Trojaner-Board - Backdoor.Win32.VB.bco

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Backdoor.Win32.VB.bco (https://www.trojaner-board.de/41529-backdoor-win32-vb-bco.html)

Backdoor.Win32.VB.bco

Hallo Leute,
ich habe ein problem und hoffe, dass ihr mir behilflich sein könnt:
Habe gerade mein rechner eingeschaltet und bekam glaich eine Meldung von Kaspersky, dass sich ein Trojanisches Pferd auf meiner Festplatte befindet.
Name: Backdoor.32.VB.bco
im Objekt C:\WINDOWS\system32\cdm.exe

jetzt wird natürlich von Kaspersky empfohlen das Objekt zu löschen, doch wenn ich das tue kommt in einer weiteren Fehlermeldung, dass das Löschen des Objekts nicht möglich sei. "Felende Rechte oder Zugriff auf das Objekt verboten" heißt es.

Weiter habe ich versucht das Objekt manuell zu löschen, doch es reproduziert sich automatisch und nach wenigen sekunden befindet sich das Objekt erneut am selben Ort.

Ich hoffe, ihr kommt mit meiner Beschreibung zurecht und könnt mir weiterhelfen. Habe meinen PC erst vor wenigen wochen formatiert und hoffe, dass man auch eine einfachere lösung findet.

Mfg,
Maxtasy

Hallo.

Werte die fragliche Datei bitte online bei Virustotal aus und poste alle Ergebnisse inkl. Dateigröße und Prüfsummen.

Poste auch gleich ein Hijackthis-Logfile.

Das kam bei Virustotal raus:
http://upload4you.de/out.php/i11623_virustotal.PNG

Hier noch das Logfile (hoffe, dass ich es richtig gepostet habe):

Code:

Logfile of HijackThis v1.99.1

Scan saved at 15:33:32, on 30.07.2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cdm.exe

C:\Programme\Winamp\winampa.exe

C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\System32\RunDLL32.exe

C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\rundll32.exe

C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\NCLAUNCH.EXe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Pidgin\pidgin.exe

C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe
 

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe

O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Du hast leider nicht die Datei ausgewertet, die ich meinte und die dir angezeigt wurde.

Auswerten solltest du => C:\WINDOWS\system32\cdm.exe

cmd.exe ist eine legitime Windowsdatei, der Kommandozeileninterpreter!

Dein Hijackthis-Logfile sieht erstaunlich sauber aus, allerdings fehlt bei dir das SP2 und nat. die Folgepatches.

Warten wir erst die Auswertung ab.

oh ja, hab es gerade auch bemerkt, sorry...

wenn ich die ...\cdm.exe zu virustotal senden will, dann kommt folgendes:
"0 bytes size received / Se ha recibido un archivo vacio"
wenn ich dann aber in meinem system 32 ordner die datei anschaue ist sie 486kb groß.

Okay, dann müssen wir den anders auswerten. Besorg dir killbox (link siehe Signatur).

1. Starte Killbox.
2. Kopier den Pfad zur Schädlingsdatei also C:\WINDOWS\system32\cdm.exe in das Adressfeld.
3. Markier die Option "Delete on reboot".
4. Drück auf das rote Schild mit dem weißen X.
5. Die aufpoppende Frage mit ja beantworten, das System sollte neu starten.
6. Die auszuwertende Datei sollte sich nun in C:\!killbox befinden.
7. Werte die Datei C:\!killbox\cdm.exe aus und poste die Ergebnisse.

oh mann das gibts doch nicht,
wenn ich das programm killbox starten möchte kommt auch ein fehler:
"Component 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid"

danke schonmal für deine hilfe

Ich glaub dann können wir hier an der Stelle abbrechen.

Man kann mittlerweile davon ausgehen, dass dein System kompromittiert und zerschossen ist, einfachste Programme wie killbox lassen sich ja nicht mehr starten. cdm.exe scheint lt. Kaspersky Backdoorfunktionen zu haben, belastend kommt hinzu, dass dein System ungepatcht ist (fehlendes SP2!).

Folge dem Link neu aufsetzen in meiner Signatur.

ok, vielen dank für deine schnellen und informativen antworten.
dann bleibts mir wohl nichts anderes übrig als meinen pc zu formatieren.
ist es riskant noch daten von meiner festplatte auf eine externe festplatte zu kopieren um sie zu sichern, oder sollte es da keine probleme geben?
wäre schade, wenn alle meine daten verloren gingen...

Du solltest deine Daten immer regelmäßig sichern, nicht erst dann wenn alles zu spät ist - deine Festplatte kann auch von heute auf morgen kaputt gehen, es muss nicht immer Schädlingsbefall sein.

Daten kannst du noch sichern, solltest du aber von einem Fremdsystem (Knoppix, BartPE) auf die externe Platte kopieren. Und sichere nur reine Datendateien wie Videos, Bilder, Dokumente und so, keine Programme!

Wenn du neu aufgesetzt hast, sieht zu dass das SP2 als erstes raufkommt. Der Rest und alle weiteren Details stehen in der Anleitung.

warum kompliziert, wenns auch einfach geht? :)
hab jetzt noch ein bisschen rumprobiert und habe über den taskmanager den prozess cdm.exe beendet, dann schnell auf "Objekt löschen" bei Kaspersky und nun existiert das Objekt nichtmehr :aplaus:
hoffentlich war das wirklich so einfach, wie es aussieht. jedenfalls hat es sich bis jetzt noch nicht wieder reproduziert.

Sichern werde ich meine Daten trotzdem. Is auch nicht so, dass ich nie meine daten sicher, aber innerhalb von 2 wochen sammelt sich da schon einiges an.
Mfg,
Maxtasy

und schon wieder ein opfer einer komprommitierung:headbang: :headbang: :headbang:

Zitat:

warum kompliziert, wenns auch einfach geht?

Die Auswirkungen einer Backdoor hast du nicht verstanden :headbang:
Wunder dich aber nicht, wenn irgendwann die Kripo bei dir kingeln sollte. :balla:

Schädlinge entferen
System nach Infektion neu aufsetzen

Lies dir das bitte durch!