Sorgenkinder:
Backdoor.win32.ForBot.t erstellt April 2005 (vom PC gelöscht?)
Trojan.Spy.Agent.pr


Werte Trojaner-Boarder!

Da ich mich auf dem Weg zum IT-Fachmenschen begeben habe, wollte ich mittels Ethereal meinen Netzerkverkehr anschauen, z.B. was passiert, wenn ich mich / man sich bei gmx anmeldet etc.

Der PC ist als Testrechner neu aufgesetzt am 11.4.2005 und dementsprechend "nackt", es sind keine relevanten Daten darauf gespeichert. Ausser online-Anmeldungen zum gmx-Postfach läuft nichts darüber.

Die Ethereal-Version (0.99?) habe ich von deren site gezogen. Beim ersten mal von einem europäischen Mirror und Kaspersky KIS 6.0 meldete nach einiger Zeit (Tagen) im Ethereal-Setup-Programm den Virus Backdoor.win32.ForBot.t.
Dazu auch noch im Verzeichnis c:\system Volume information und irgendwo im Firefox. http://www.trojaner-board.de/images/smilies/frown.gif


Es scheint, als hätte der sich, als Admin angemeldet, löschen lassen, auch wurde der Virus, der zudem im Verzeichnis System Volume Information sitzen sollte, angeblich gelöscht. http://www.trojaner-board.de/images/smilies/boogie.gif


Beimzweiten Mal nun habe ich Ethereal 0.99 von der Standard-Quelle bezogen und installiert, einigen Traffic angeschaut und etliche Tage etwas anderes gemacht. Am 13.5. nun, nachdem Kasperky KIS 6.0 ein neues Update gezogen hatte, bekam ich wieder eine Trojaner-Identifikation:

Trojan.Spy.Agent.pr ,
bei Grisoft genannt: PSW.Agent.AJ .

http://www.trojaner-board.de/images/smilies/koch.gif


Auch der war so wohl in der Ethereal-Setup-Datei als auch im System Volume information - Ordner.

Am 13.5. wurde dieser nach dem Update von Kaspersky erkannt und nach ein paar Anläufen gelöscht - desinfizieren ging angeblich nicht.


Warum werden die Dinger erst Tage später von Kaspersky/ einem Antivirenprogramm erkannt? (wenn überhaupt) und:
Was kann ich dagegen tun - ausser das System als korrumpiert anzusehen und neu auf zu setzen - es lebe Acronis.
Ausserdem interessiert es mich sehr, wie man an dem log eine Gefährdung erkennt.
Wer mir antwortet, möchte bitte mit erzählen, wie er zu der Daignose gekommen ist oder einen Hinweis geben, wie ich mich in das Thema einarbeiten kann.
Besten Dank.

Hier mein HijackThis-Log von heute Abend:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:27:39 PM, on 5/16/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
E:\NetzTools\HiJackThis_v2_00_beta.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176249918744
O17 - HKLM\System\CCS\Services\Tcpip\..\{4206B4CE-5B6D-4176-B2A6-0712400F4E5B}: NameServer = 62.72.64.237,62.72.64.241
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

--
End of file - 6149 bytes


Viel Spass 'am Diagnostizieren' & Dank für die Mühe, Gruss trojpecker.

Zitat:

Zitat von trojpecker

Der PC ist als Testrechner neu aufgesetzt am 11.4.2005

Ernsthaft?

Zitat:

Zitat von trojpecker

Kaspersky KIS 6.0 meldete nach einiger Zeit (Tagen) im Ethereal-Setup-Programm den Virus Backdoor.win32.ForBot.t.

Besteht das Problem mit aktuellen Signaturen weiterhin? "Setup" heißt also nicht entpackt?! Dann kann ich zumindest mit aktuellen Signaturen deine Funde nicht bestätigen. Das setup ist laut KAV und virustotal clean. False positives sollten aber bei Netzwerksniffern nicht ungewöhnlich sein.

Zitat:

Zitat von trojpecker

Dazu auch noch im Verzeichnis c:\system Volume information und irgendwo im Firefox.

Stünde dann in keinem Zusammenhang mit der setup.exe.

Zitat:

Zitat von trojpecker

Beimzweiten Mal nun habe ich Ethereal 0.99 ...installiert... Am 13.5. nun, nachdem Kasperky KIS 6.0 ein neues Update gezogen hatte, bekam ich wieder eine Trojaner-Identifikation:

Welche Datei und wo?

Zitat:

Zitat von trojpecker

Auch der war so wohl in der Ethereal-Setup-Datei als auch im System Volume information - Ordner.

Was nun? Setup oder installiert?
Auch installiert zeigt mir KAV keine Infektion. Ja, ich habe extra für dich das Zeug installiert!

btw kannst du die Weiterentwicklung whireshark nutzen, der Autor hat letztes Jahr ethereal verlassen

und btw2: Bevor du dich das nächste Mal aufregst, dass dir keiner antwortet, stelle Fragen genau.

good luck, das HJT-log schaffst du allein

@ ordell1234

zunächst 'mal Dank für deine Aufmerksamkeit!

Gleich zu Beginn eine Frage: wie funzt das mit dem Zitieren?
noch eine Frage: wie komme ich ans das Edieren eines selbst geschriebenen Artikels/ Threads - wenn mir etwa ein Fehler unterläuft.

Aber nun:

"11.4.2005" installiert = (temporäre?!) geistige Umnachtung. der 11.4. stimmt,
das 2005 aber nicht, es ist schon 2007.
Als ich es merkte, hatte ich das Ganze schon abgeschickt und ich habe das Edieren hier bei Trojaner-Board noch nicht 'raus.


Zur Verwirrung mit der ethereal-Setup-Datei:

Ich hatte Ethereal installiert, aber zudem die setup.exe als Quelldatei auf einer anderen Partition einer 2. HDD abgelegt.
Das war mir so selbstverständlich, dass ich es zu erwähnen vergass. Sorry.

Es gab also das laufende Programm und die Quelldatei Setup.exe.
In letzterer sollte der Trojaner sitzen, aber auch im Ordner "c:\system volume information" und irgendwo in den personal settings des Firefox. Da ich zu aufgeregt war, habe ich den Firefox- Infektionsort nicht notiert.

Nach der Ethereal 0.99-Installation funzte Ethereal zunächst problemlos, bis NACH EINIGEN TAGEN Kaspersky kis 6 den Trojaner/ Virus meldete und zwar so wohl in der ethereal-Setup.exe als auch im c:\system volume information.

Nach der "Löschung" des Trojaners durch Kaspersky, was bedeutet:
Löschen der Ehtereal-Setup.exe,
Deinstallieren von Ethereal und
Löschen des Trojaners aus dem "c:\system volume information" (was nur als Admin angemeldet funktionierte),
scheint der Backdoor.win32.ForBot.t-Trojaner vom System herunter zu sein, aber genau da steckt eine wichtige Frage:
wie kann ich mir da sicher sein, dass ein System nicht korrumpiert ist?



Gruss & Dank

trojpecker.

Moin trojpecker,

Die Sachen 'editieren' und 'zitieren' sollten sich geklärt haben, myrtille war so nett.

ethereal: Wie gesagt, ich habe nichts derartiges beobachet, auch nicht einige Tage später. Bleiben folgende Möglichkeiten:

- das setup war tatsächlich infiziert, ist aber unwahrscheinlich, wenn du die Datei von ethereal hast

- false-positive von Kaspersky: durchaus möglich, deshalb meine Frage, ob das Problem auch mit aktuellen Signaturen besteht

- Loch im Topf, d.h. du warst bereits infiziert oder hast dir im Lauf der Zeit was eingefangen

Zitat:

Zitat von trojpecker

aber genau da steckt eine wichtige Frage:
wie kann ich mir da sicher sein, dass ein System nicht korrumpiert ist?

Kannst du nicht. Ob dein System sauber ist, läßt sich leider nur falsifizieren aber nicht verifizieren. Du mußt zwei Fragen in deinem Fall trennen: 1. Bin ich infiziert? 2. Konnte ich mein System bereinigen. Da sich beide Fragen nicht eindeutig beantworten lassen, ist deine Testkiste nicht mehr vertrauenswürdig, d.h. sie ist als "kompromittiert" zu betrachten. Dein Spieltrieb in allen Ehren, aber denke auch an die restllichen Internetnutzer, die keinen Bock auf SPAM und andere Sauereien haben.

Nützliche links:
- Cidres Anleitung zum Neuaufsetzen, die weit über ne Anleitung zum Neuaufsetzen hinaus geht
- Seiten von Oliver Schad
- Grundsatzdiskussion Systembereinigung
- der Linkblock

Gruß

Zitat:

Zitat von ordell1234

- Loch im Topf, d.h. du warst bereits infiziert oder hast dir im Lauf der Zeit was eingefangenKannst du nicht. Ob dein System sauber ist, läßt sich leider nur falsifizieren aber nicht verifizieren. Du mußt zwei Fragen in deinem Fall trennen:

1. Bin ich infiziert?
2. Konnte ich mein System bereinigen.

Da sich beide Fragen nicht eindeutig beantworten lassen, ist deine Testkiste nicht mehr vertrauenswürdig, d.h. sie ist als "kompromittiert" zu betrachten. Dein Spieltrieb in allen Ehren, aber denke auch an die restllichen Internetnutzer, die keinen Bock auf SPAM und andere Sauereien haben.

Moin ordell1234,

schön'n Dank für die Antwort!

Das was Du hier sagst, entspricht dem, was ich bereits in einem Wikipedia (?) - Artikel las.
Das ist nicht beruhigend.
Der Testrechner ist nicht mehr mit der infizierten Platte im Netz, ich hatte noch eine 2. und habe darauf neu installiert.

Zum Loch im Topf:
Was mich nun noch beunruhigt ist dies:
Es gibt zwei Zeiten, wo ich sehr ungeschützt ins Netz MUSS:
- Bei der MS- Aktivierung (wobei das auch heraus zu zögern ist, sprich nachträglich zu machen ist) und beim Ziehen der ersten MS-Updates.
- Bei der Online-Aktivierung von Kasperky kis 6.0, sonst gibt es keine Updates und keine Produktaktivierung, mithin keinen Schutz durch KIS.
>-| .

Wie gross ist die Gefahr vom Internet aus infiziert zu werden, wenn man so ganz "nackt" mit Netzkarte und dsl-Modem im Internet hängt? Dass z.B. jemand per Portscanner den Rechner und seine Dienste ausfindig macht und durch einen laufenden Dienst böse Dinge auf den Rechner bringt?

Ich sitze zwar mittlerweile hinter einem Router (DLINK dl-604) , bin aber nicht sicher, ob ich den wirklich gut konfiguriert habe. und zudem hilft der ja wohl nichts, wenn ein Port offen ist, dann hilft nur die Qualität des dahinter laufenden Dienstes, oder?
(Als ich erstmals installierte hatte ich den noch nicht).

Wie gross ist die Gefährdung an diesen beiden Stellen und wie kann ich sie umgehen?
=> Gibt es dazu schon einen Thread und wie kann ich den ggf. finden?

P.S.: besten Dank für die Links, ich will mich heute abend darum tummeln.

Moin an die, die es interessiert:

ich habe etwas heraus gefunden und zwar wie man den System Volume Information-Ordner durchsuchen und säubern lassen kann. Das geht wie folgt:


Der Ordner kann unter W2k und XP mittels Sicherheit das Administratoren-Konto, bzw. die Gruppe der Administratoren hinzugefügt bekommen derart, dass diese Gruppe das Recht auf Lesen Schreiben Ändern (evtl. auch auf Vollzugriff) bekommt.
Wenn dann das Antiviren-Programm ("AVP") unter dem Administratoren-Zugang läuft, was bei Karpersky möglich ist einzustellen, dann wird ein Trojaner, der sich dort eingenistet hat, nicht nur erkannt, sondern auch nachhaltig gelöscht.

Pfad: Start - reMaus - Windows-Explorer, Laufwerksbuchstabe, re-Maus, Freigabe und Sicherheit, Reiter: Sicherheit. Darin Gruppe oder Konto - Hinzufügen - Administratoren.
Der hinzugefügten Administratoren-Gruppe sind noch ihre Rechte für den Ordner System-Volume-Information zu vergeben.
Da habe ich "Ändern" gesetzt, damit Kasperky oder ein anderes AVP im Ordner nicht nur erkennen, sondern auch löschen bzw. quarantieren kann.

Das AVP ist derart einzustellen, dass es unter dem Konto ... (z. B. Administrator) läuft. Diese Eigenschaft muss das AVP mitbringen.
(Ansonsten muss man sich als Administrator anmelden und das AVP laufen lassen.)

!!! Es hängt das Gefunden-Werden-Können eines Trojaners selbstredend von der Qualität der Signaturen des Antiviren-Programms ab. 100% Sicherheit wird es auch hiermit nicht geben.
Aber einige Trojaner, die sich in diesem System Volume-Ordner verstecken, können damit wohl bekämpft werden.

Analog kann man noch mit dem Recycle-Ordner verfahren.

Das Ganze scheint zu funktionieren, aber ich wäre um Rückmeldungen/ Bewertungen dankbar.



Fröhliche Weihnachten 2007,

Gruss trojpecker.