Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   log-auswertung; backdoor? (https://www.trojaner-board.de/32896-log-auswertung-backdoor.html)

lastsamurai 15.10.2006 17:35
log-auswertung; backdoor?
 
Hello mates,

eine Freundin von mir hat ein Problem mit ihrem PC, nachdem sie eine Datei namens lol.exe über ICQ empfangen und geöffnet hat, lassen sich die meisten Anwendungen nicht mehr starten. :eek: Ihr Norton AntiVirus findet nichts auf dem Computer, hijackthis zeigt allerdings dxtpdx.dll an, laut google wohl ein backdoor. Nachträglich ließen sich aber weder im normalen noch im abgesicherten Modus spybot, stinger etc. starten.
Hier die log-datei:

Logfile of HijackThis v1.99.1
Scan saved at 17:49:20, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\user\Desktop\hijackthis.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender8\bdswitch.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: phase6_17_demo_erinnerung.lnk = C:\Programme\phase6\phase6_17_demo\WinStart\WinStartDemo.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Ich hoffe ihr könnt mir helfen, wäre sehr nett.:)
greets,
lastsamurai

cosinus 15.10.2006 17:39
C:\WINDOWS\SYSTEM32\dxtpdx.dll

Die Datei sticht richtig ins Auge, könnte eine Haxdoor-Variante (Backdoor) sein. Werte die Datei doch mal bei Jotti oder Virustotal aus und poste das Ergebnis.

lastsamurai 15.10.2006 18:00
Hey, das ging ja schnell. :) Die Datei wird leider nicht im System angezeigt, weder im explorer noch im task-manager, die wird anscheinend von irgendetwas versteckt. :(

cosinus 15.10.2006 18:06
Lässt du auch alle Dateien anzeigen?

lastsamurai 15.10.2006 18:15
Ja, natürlich. Also soo neu bin ich auch nicht in der Branche. ;) Aber es wird halt trotzdem nichts angezeigt. Also geh ich mal von irgendeinem Versteckspielchen des Backdoors aus....aber ich hab halt keine Ahnung was ich jetzt tun soll.

cosinus 15.10.2006 20:55
Lass das System mal mit Blacklight scannen.
Evtl. hast Du ein Knoppix oder BartPE zur Hand. Dann boote von diesem Medium und schau ob Du von dort die Datei sehen kannst.

lastsamurai 16.10.2006 15:58
Es hat sich was getan...ich hatte im Internet bei einem ähnlichen Problem (Start vieler Anwendungen wird unterbunden) einen Tipp gefunden, obwohl ich ein später draufgeladenes AntiVir (Avira) nicht öffnen konnte (hat einfach nicht reagiert) ließ es sich, wie alle anderen Anwendungen dann auch mit winrar öffnen und installieren. Nach dem nächsten Neustart hat antivir dann direkt Signaturen des Trojaners TR/PSW.PdPi.CT.1.D unter C:\WINDOWS\system32\qz.dll gefunden. Dadurch konnte ich ihn schonmal aus dem Speicher schmeißen (Quarantäne) und danach gingen alle Anwendungen ohne Probleme wieder.
Hab dann Blacklight scannen lassen und währenddessen meldet sich antivir und erzählt mir vom Fund BDS/Haxdoor.JC.2 unter C:\WINDOWS\system32\dxtpdh.sys.
Hier die Blacklightlog:

10/16/06 16:18:43 [Info]: BlackLight Engine 1.0.47 initialized
10/16/06 16:18:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/16/06 16:18:44 [Note]: 7019 4
10/16/06 16:18:44 [Note]: 7005 0
10/16/06 16:18:46 [Note]: 7006 0
10/16/06 16:18:46 [Note]: 7011 1688
10/16/06 16:18:46 [Note]: 7026 0
10/16/06 16:18:47 [Note]: 7026 0
10/16/06 16:18:52 [Note]: FSRAW library version 1.7.1020
10/16/06 16:19:12 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\QZ.DLL
10/16/06 16:19:23 [Note]: 7002 0
10/16/06 16:19:23 [Note]: 7003 1
10/16/06 16:19:23 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DXTPDH.SYS
10/16/06 16:19:29 [Note]: 7002 0
10/16/06 16:19:29 [Note]: 7003 1
10/16/06 16:19:30 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\QZ.SYS
10/16/06 16:19:31 [Note]: 7002 0
10/16/06 16:19:31 [Note]: 7003 1
10/16/06 16:19:32 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\MS87.DAT
10/16/06 16:19:32 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\REDIR2.A3D
10/16/06 16:19:32 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\KLGCPT~1.DAT
10/16/06 16:19:33 [Note]: 2000 1012
10/16/06 16:19:33 [Note]: 2000 1012
10/16/06 16:19:33 [Note]: 2000 1012
10/16/06 16:21:27 [Note]: 7007 0

Wie muss ich jetzt weiter vorgehen? :confused:

cosinus 16.10.2006 16:02
Jetzt wissen wir, dass es sich eindeutig im eine Hintertür handelt. Hier bleibt definitiv nur das Neuaufsetzen und anschließende Absicherung des Systems.

lastsamurai 16.10.2006 16:07
Aber ein Backdoor infiziert keine normalen Anwendungsdaten, oder? Also ich meine, da sind etliche Fotos auf dem PC, könnte man die gefahrenlos brennen und auf das neue, abgesicherte System kopieren?

cosinus 16.10.2006 16:19
Naja, durch eine Hintertür kann ein Dritter Vollzugriff auf den befallenen Rechner erlangt haben, d.h. es ist rein theoretisch möglich, dass er Dateien manipuliert hat.
Ich schätze eine Wiederinfizierung durch Daten des jetzigen verseuchten Systems ist recht unwahrscheinlich, wenn Du nur reine Datendateien (Dokumente, MP3s, Fotos) sicherst und auf dem frischen Windows zurückspielst.

Sach Deiner Freundin, sie möge doch regelmäßig wichtige Daten brennen. Ein Plattencrash kommt immer dann wenn man ihn gerade nicht gebrauchen kann und wenn man dann keine Datensicherung hat, ja dann gute nacht... :balla:

irrlicht 16.10.2006 17:18
Hallo,
da dürfte auch noch einiges mehr im Argen liegen...:rolleyes:
Hier zum Beispiel :
Zitat:
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
oder hier :
Zitat:
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
Irrlicht

lastsamurai 16.10.2006 17:54
Ich werd mal ein ernstes Wörtchen mit ihr über Sicherheit und Benutzerverhalten reden... ;)
Sie hatte nach dem Befall direkt den PC heruntergefahren und ich hatte vorsichtshalber ihr internet deaktiviert, deswegen müsste das dann mit den Daten gehen. Ist ja dann letztendlich noch mal gut gegangen.
Vielen Dank auf jeden Fall, ist außerdem ein super Forum hier, bin schon länger heimlicher Mitleser, :D
lastsamurai


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131