Gefährlicher Backdoor Trojaner
 

Hallo!

Hatte einen Backdoor Trojaner auf meinem PC. Von A-squared gefunden und gelöscht.:eek:
Nach einem Reboot war er wieder da. Nur woanders. (System Volume Information restore...) Wieder gelöscht. Reboot. Scan. Nichts gefunden. Könnt ihr mal nachschauen ob bei meinem Hiijackthis log irgendwas auffälliges ist?! Danke Euch! :)
Ein Tipp an alle die nicht wissen welches Security Programm sie wählen sollen. Absolut abraten kann ich "Panda 09." Findet nicht alles und hat mehrere Option/Funktionen, die einem PC Laien graue Haare machen können. So z.B. ist es nach einem Malwarefund und Scan nicht ersichtlich was mit der gefundenen Datei geschehen ist. Keine Logs über das Resultat von behandelter Malware! Anraten kann ich: A squared" Vollversion. Das Programm leistet wirklich gute Arbeit. :daumenhoc



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:20, on 28.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2009\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\System Control Manager\MSIService.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PsCtrls.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PsImSvc.exe
C:\Programme\Panda Security\Panda Internet Security 2009\PskSvc.exe
C:\Programme\Panda Security\Panda Internet Security 2009\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2009\AVENGINE.EXE
c:\programme\panda security\panda internet security 2009\firewall\PSHOST.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\System Control Manager\MGSysCtrl.exe
C:\Programme\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE
C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\IObit\Advanced SystemCare 3\AWC.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Panda Security\Panda Internet Security 2009\WebProxy.exe
C:\Programme\Panda Security\Panda Internet Security 2009\SRVLOAD.EXE
C:\Programme\Panda Security\Panda Internet Security 2009\PavBckPT.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mobile Partner\Mobile Partner.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Panda Security\Panda Internet Security 2009\IFACE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.targa.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2009\Inicio.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programme\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226361926000
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5473A79-1EFF-4185-BD77-4045A3EDDE48}: NameServer = 193.189.244.205 193.189.244.197
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2009\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PskSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\TPSrv.exe

--
End of file - 7112 bytes

Könnten wir den a-squared bericht mal sehen?

lg myrtille

Leider nicht! Der A squared Scan Bericht ist leider gelöscht worden.:snyper: Kann ich mit sonst was helfen?!:singsing:

Kannst du uns sagen wie die Datei hieß, die gelöscht wurde?

lg myrtille

Gut also zuerst wurde der Trojaner in einer Datei gefunden die zu JAVA gehörte:
java loader. oder sowas. Eine exe. Datei. Genau weiss ich das leider nicht mehr.:schmoll:
In einer solchen Datei: C:/System Volume Information/restore... (Programmbibliotek) wurde dann der selbe Trojaner beim erneuten Scan entdeckt. Hoffe das hilft Euch weiter. Irgendwelche gefährlichen Einträge bei meinem Hijackthis log? :confused:

Hi,

ohne den genauen Namen oder Pfad lässt sich da nicht mehr viel erkennen.
Wenn wirklich nur eine Datei und keinerlei sonstigen Einstellungen erkannt weurden, dann würde ich fast auf einen Fehlalarm von a-squared tippen.
Aber so kann man es nicht wissen.

Das HJT log ist sauber.

lg myrtille

Na, dann bin ich ja beruhigt, vielen Dank für die Hilfe! :party:
Zum Schluss noch eine Frage:

Ist dieser Server: "Media Ways" ok?!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:15, on 29.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal


O17 - HKLM\System\CCS\Services\Tcpip\..\{E5473A79-1EFF-4185-BD77-4045A3EDDE48}: NameServer = 193.189.244.205 193.189.244.197

Habe einen O2 Loop Surf Stick.

Wenn du dir Mühe gemacht hättest auf dein erstes Thema nochmal zu antworten, dann hätte ich dir sagen können, dass mediaways sein Netz unter anderem auch an O2 vermietet und daher in Ordnung sein sollte.

lg myrtille