir wegen der Verseuchung durch die Backdoor-Trojaner einen einzigen klaren Tipp zur Behebung Deines Problems gegeben, zusätzlich, falls Du uns nicht glaubst, hattest Du die Möglichkeit über die links nachzulesen, was es mit diesen Backdoors auf sich hat und warum kein Entfernen der Dateien msdos.pif etc genügt!
:koch:
Also bitte noch einmal - nimm Dein Sys vom Netz und setze neu auf!
Im link von Cidre ist auch der Hinweis über den Bezug von SP 2 deutlich zu lesen

Zitat:

[1] Bezugsmöglichkeiten von Service Pack 2 -> Download oder CD-Bestellung

stupormundi

Genau so ist es.

offensichtlich vertreibt Microsoft SP2-CDs nicht länger und bietet es nurnoch zum Download an....
@stupormundi

@chris

Zitat:

offensichtlich vertreibt Microsoft SP2-CDs nicht länger und bietet es nurnoch zum Download an....

des hab ich noch nicht gewußt! thx für die Info. Sollte wenn möglich auch in den geposteten Anleitungen entsprechend geändert werden.
Aber ich bin sicher, da ja M$ die SP-CD zur Verbreitung freigegeben haben, dass sich andere Quellen bald erschließen
stupormundi

Es tut mir ja leid, dass ich nicht gleich formatiert hab nach dem ich die Anleitung die gepostet wurde gelesen habe. Auch hab ich mir die weiteren Beschreibungen durchgelesen. Bin halt neu hier im Forum und kenn mich mit der Materie nicht so gut aus. Darum hab ich halt immer wieder gefragt ob es nicht auch so oder auch so gehen könnte. Falls das hier nicht gerne gesehen wird tuts mir leid.
Der Händler kann mir bis Morgen oder Übermorgen ne CD mit SP2 besorgen , damit kann ich dann auch mein System neu installieren und updaten.
Danke für die Hilfe

Gruss Truman

Hallo truman!

Niemand ist böse und es rät´ Dir auch keiner aus Jux und Tollerei zum Neu-Aufsetzen. Aber wie Du unschwer erkennen kannst, hat in diesem Fall niemand einen anderen (besseren) Rat für Dich.

Also, alles Gute stupormundi

Das ist mir schon klar stupormundi. Es war halt nur der Fall, dass ich keine möglichkeit hatte nach einem formatieren des Laptop diesen wieder soweit hinzukriegen um damit nicht gleich wieder zielscheibe zu sein im i-net (hätte nur xp-home ohne alles drauf machen können). Bin leider darauf angewiesen sicher einmal am Tag oder jeden zweiten Tag ins I-Net zu kommen. Wärend der Arbeit hab ich zwar auch Zugang aber keine Zeit für die Dinge die ich für Verein etc erledigen muss. Deshalb hab ich halt auch gefragt ob es nicht auch für ne gewisse Zeit so funktionieren könnte. Wurde mir ja dann auch gesagt das das nicht gut wäre.
Jetzt krieg ich ja ne CD mit allen updates drauf und kann darum den Laptop neu aufsetzen.

Gruss Truman
PS: Ich hätte da noch eine kleine Frage am Rande. In der Anweisung steht Passwörter ändern. Die PW für das System etc. sind mir klar. Damit sind auch die PW für E-mail account, Foren accounts und einwahl ins I-net gemeint, richtig? Konnte das aus der Anleitung und den Links die ich da angeklickt hab nicht genau herauslesen.

Hallo, truman!
Bei Passwörtern solltest Du grundsätzlich immer darauf achten, diese regelmäßig zu wechseln und diese sollten wiederum gewisse Mindeststandards erfüllen. Siehe dazu auch die Tipps folgender links
http://www.hs-bremen.de/Deutsch/Seit...?SeitenID=1010
http://www.uni-kassel.de/hrz/server/Passwort/
http://www.cip.phil3.uni-wuerzburg.d...f/passwort.pdf
Niemals ein Passwort für mehrere (oder gar alle) Zugangsabfragen verwenden
Also - alle Passwörter ändern und diese in Zukunft regelmäßig austauschen (nicht untereinander sondern vollständig)
Bis denn, stupormundi