Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Backdoor (https://www.trojaner-board.de/57614-trojaner-backdoor.html)

tonky 10.08.2008 17:30

Trojaner Backdoor
 
Hallo Leute,

bin neu hier im Forum....deswegen bitte um Vergebung fals ich was falsch poste....Also habe folgendes Problem:


habe mir vor einigen Tagen nen Trojaner namens: Backdoor.Win32.VB.brg eingefangen. Kann diesen durch kaspersky internet security nicht mehr desinfizieren bzw. er wird erst gar nicht gefunden.

Habe mir dann vor kurzem mal TrojanerCheck 6.0 runtergeladen, aber selbst darüber find ich nix.

Bin echt ratlos, kann mir ev. jemand helfen, wie ich solch einen Trojaner beseitigen kann.

mfg tonky


hier mein Hijack Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:58, on 10.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\EDNET\Office Program Selector\6.0\ACROMAPP.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Arbeitsprogramme\Trojancheck 6\tcguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Arbeitsprogramme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\Internetprogramme\Bitcomet\tools\BitCometBHO_1.1.11.30.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ACROMOUSE] "C:\Programme\EDNET\Office Program Selector\6.0\ACROMAPP.exe"
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Trojancheck 6 Guard] C:\Programme\Arbeitsprogramme\Trojancheck 6\tcguard.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\Internetprogramme\Bitcomet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\Internetprogramme\Bitcomet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetprogramme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetprogramme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206578553265
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207761858812
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\PROGRA~1\KASPER~2\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8243 bytes

cosinus 11.08.2008 12:18

Hallo und :hallo:

Poste bitte das Logfile vom Kaspersky bzw. nur die relevanten Infos. Wichtig wäre z.B. der komplette Pfad des angeblichen Backdoors.

Acker das hier für weitere Analysen ab:

1.) DSS
2.) Backlight ausführen, Logfile posten
3.) Malwarebytes Antimalware
4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]
Ist der Backdoorbefall durch die Logfiles bestätigt, sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist.

tonky 11.08.2008 21:55

Servus erstmal root24 und danke für die schnelle Reaktion

hier ist mein Bericht von kaspersky:

Verdächtig: neue Bedrohung Hidden.Object (Modifikation) C:\WINDOWS:4E0A5112DA200296 24 Bytes 10.08.2008 17:32:10

sach mal kannst du mir nicht deine e-mail addy schicken, damit ich dir die ganzen Logfile posten kann....bei einer Länge von 25000 Zeichen hörts nämlich auf. Und alles stückeln muß nicht sein.

Hab die Schritte, die du mir empfohlen hast soweit mal ausgeführt

mfg tonky

tonky 11.08.2008 21:57

Sorry hab noch den anderen Bericht vergessen, welches kaspersky ermittelte:

Infiziert: trojanisches Programm Backdoor.Win32.VB.brg C:\DOKUME~1\Sebi\LOKALE~1\Temp\IXP000.TMP\Setup.exe 138,3 KB

cosinus 11.08.2008 22:14

Hallo

Die Logfiles kannst Du gezippt bei file-upload.net hochladen und hier verlinken. So können auch andere Helfer evtl noch Deine Logs unkompliziert lesen. :rolleyes:

tonky 11.08.2008 23:37

hier mein erster logFile zu DSS


http://www.file-upload.net/download-1037443/main.zip.html

http://www.file-upload.net/download-1037447/extra.zip.html

hier mein zweiter logFile zu Backlight:


http://www.file-upload.net/download-1037451/fsbl-20080811195613.zip.html


hier mein dritter logFile zu Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1042
Windows 5.1.2600 Service Pack 2

00:03:10 12.08.2008
mbam-log-8-12-2008 (00-03-10).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 163667
Laufzeit: 48 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1042
Windows 5.1.2600 Service Pack 2

00:03:10 12.08.2008
mbam-log-8-12-2008 (00-03-10).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 163667
Laufzeit: 48 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully.

------------------------------------------
-------------------------

den Logfile für ComboFix führe ich die Tage noch aus. Muß mich da erst mal reinlesen....kenne das Programm nicht

vlt sind die anderen Logfiles schon aussagekräftig

cosinus 12.08.2008 20:26

Werte bitte die von Kaspersky angemeckerte Datei nochmal bei Virustotal.com aus, sofern noch vorhanden.

Mach auch den Durchlauf mit Combofix noch. Halte Dich an meine gepostete Anleitung!!

tonky 14.08.2008 22:11

Servus root24

hier poste ich jetzt dir jetzt mal den Logfile der combofix Datei
Code:

http://www.file-upload.net/download-1043692/ComboFix.txt.html
Code:

http://www.file-upload.net/download-1043695/ComboFix.zip.html


und hier ist nochmal der komplette Bericht von KIS:

gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\svchost.exe
gefunden: potentiell gefährliche Software Hidden install Prozess: C:\327882R2FWJFW\prep.cmd
gefunden: potentiell gefährliche Software Invader Prozess: C:\ComboFix\catchme.tmp
nicht gefunden: Virus Heur.Invader (Modifikation) Datei: c:\mozilladownload\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe


------------------------------------------------

Wie soll ich denn nun weiter verfahren?

cosinus 15.08.2008 19:33

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:

C:\WINDOWS\system32\drivers\SSHDRV51.sys
C:\DOKUME~1\Sebi\LOKALE~1\Temp\gtermddo.sys

Zitat:

und hier ist nochmal der komplette Bericht von KIS:

Code:

gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\svchost.exe
gefunden: potentiell gefährliche Software Hidden install Prozess: C:\327882R2FWJFW\prep.cmd
gefunden: potentiell gefährliche Software Invader Prozess: C:\ComboFix\catchme.tmp
nicht gefunden: Virus Heur.Invader (Modifikation) Datei: c:\mozilladownload\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe


Das sollte alles zu Combofix gehören. Hast Du denn auch wie in der Anleitung beschrieben, sämtliche Programme also auch Virenscanner und PFW ausgeknippst?:rolleyes:

tonky 18.08.2008 17:58

hier die 2 ausgewerteten Berichte von VirusTotal:

Code:

C:\WINDOWS\system32\drivers\SSHDRV51.sys
Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.8.19.0        2008.08.18        -
AntiVir        7.8.1.19        2008.08.18        -
Authentium        5.1.0.4        2008.08.18        -
Avast        4.8.1195.0        2008.08.18        -
AVG        8.0.0.161        2008.08.18        -
BitDefender        7.2        2008.08.18        -
CAT-QuickHeal        9.50        2008.08.18        -
ClamAV        0.93.1        2008.08.18        -
DrWeb        4.44.0.09170        2008.08.18        -
eSafe        7.0.17.0        2008.08.18        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.18        -
F-Prot        4.4.4.56        2008.08.18        -
F-Secure        7.60.13501.0        2008.08.18        -
Fortinet        3.14.0.0        2008.08.18        -
GData        2.0.7306.1023        2008.08.18        -
Ikarus        T3.1.1.34.0        2008.08.18        -
K7AntiVirus        7.10.420        2008.08.18        -
Kaspersky        7.0.0.125        2008.08.18        -
McAfee        5362        2008.08.15        -
Microsoft        1.3807        2008.08.18        -
NOD32v2        3365        2008.08.18        -
Norman        5.80.02        2008.08.18        -
Panda        9.0.0.4        2008.08.17        -
PCTools        4.4.2.0        2008.08.18        -
Prevx1        V2        2008.08.18        -
Rising        20.58.02.00        2008.08.18        -
Sophos        4.32.0        2008.08.18        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.18        -
TheHacker        6.3.0.5.053        2008.08.18        -
TrendMicro        8.700.0.1004        2008.08.18        -
VBA32        3.12.8.3        2008.08.18        -
ViRobot        2008.8.18.1339        2008.08.18        -
VirusBuster        4.5.11.0        2008.08.18        -
Webwasher-Gateway        6.6.2        2008.08.18        -
weitere Informationen
File size: 21504 bytes
MD5...: 4217f2b8957c7e82e2a08d16bf4267cf
SHA1..: 4f2e05c7acfe3f0ae07aaf70eeb34aa33de4ee19
SHA256: c07bf7b40d4698efd9d3c26c93bc0236b894278bdba85c56514c91da93efb7eb
SHA512: 811bd0ad2443ae905ed97272571bff1fd0e398565f0071ebad58da1c1182898f
eb30abdbd5e3cf7aacb9d576d4d9a62dabc6c1bf326019676a482d690d689948
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4042b5
timedatestamp.....: 0x3cee4793 (Fri May 24 14:00:51 2002)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x45a2 0x4600 6.09 c660e7b8ebb0d7d5a20b7cf544675a90
.rdata 0x6000 0xe0 0x200 2.00 2f124f098fd211cce3059636cf06f8f3
.data 0x7000 0x3b4 0x200 2.01 87dae98899c11874a7f321786ccbb05e
INIT 0x8000 0x2dc 0x400 4.10 330429329771c171fa95b97ba7f2c181
.reloc 0x9000 0x196 0x200 4.89 f2b95ea1d91fb290b65d52d4f55b9faa

( 1 imports )
> ntoskrnl.exe: IoCreateDevice, ObfDereferenceObject, KeSetEvent, IofCompleteRequest, IoCreateSymbolicLink, IoDeleteDevice, IoDeleteSymbolicLink, PsGetCurrentProcessId, KeSetAffinityThread, RtlInitUnicodeString, IoGetDeviceObjectPointer, IoFreeIrp, IoGetAttachedDevice, RtlFreeUnicodeString, KeInitializeEvent, IoBuildSynchronousFsdRequest, KeWaitForSingleObject, ExAllocatePoolWithTag, IoAllocateIrp, IofCallDriver, MmUnlockPages, IoFreeMdl, ExFreePool, RtlAnsiStringToUnicodeString, RtlInitString, KeGetCurrentThread, KeNumberProcessors

( 0 exports )


tonky 18.08.2008 18:08

Das Problem ist ich kann die 2 Datei

Code:

C:\DOKUME~1\Sebi\LOKALE~1\Temp\gtermddo.sys
nirgendswo finden.....?

tonky 18.08.2008 18:09

hab beim Scannen soweit alles deaktiviert auch mein komplettes kaspersky und hatte keine weitere Anwendung offen

cosinus 18.08.2008 19:11

Zitat:

Zitat von tonky (Beitrag 363671)
Das Problem ist ich kann die 2 Datei

Code:

C:\DOKUME~1\Sebi\LOKALE~1\Temp\gtermddo.sys
nirgendswo finden.....?

Hallo

Die Datei gtermddo.sys und die von Dir am Anfang dieses Stranges erwähnten Einträge

Code:

Infiziert: trojanisches Programm Backdoor.Win32.VB.brg C:\DOKUME~1\Sebi\LOKALE~1\Temp\IXP000.TMP\Setup.exe 138,3 KB

Verdächtig: neue Bedrohung Hidden.Object (Modifikation) C:\WINDOWS:4E0A5112DA200296 24 Bytes 10.08.2008 17:32:10

Ich würde sagen, damit verdichten sich die Hinweise tatsächlich auf Backdoorbefall. D.h. um kein Risiko mehr einzugehen, solltest Du den Rechner vom Netz nehmen und zur Windows-Neuinstallation antreten, vorher zumindest die Systempartition formatieren und wenn das System neu steht und abgesichert ist, alle Paßwörter ändern.

Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist.

tonky 18.08.2008 19:48

shit ich habs mir schon fast gedacht....

hier hab eben mal überprüft ob mein mbr auch befallen ist...hier der Bericht


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


und was meinste?

cosinus 18.08.2008 19:54

Der MBR ist okay. Heißt also, daß ein "normales" Neuaufsetzen reicht, wäre er befallen, müßtest Du vor dem Neuaufsetzen sicherheitshalber mit den Befehlen fixboot und fixmbr in der Wiederherstellungskonsole (von der Windows-CD gebootet) noch den MBR reparieren und unmittelbar danach formatieren.

AFAIR geht aus den vorhergehenden Logs auch keine Auffälligkeit mehr hervor, aber bei potentiellem Backdoorbefall sollte man sehr vorsichtig sein und absolut kein Risiko eingehen. :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131