Trojaner Backdoor
 

Hallo Leute,

bin neu hier im Forum....deswegen bitte um Vergebung fals ich was falsch poste....Also habe folgendes Problem:


habe mir vor einigen Tagen nen Trojaner namens: Backdoor.Win32.VB.brg eingefangen. Kann diesen durch kaspersky internet security nicht mehr desinfizieren bzw. er wird erst gar nicht gefunden.

Habe mir dann vor kurzem mal TrojanerCheck 6.0 runtergeladen, aber selbst darüber find ich nix.

Bin echt ratlos, kann mir ev. jemand helfen, wie ich solch einen Trojaner beseitigen kann.

mfg tonky


hier mein Hijack Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:58, on 10.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\EDNET\Office Program Selector\6.0\ACROMAPP.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Arbeitsprogramme\Trojancheck 6\tcguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Arbeitsprogramme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\Internetprogramme\Bitcomet\tools\BitCometBHO_1.1.11.30.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ACROMOUSE] "C:\Programme\EDNET\Office Program Selector\6.0\ACROMAPP.exe"
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Trojancheck 6 Guard] C:\Programme\Arbeitsprogramme\Trojancheck 6\tcguard.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\Internetprogramme\Bitcomet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetprogramme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetprogramme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206578553265
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207761858812
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\PROGRA~1\KASPER~2\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8243 bytes

Hallo und :hallo:

Poste bitte das Logfile vom Kaspersky bzw. nur die relevanten Infos. Wichtig wäre z.B. der komplette Pfad des angeblichen Backdoors.

Acker das hier für weitere Analysen ab:

1.) DSS
2.) Backlight ausführen, Logfile posten
3.) Malwarebytes Antimalware
4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

Ist der Backdoorbefall durch die Logfiles bestätigt, sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist.

Servus erstmal root24 und danke für die schnelle Reaktion

hier ist mein Bericht von kaspersky:

Verdächtig: neue Bedrohung Hidden.Object (Modifikation) C:\WINDOWS:4E0A5112DA200296 24 Bytes 10.08.2008 17:32:10

sach mal kannst du mir nicht deine e-mail addy schicken, damit ich dir die ganzen Logfile posten kann....bei einer Länge von 25000 Zeichen hörts nämlich auf. Und alles stückeln muß nicht sein.

Hab die Schritte, die du mir empfohlen hast soweit mal ausgeführt

mfg tonky

Sorry hab noch den anderen Bericht vergessen, welches kaspersky ermittelte:

Infiziert: trojanisches Programm Backdoor.Win32.VB.brg C:\DOKUME~1\Sebi\LOKALE~1\Temp\IXP000.TMP\Setup.exe 138,3 KB

Hallo

Die Logfiles kannst Du gezippt bei file-upload.net hochladen und hier verlinken. So können auch andere Helfer evtl noch Deine Logs unkompliziert lesen. :rolleyes:

hier mein erster logFile zu DSS


http://www.file-upload.net/download-1037443/main.zip.html

http://www.file-upload.net/download-1037447/extra.zip.html

hier mein zweiter logFile zu Backlight:


http://www.file-upload.net/download-1037451/fsbl-20080811195613.zip.html


hier mein dritter logFile zu Malwarebytes:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1042
Windows 5.1.2600 Service Pack 2

00:03:10 12.08.2008
mbam-log-8-12-2008 (00-03-10).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 163667
Laufzeit: 48 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully.

------------------------------------------
-------------------------

den Logfile für ComboFix führe ich die Tage noch aus. Muß mich da erst mal reinlesen....kenne das Programm nicht

vlt sind die anderen Logfiles schon aussagekräftig

Werte bitte die von Kaspersky angemeckerte Datei nochmal bei Virustotal.com aus, sofern noch vorhanden.

Mach auch den Durchlauf mit Combofix noch. Halte Dich an meine gepostete Anleitung!!

Servus root24

hier poste ich jetzt dir jetzt mal den Logfile der combofix Datei


und hier ist nochmal der komplette Bericht von KIS:

gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\svchost.exe
gefunden: potentiell gefährliche Software Hidden install Prozess: C:\327882R2FWJFW\prep.cmd
gefunden: potentiell gefährliche Software Invader Prozess: C:\ComboFix\catchme.tmp
nicht gefunden: Virus Heur.Invader (Modifikation) Datei: c:\mozilladownload\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe


------------------------------------------------

Wie soll ich denn nun weiter verfahren?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Das sollte alles zu Combofix gehören. Hast Du denn auch wie in der Anleitung beschrieben, sämtliche Programme also auch Virenscanner und PFW ausgeknippst?:rolleyes:

hier die 2 ausgewerteten Berichte von VirusTotal:

Das Problem ist ich kann die 2 Datei

nirgendswo finden.....?

hab beim Scannen soweit alles deaktiviert auch mein komplettes kaspersky und hatte keine weitere Anwendung offen

Hallo

Die Datei gtermddo.sys und die von Dir am Anfang dieses Stranges erwähnten Einträge

Ich würde sagen, damit verdichten sich die Hinweise tatsächlich auf Backdoorbefall. D.h. um kein Risiko mehr einzugehen, solltest Du den Rechner vom Netz nehmen und zur Windows-Neuinstallation antreten, vorher zumindest die Systempartition formatieren und wenn das System neu steht und abgesichert ist, alle Paßwörter ändern.

Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist.

shit ich habs mir schon fast gedacht....

hier hab eben mal überprüft ob mein mbr auch befallen ist...hier der Bericht


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


und was meinste?

Der MBR ist okay. Heißt also, daß ein "normales" Neuaufsetzen reicht, wäre er befallen, müßtest Du vor dem Neuaufsetzen sicherheitshalber mit den Befehlen fixboot und fixmbr in der Wiederherstellungskonsole (von der Windows-CD gebootet) noch den MBR reparieren und unmittelbar danach formatieren.

AFAIR geht aus den vorhergehenden Logs auch keine Auffälligkeit mehr hervor, aber bei potentiellem Backdoorbefall sollte man sehr vorsichtig sein und absolut kein Risiko eingehen. :party: