Haxdoor GJ1 bitte hilfe !
 

Hallo,

Aus unerklärlichen Gründen habe ich diese Backdoor Programm auf dem Pc, was eigentlich gar nicht sein kann da ich meinen PC erst heute morgen neu gemacht habe?

Bitte um schnelle Hilfe hier der HiJackThis scan :

Logfile of HijackThis v1.99.1
Scan saved at 00:10:25, on 05.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\LaVida2\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0494fe44eae8a4d16821/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116
O17 - HKLM\System\CS2\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116
O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

LG LaVida

So unerklärlich ist das garnicht. Du hast ein ungepatchtes System.
Du hast, wie ich das sehe auch einen Router, wie wurde der konfiguriert?

Verdächtige Einträge.

Hey ...

O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll da war auch die ganze zeit die meldung glaube ich ...


Wie soll denn der Router konfiguriert sein?
Firewall ist aktiviert... 2 pcs sind dran??

Alles andere ist clean aufm pc.. hab ich grad getestet nur im Windows Ordner befindet sich was ... Was kann ich tun?

MfG,

Ein Paketfilter (du nennst ihn "Firewall") bringt dir nichts, wenn dieser schlecht konfiguriert ist und/oder das BS ungepatcht.

=> C:\WINDOWS\SYSTEM32\scsi2usb.dll

Diese Datei bitte mal bei Virustotal auswerten lassen und Ergebnis posten.

Wenn Virustotal das ist was ich denke, dann ist es die Page virustotal.com dieser onlinescan... die Page ist momenta off.

=> C:\WINDOWS\SYSTEM32\scsi2usb.dll

dort befindet sich jedoch sicher ein Trojaner und ein Backdoor bla drin.

Ich glaube ich weiß woher der Virus stammt:

rollertuningpage.de -> Nicht drauf gehen, aber ein Freund meinte, dass er dort auch eine Trojanermeldung hatte wo er auf die Page gehen wollte. Kann man das irgendwie überprüfen, ohne dass du den Trojaner/Backdoor aufm Pc hast?

bei ihm heißt er :
svj.exe ist er und heißt tr/dldr.ha.bg.202.F

habe gerade AntiVir runtergemacht weil jede sekune dieser Ton kam und das auch wo das programm gar nicht geöffnet war.

MfG,
LaVida

http://www.virustotal.com/vt/
Da auswerten lassen die Datei.

Sorry, aber bei mir ist die Seite off!

MfG,

sowohl mit Firefox als auch Inet Explorer

Da scheint noch mehr im Argen zu sein. Öffne doch mal die Datei
c:\windows\system32\drivers\etc\host
mit dem Editor und poste dessen Inhalt.
Die Datei C:\WINDOWS\SYSTEM32\scsi2usb.dll kannst du mir im passwortgeschützten Archiv mailen.

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



Emh Die Datei scsi2usb.dll befindet sich nicht im System 32 Ordner? Jetzt versteh ich nichts mehr?

ach..


Ich mach ihn einfach nochmal neu, ist eh noch nicht so viel drauf.

Aber danke für deine Hilfe und meidet rollertuningpage.de :P

MfG,

das habe ich gefunden in w2000 auf meinem Rechner:

scsi2usb

setzt sich vor hosts-file und nameserver und leitet gewisse adressen um auf den eigenen rechner,
z.b. bei ping, nicht aber bei nslookup.
Betroffen: ...symantec.com
...kaspersky.com
usw.

scheint zumindest Teil der Abwehrstrategie eines Virus gegen
Antiviren Programmupdate zu sein, vielleicht auch mehr.

excel startet nicht, outlook express crasht

die meisten Control-panel funktionen starten nicht

das problem tritt erst auf, wenn der rechner einmal ein Netz gesehen hat und TCP/IP verwendet wird.

Safe mode und safe mode mit networking zeigen das Problem NICHT.

Entfernung:
Staart im Safe mode, dann

registry eintrag total entfernen hklm/..../winlogon/Notify/scsi2usb

ACHTUNG die Datei scsi2usb.dll ist unter Windows NICHT sichtbar, auch nicht mit attrib.exe
und nicht mit cmd und nicht im explorer, auch wenn man alles sichtbar macht, was möglich ist!

System von CD booten, recovery console aufrufen,

cd winnt
cd system32
del scsi2usb.dll

Bei mir hat das gereicht!


Sowas ist leider möglich, weil das Windows so unauber konstruiert ist.
Das ruft Leute auf den Plan, die nichts Gescheiteres zu tun haben, als
ihre kümmerliche Intelligenz zum Bau solcher Unsinnigkeiten zu
verwenden....

Resümee:
Ich stelle jetzt definitiv meine produktiven Rechner auf die Linux-Distributiom
"ubuntu" um, und verwende Windows nurmehr zum Testen.

Das ist billiger und stabiler, und das "Open Office" gefällt mir auch
besser...

Nochmal zur letzten Nachricht, diese wurde nicht vollständig übertragen.
Mittlerweile ist der Trojaner identifiziert:

Trojan-Spy.Win32.Goldun.ku

gefunden in w2000

scsi2usb

setzt sich vor hosts-file und nameserver und leitet gewisse adressen um auf den eigenen rechner,
z.b. bei ping, nicht aber bei nslookup.
Betroffen: ...symantec.com
...kaspersky.com
usw.

excel startet nicht, outlook express crasht

die meisten Control-panel funktionen starten nicht

das problem tritt erst auf, wenn der rechner einmal ein Netz gesehen hat und TCP/IP verwendet wird.

Safe mode und safe mode mit networking haben das Problem NICHT.

Entfernung:

registry eintrag total entfernen hklm....winlogon/Notify/scsi2usb

ACHTUNG die Datei scsi2usb.dll ist unter Windows NICHT sichtbar, auch nicht mit attrib.exe
und nicht mit cmd und nicht im explorer, auch wenn man alles sichtbar macht, was geht!

System von CD booten, recovery console aufrufen,

cd winnt
cd system32
del scsi2usb.dll

Bei mir hat das gereicht!

Hallo,
Entfernung:
nur möglich durch formatieren und Neuaufsetzen des Systems. Weil bei Backdoorbefall das System nicht mehr vertrauenswürdig ist, und nur weil keine Symptome mehr da sind, heißt das noch lange nicht das alles beseitigt wurde, einiges läuft viel lieber ganz leise im Hintergrund mit...
Und da Haxdoor normalerweise auch mit Rootkits (selbst MS steht auf dem Standpunkt "Rootkits mean you must nuke your machine") arbeitet ist ein Neuaufsetzen sogar aus zwei Gründen unumgänglich.


Grüße Wildone

bestätige ich hiermit, diese seite ist verseucht und mit verbreiter dieses Trojaners.

So ganz ohne Zutun oder Fehlverhalten des Nutzers aber bestimmt nicht. ;)

Gruß :daumenhoc
Yopie

Kann ich bestätigen! War drauf und nix passiert!


Gruß Mellosun

Ich sachte ja letztens schon, es muss ein Parallelinternet geben, wo man sich aus heiterem Himmel was einfängt. :blabla:

Gruß :daumenhoc
Yopie

hmm hab auch den virus BDS/TOn.I [backdoor]' gemeldet bekommen... lass grad malwarebytes drüberlaufen, der den virus auch gefunden hat glaub ich
nja hmm c is bei mir so zugemüllt^^ ich könnt die partition eig plattmachen^^ reicht denn nur c zu formatiern? hmm... is der versuch mit der systemwiederherstellung deaktiviern und so weiter bla bla denn sinnvoll? hatte nen virus wo ich das auch gemacht hab. systemw. deaktiviert, virus gelöscht mit mbam und dann systemwiederherstellung wieder an und vom virus nix mehr gehört..war ürbrigens en rootkit damals...
ich geh jetzt penne und lass den scan über nacht laufen... ich poste morgen nach dem löschen vom virus mal das highjackthis logfile okay?

hmm jetzt ko0mmen die viren wohl alle über die hintertür rein -.-
z.b. den hier hat mir avira gemeldet TR/Agent.106526
hats überhaupt noch nenh sinn oder soll ich c plattmachen??
fuck der TR/Agent.106526 hängt in e/left4dead -.-
also wohl c und e plattmachen lol -.-

also..tipp an alle! sobald ihr den virus habt, macht die partition platt!
ich habe 4 partitionen c/programme d/daten e/spiele und f/backup(is en 2tes betribessystem drauf( windows7rc) als backup
ich kann zum glück sagen das ich noch windows 7 hab
also ich rate allen das proböem folgender massen zu lösen: trennt den pc vom inet!!! dann kommen nicht noch andere viren und ihr infiziert euch noch mehr! bei mir is das proböem, dass auch noch e infiziert ist, weil ich den pc immer noch online hatte.
dann sichert ihr wichtige daten, bei mir partition d/daten. über windows7 bin ich im mom online, da der virus nur xp befallen hat. zum glück^^ nja auf jeden fall gebe ich im totalcommander jetzt den befehl "format C:" und das selbe mit e ein..ich formatiere also beide partitionen. dann spiel ich auf c windows xp neu auf, installiere alle programme wieder neu und fertig is^^
ich schlage übrigens 2 fliegen mit einer klapee hehe^^ 1. virus löschen
2.pc entrümpeln :D zumindest c und e ^^

folglich : selbst MS steht auf dem Standpunkt "Rootkits mean you must nuke your machine
ich stimme voll und ganz zu^^ so ich melde mich in 2 stunden nochmal wenn ich dann das xp neu draufhab^^ und mal gucken ob dann noch was sein sollte, nachdem ich dann noch mit spybot search and destroy und malwarebytes gescannt hab^^
jeahaa ^^ ich hab ne lösung gefunden hehe
virus:snyper:
:aplaus::aplaus::aplaus::aplaus::aplaus::aplaus::aplaus::aplaus::aplaus:
^^
mfg virusb00n

also c kann ich nicht formatieren weil da ja das betriebssystem drauf is -.- e geht..hmm dann mach ich das halt von der xp cd aus^^ ne art repair exe duchführen..so ich hab hier jetzt seeeh viel geschreiben hoffe aber ich konnte damit allen die diese problem haben helfen!!
daten sichern und pc plattmachen!!!(zumindest bei dem virus^^)

so bin jetzt mim neuen xp drin^^
lad jetzt grad malwarebytes runter^^
muss alle programme neu runterladen^^
hmm nur ist der mir iwie bei der installation von avira einmal abgestürzt...da war en blauer bildschirm und gelbe schrift, war aber zu schnell weg ums lesen zu können. dann hab ich nochmal installiert und da stand installation fehlgeschalgen.dann hab ich ok gedrückt und dann stand da installation erfolgreich :D dann hab ich update gemacht und und scan grad mit avira und mbam.bis jetzt kein probleme lol

Na dann wollen wir mal hoffen, das du deinen Virus dadurch los geworden bist.

Nicht das du dich nach dem NEW INSTALL wieder mit dem Dingen infiziert hast!

Gruss BIOTEC

ne also das is jetzt schon was länger her und ich hab keine viren mehr drauf... ich benutze malwarebytes spybot und hijackthis^^ damit kriesgte alles weg!