![]() |
Trojaner Backdoor Hallo Leute, bin neu hier im Forum....deswegen bitte um Vergebung fals ich was falsch poste....Also habe folgendes Problem: habe mir vor einigen Tagen nen Trojaner namens: Backdoor.Win32.VB.brg eingefangen. Kann diesen durch kaspersky internet security nicht mehr desinfizieren bzw. er wird erst gar nicht gefunden. Habe mir dann vor kurzem mal TrojanerCheck 6.0 runtergeladen, aber selbst darüber find ich nix. Bin echt ratlos, kann mir ev. jemand helfen, wie ich solch einen Trojaner beseitigen kann. mfg tonky hier mein Hijack Log-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:28:58, on 10.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Maxtor\Sync\SyncServices.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\EDNET\Office Program Selector\6.0\ACROMAPP.exe C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Arbeitsprogramme\Trojancheck 6\tcguard.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Arbeitsprogramme\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\Internetprogramme\Bitcomet\tools\BitCometBHO_1.1.11.30.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ACROMOUSE] "C:\Programme\EDNET\Office Program Selector\6.0\ACROMAPP.exe" O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Trojancheck 6 Guard] C:\Programme\Arbeitsprogramme\Trojancheck 6\tcguard.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\Internetprogramme\Bitcomet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetprogramme\ICQ\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetprogramme\ICQ\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206578553265 O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207761858812 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\PROGRA~1\KASPER~2\KASPER~1.0\adialhk.dll O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8243 bytes |
Hallo und :hallo: Poste bitte das Logfile vom Kaspersky bzw. nur die relevanten Infos. Wichtig wäre z.B. der komplette Pfad des angeblichen Backdoors. Acker das hier für weitere Analysen ab: 1.) DSS 2.) Backlight ausführen, Logfile posten 3.) Malwarebytes Antimalware 4.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist. |
Servus erstmal root24 und danke für die schnelle Reaktion hier ist mein Bericht von kaspersky: Verdächtig: neue Bedrohung Hidden.Object (Modifikation) C:\WINDOWS:4E0A5112DA200296 24 Bytes 10.08.2008 17:32:10 sach mal kannst du mir nicht deine e-mail addy schicken, damit ich dir die ganzen Logfile posten kann....bei einer Länge von 25000 Zeichen hörts nämlich auf. Und alles stückeln muß nicht sein. Hab die Schritte, die du mir empfohlen hast soweit mal ausgeführt mfg tonky |
Sorry hab noch den anderen Bericht vergessen, welches kaspersky ermittelte: Infiziert: trojanisches Programm Backdoor.Win32.VB.brg C:\DOKUME~1\Sebi\LOKALE~1\Temp\IXP000.TMP\Setup.exe 138,3 KB |
Hallo Die Logfiles kannst Du gezippt bei file-upload.net hochladen und hier verlinken. So können auch andere Helfer evtl noch Deine Logs unkompliziert lesen. :rolleyes: |
hier mein erster logFile zu DSS http://www.file-upload.net/download-1037443/main.zip.html http://www.file-upload.net/download-1037447/extra.zip.html hier mein zweiter logFile zu Backlight: http://www.file-upload.net/download-1037451/fsbl-20080811195613.zip.html hier mein dritter logFile zu Malwarebytes: Code: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1042 Windows 5.1.2600 Service Pack 2 00:03:10 12.08.2008 mbam-log-8-12-2008 (00-03-10).txt Scan-Methode: Vollständiger Scan (C:\|F:\|) Durchsuchte Objekte: 163667 Laufzeit: 48 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully. ------------------------------------------ ------------------------- den Logfile für ComboFix führe ich die Tage noch aus. Muß mich da erst mal reinlesen....kenne das Programm nicht vlt sind die anderen Logfiles schon aussagekräftig |
Werte bitte die von Kaspersky angemeckerte Datei nochmal bei Virustotal.com aus, sofern noch vorhanden. Mach auch den Durchlauf mit Combofix noch. Halte Dich an meine gepostete Anleitung!! |
Servus root24 hier poste ich jetzt dir jetzt mal den Logfile der combofix Datei Code: http://www.file-upload.net/download-1043692/ComboFix.txt.html Code: http://www.file-upload.net/download-1043695/ComboFix.zip.html und hier ist nochmal der komplette Bericht von KIS: gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\svchost.exe gefunden: potentiell gefährliche Software Hidden install Prozess: C:\327882R2FWJFW\prep.cmd gefunden: potentiell gefährliche Software Invader Prozess: C:\ComboFix\catchme.tmp nicht gefunden: Virus Heur.Invader (Modifikation) Datei: c:\mozilladownload\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe ------------------------------------------------ Wie soll ich denn nun weiter verfahren? |
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\drivers\SSHDRV51.sys Zitat:
|
hier die 2 ausgewerteten Berichte von VirusTotal: Code: C:\WINDOWS\system32\drivers\SSHDRV51.sys Code: Antivirus Version letzte aktualisierung Ergebnis |
Das Problem ist ich kann die 2 Datei Code: C:\DOKUME~1\Sebi\LOKALE~1\Temp\gtermddo.sys |
hab beim Scannen soweit alles deaktiviert auch mein komplettes kaspersky und hatte keine weitere Anwendung offen |
Zitat:
Die Datei gtermddo.sys und die von Dir am Anfang dieses Stranges erwähnten Einträge Code: Infiziert: trojanisches Programm Backdoor.Win32.VB.brg C:\DOKUME~1\Sebi\LOKALE~1\Temp\IXP000.TMP\Setup.exe 138,3 KB Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist. |
shit ich habs mir schon fast gedacht.... hier hab eben mal überprüft ob mein mbr auch befallen ist...hier der Bericht Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK und was meinste? |
Der MBR ist okay. Heißt also, daß ein "normales" Neuaufsetzen reicht, wäre er befallen, müßtest Du vor dem Neuaufsetzen sicherheitshalber mit den Befehlen fixboot und fixmbr in der Wiederherstellungskonsole (von der Windows-CD gebootet) noch den MBR reparieren und unmittelbar danach formatieren. AFAIR geht aus den vorhergehenden Logs auch keine Auffälligkeit mehr hervor, aber bei potentiellem Backdoorbefall sollte man sehr vorsichtig sein und absolut kein Risiko eingehen. :party: |
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board