|
Backdoor.Pcclient.B von Norton Internet Security 2006 gefunden Hallo, gestern wurde bei der vollständigen Systemprüfung ein Backdoor.PCclient.B von Norton InternetSecurity 2006 gefunden, zwar wurde dieser laut Protokoll isoliert und entfernt, aber um sicher zu sein, möchte ich Euch bitten, Euch folgendes HiJackThis Logfile anzuschauen: ******************* Logfile of HijackThis v1.99.1 Scan saved at 10:07:30, on 24.09.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINNT\system32\stisvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\DeTeWe\OpenCom 20\Capictrl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\HiJackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - Global Startup: CAPIControl.lnk = C:\Programme\DeTeWe\OpenCom 20\Capictrl.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google-Suche - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=48835 O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - h**p://216.65.38.226/Download_Plugin.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe *************** Herzlichen Dank im Voraus ! dinahmight |
Zitat:
Wenn der Schädling aktiv war, dann befolge direkt die Anleitung zum Backdoor entfernen in meiner Signatur. Edit: Moin Moin Rene-Gad. :) Gruß :daumenhoc Yopie |
@dinhmight Zitat:
Zitat:
EDIT: Servus Yopie ;) |
Hallo und erstmal Danke für die schnelle Rückmeldung. In der Protokolldatei von NIS2006 steht folgendes: ******* Quelle: Manuelle Prüfung Risikokategorie Virus Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Pcclient.B Durchgeführte Aktion: Isoliert Beschreibung: Betroffene Bereiche: 1 Dateien: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cusbohcn.sys - Isoliert ******* sowie: ******* Prüfresultate: -------------------------------------------------------------------------------- Startzeit der Prüfung23.09.2006 20:33:39 Prüfdauer: 51 Minuten 25 Sekunden Geprüfte Elemente: 227176 Registrierungsabschnitte: 2310 Dateien: 224316 Isoliert: 1 Prozesse: 40 Stapeldateien: 7 Dienste: 498 Autostart-Programme: 3 LSP (Layered Service Provider): 2 Beseitigte Bedrohungen: 1 Details Backdoor.Pcclient.B : Isoliert Manuelle Prüfung Risikokategorie Virus Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Pcclient.B Durchgeführte Aktion: Isoliert Beschreibung: Betroffene Bereiche: 1 Dateien: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cusbohcn.sys - Isoliert Verbleibende Bedrohungen: 0 ********** |
Hallo, gibt es eine Möglichkeit - VOR vollständig neuer Systeminstallation - über ein Tool zu überprüfen, ob der Schädling aktiv war oder nicht ? Ich habe gestern schon nach anderen Virenprogrammen geschaut und schonmal diesen PandaActiveScan (http://www.pandasoftware.com/com/de/) drüberlaufen lassen - da wurde nichts gefunden, allerdings weiß ich auch nicht, ob dieser Scan tatsächlich aussagekräftig ist. Sorry, für die vielleicht naive Frage, aber bislang war ich der noch naiveren Meinung :headbang: , dass NIS2006 meinen PC ausreichend schützen würde - dies war offensichtlich nicht der Fall. Ist anhand der HiJackThis Logdatei denn irgendetwas zu fixen ? Danke nochmal, dinahmight |
Hi, Zitat:
Netzwerk zugegriffen werden. Hast du diesen Dienst selbst gestartet? Schau mal nach, ob er immer noch läuft. Ansonsten sehe ich nichts -> more Security please mfg Cleriker |
Hallo Cleriker, danke für deine Antwort - ich werde das heute abend zuhause mal untersuchen. Zum Thema "more security" - ich werde heute abend mal Spybot Search & Destroy sowie diesen escan ausprobieren, um zu schauen, ob der Schädling sich vom Acker gemacht hat. Falls nicht plätte ich den PC und setz alles neu auf (wie hier im Forum beschrieben). Dann werde ich NIS2006 in die Tonne kloppen (habe das passende Removal Tool schon gefunden :aplaus: ) und stattdessen AntiVir und ZoneAlarm installieren. Fielen diese beiden Tools deiner Meinung nach unter "more Security" oder gibt es andere, die besser sind ? Zumindest weiß ich jetzt dass Norton die falsche Entscheidung war. :mad: |
Zitat:
Schau in die Pflichtlektüre in meiner Signatur! Gruß :daumenhoc Yopie |
Hallo Yopie, Zitat:
Zunächst geht es mir erstmal darum eine anständige Viren- bzw. Firewalllösung zu haben, die besser ist als NIS2006 - um zumindest schonmal die Tür nicht sperrangelweit offen zu haben. Das die Software nicht ausreicht, um 100%ig oder auch nur 10%ig sicher zu sein, zeigen all diese Beiträge und Eure Anleitung zum Absichern des Systems (extra Benutzerkonto, Firefox, etc.) Ich brauche jedoch für den Anfang eine Empfehlung von jemanden der sich damit auskennt für einen NIS2006 Ersatz - denn nur "more Security" ist ein ziemlich weit gefasster Begriff. Danke & gruß, dinahmight |
Joar, wenn man das wieder so aus dem ganz kritischen Hut betrachtet, ist es natürlich äußerst schwer, seinen Rechner zu sichern, auch wenn man Yopie's Pflichtlektüre liest.*g* Da würde ich doch einfach mal sagen: 1. Neu aufsetzen nach den Vorgaben des Linkes in unseren Sig's 2. Antivir rauf spielen und regelmäßig updaten lassen 3. Firewall aktivieren (auch wenn's nur die von Windows ist) 4. externer Browser (z.b Mozilla oder Thunderbird) installieren -> ebenfalls regelmäßig updaten lassen 5. Antispyware in Hinterhand behalten oder sogar installieren. 6. Pflichlektüre von Yopie lesen *g* Mit diesen Fakten bin ich eigentlich ganz gut durchgekommen. Die Liste kann gern aufgrund der konkreten Anfrage verbessert oder erweitert werden. mfg Cleriker |
Eine Firewall brauchst du nicht, wenn du deine Ports durch Beenden von Diensten geschlossen hast. Siehe dafür http://dingens.org/ Als Virenscanner kann ich mangels Erfahrung mit anderen Scannern nur Avira empfehlen. Ich selbst setze aber keinen ein. Gruß :daumenhoc Yopie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board