Trojaner-Board - Ricsi-831 Wurm gefunden - Backdoor Trojaner Gefahr?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ricsi-831 Wurm gefunden - Backdoor Trojaner Gefahr? (https://www.trojaner-board.de/56389-ricsi-831-wurm-gefunden-backdoor-trojaner-gefahr.html)

Ricsi-831 Wurm gefunden - Backdoor Trojaner Gefahr?

Hallo zusammen,
ich bin neu hier im Forum. Habe mich angemeldet, weil ich ein Problem habe mit einem Virus und hoffe, dass mir hier geholfen werden kann.

Erstmal meine Angaben zum System:
-Vista Ultimate
-Firefox 3.0.1
-Aktuellste Updates
-Avast Virenscanner
-IE 7

Das Problem ist folgendes:

Ich arbeite mit VMWare Sessions und habe während ich eine auf hatte folgende Meldung von meinem Avast Virenscanner erhalten:

Sign of "Ricsi-831" has been found in "Pfad\Datei.vmem" file.

Desweiteren habe ich noch folgende Warnungen bekommen, beim Öffnen von Cryptload:

Sign of "Win32:Trojan-gen {Other}" has been found in "Pfad\link-me.freehostia.com.dll" file.

Sign of "Win32:Trojan-gen {Other}" has been found in "Pfad\rapidsafe.net.dll" file.

Sign of "Win32:Trojan-gen {Other}" has been found in "Pfad\myref.de.dll" file.

Sign of "Win32:Trojan-gen {Other}" has been found in "Pfad\doku.cc.dll" file.

Nachdem ich etwas gegoogelt habe, fand ich heraus, dass es sich unter Umständen um einen Backdoor Trojaner (Ricsi-831)handeln könnte und die Cryptload Fehler wohl false positive sind.
Ich habe den Virus mit der Datei über Avast auch direkt gelöscht.
Danach habe eine Intensiv-Prüfung mit Avast durchgeführt (4.30 Stunden) und es wurde kein weiterer Virus gefunden.

Als nächstes habe ich dann ein HiJackThis Log erstellt und es über die HiJackThis Homepage analysieren lassen. Es gab keinen Eintrag, der z.B. "schädlich" oder "äußerst schädlich" war.
Alles war Grün und "Gut".

Daraufhin habe ich dann mit Ad-Aware und SuperAntiSpyware Free Edition
Scans durchlaufen lassen und ca. 250 Infizierte Dateien gelöscht. Beim zweiten Mal durchlaufen gab es dann keine infizierten Dateien mehr.

Meine Fragen wären jetzt:

1.) Habe ich mir einen Backdoor-Trojaner eingefangen?
2.) Weiß jemand, ob die Cryptload Dateien wirklich ungefährlich sind?
3.) Ist mein System aufgrund meiner Maßnahmen nun wieder sauber?
4.) Was kann ich noch tun, um zu überprüfen, ob mein Rechner mit ungewollt mit anderen Spricht (Beispiel Botnetzwerk)?

Ich danke für die Hilfe, die ich hoffentlich bekommen werde ;)

Gruß
JD

Hallo,
poste bitte als Erstes ein HijackThis Logfile, vergiss aber nicht aktive Links und persönliche Namen zu editieren!
Folge anschließend der Anleitung von MalwareBytes, Link findest du in meiner Signatur.

Zu deinen Fragen:

1.) Das werden wir anhand den beiden Programmen feststellen
2.) Solche Dateien sind die 100% rein
3.) Kann sein, kann aber auch nicht sein
4.) Indem wir dein System mit (Anfangs) den beiden Programmen analysieren :)

mfg

Edit: Also mit dem MalwareBytes Programm habe ich ein paar Probleme, denn das Programm friert irgendwie ein. Meistens wenn bei Laufzeit: 4 oder 5 Second(s) steht. Meine CPU arbeitet aber noch kräftig weiter. Ist das nur ein anzeigeproblem?

Alles klar, hier schon mal das HiJackThis LogFile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:21:39, on 20.07.2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\VMware\VMware Workstation\vmware-tray.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\VMware\VMware Workstation\hqtray.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Windows\System32\CTHELPER.EXE

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\QIP\qip.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"

O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe

O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\SBAudigy2ZS\Volume Panel\VolPanlu.exe" /r

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O13 - Gopher Prefix: 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
 

--

End of file - 7115 bytes

Ok, anhand des HijackThis Logs kann ich keine schädlichen Einträge erkennen.
Wenn MalwareBytes nicht läuft, probier es mal mit dem:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg

Okay, das hat funktioniert. Hier die LogDatei!

Code:

Search Navipromo version 3.6.1 began on 20.07.2008 at 23:09:08,59
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Actual User Account : "XXX" 
 

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO
 

Microsoft Windows Vista 6.0.6001 

Version Internet Explorer : 7.0.6001.18000

Filesystem type : NTFS
 

Search done in normal mode
 

*** Searching for installed Software ***
 
 

*** Search folders in "C:\Windows" ***
 
 

*** Search folders in "C:\Program Files" ***
 
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***
 
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***
 
 

*** Search folders in "C:\ProgramData" ***
 
 

*** Search folders in "c:\users\XXX\appdata\roaming\micros~1\windows\startm~1\programs" ***
 
 

*** Search folders in "C:\Users\XXX\AppData\Roaming" ***
 
 

*** Search folders in "C:\Users\ADMINI~1\appdata\roaming" ***
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 

No Navipromo file found
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\Windows\system32" *
 

* Scan in "C:\Users\XXX\AppData\Local\Microsoft" *
 

* Scan in "C:\Users\XXX\AppData\Local" *
 

* Scan in "C:\Users\ADMINI~1\AppData\Local" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\Windows\system32" :
 
 

* In "C:\Users\XXX\AppData\Local\Microsoft" :
 
 

* In "C:\Users\XXX\AppData\Local" :
 
 

* In "C:\Users\ADMINI~1\AppData\Local" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 20.07.2008 at 23:14:06,14 ***

Sieht gut aus, hast du noch Probleme ?
mfg

Das klingt ja schon mal gut, du meinst also, das mein System sauber ist, sodass ich z.B. wieder online banking und co betreiben könnte?
Ich lasse gerade immer noch Malwarebytes durchlaufen bzw. hoffe, dass es irgendwie noch was tut. Wenn es klappt würde ich hier auch noch die Log-Datei posten wollen.

Es sind keine Anzeichen eines Backdoor Servers zu finden, daher kann ich dich entwarnen.
Wenn Mbam was finden würde, kannst/solltest du es mir schon berichten :D

mfg