Hallo zusammen,

ich erhalte seit ca. 2-3 Tagen durch Antivir Meldungen zu oben genannter Backdoor. Ich lösche die entsprechenden Dateien immer, anschließend findet der Viren-Scanner nichts mehr. Spätestens am nächsten Tag erhalte ich jedoch wieder eine Meldung.

Da ich derzeit meine Diplom-Arbeit schreibe und kurz vor der Abgabe stehe, möchte ich ungern aufgrund des Zeitverlustes das System komplett neuaufsetzten.

Meine Frage ist nun, kann die Backdoor (über die ich leider im Internet und nicht einmal bei Antivir selbst etwas finden konnte) Schaden anrichten? Ich wähle mich nicht direkt ins Internet ein, sondern gehe aufgrund einer geteilten DSL-Flat-Verbindung über einen Linux-Router ins Internet.

Ich vermute, dass sich die Backdoor versucht bei mir einzuklinken, da das System nach dem Löschen der Dateien ja als sauber angezeigt wird. Kommen die Antivir-Meldungen nur zum Zeitpunkt des "Angriffs"?

Die entsprechenden befallenen Dateien befinden sich immer in demselben Ordner (in den gemeinsamen Dateien). Die gelöschten Dateien sind exe-files. In den beiden betroffenen Ordnern verbleiben eine LPF und eine BBR Datei.

Hilft es die entsprechenden Ordner zu löschen - und darf ich diese Ordner löschen oder sind die wichtig fürs System?

Ich hoffe Ihr könnt mir weiterhelfen,
Eure verzweifelte Katinka

Hi Katinka,

wie heisst der Ordner genau?

Erstelle ein Log mit HJT und poste es:

http://www.trojaner-board.de/51130-a...ijackthis.html

Besorge dir E-Scan, update es und lass es im abgesicherten Modus laufen wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo Mountainking,

vielen Dank für die schnelle Antwort, der Ordner/Pfad heißt:
C:\Programme\Gemeinsame Dateien\clanejlp

Darin befinden sich zwei Unterordner:
1. crtrbhhfdl mit der Datei anrlrrllnb.lrf
2. ejlrppcb mit der Datei pbrnrjlhp.bbr

Kann ich die empfohlenen Scans trotz istallierter Antivir-Version laufen lassen oder behindern die sich gegenseitig? (Ich hab mir schon mal ein System zerschossen, weil ich einen Virenscanner installiert habe und noch Signaturen einer zuvor installierten Testversion eines anderen Programms vorhanden waren....)

Antivir zeigt mein System gerade wieder mal als Virenfrei an - fragt sich nur wie lange. Sind die empfohlenen Programme effektiver? Oder muss ich warten, bis ich das nächste mal eine entsprechende Warnung bekomme?

Katinka

Nein, die Programme kannst du ohne Bedenken verwenden, Hijackthis ist kein virenscanner, sondern analysiert das System, durch das Log bekommt man einiges heraus, da ich ja auch nicht an deinem Rechner sitze, brauche ich jede Information. E-Scan ist zwar ein Virenscanner, der wird aber nicht installiert und hat keinen Hintergrundwächter, beißt sich daher auch nicht mit Antivir. Du musst es nur wie beschrieben in diesen Ordner c:\bases entpacken, damit du updaten kannst und dann im abgesicherten Modus durchlaufen lassen. E-Scan verwendet die Engine und Virensignaturen von Kaspersky, das ist eigentlich einer der besten Virenscanner (systembedingte Schwächen haben sie alle).

Der Ordner sieht wie ein zufällig erstellter aus, mir gefällt das alles nicht so richtig, eventuell hat ja schon jemand Zugriff auf deinen PC, ich weiss ja auch nicht, wie euer Router konfiguriert ist, eigentlich sollte das da schon erschwert sein.
Naja, mach einfach mal die beiden Sachen, dann sehen wir weiter.

So, jetzt geht´s weiter ... (musst zwischendrin kurz in die Uni)

1. Kurze Frage vorab: welche Angaben benötigst Du aus der Log-Datei von E-Scan? Muss ich alle Einträge inklusive der Auflistung der gescannten Dateien hier einstellen? Oder reichen die folgenden Daten:

***
Wed Sep 08 14:24:07 2004 => Total Number of Files Scanned: 67459
Wed Sep 08 14:24:07 2004 => Total Number of Virus(es) Found: 24
Wed Sep 08 14:24:07 2004 => Total Number of Disinfected Files: 0
Wed Sep 08 14:24:07 2004 => Total Number of Files Renamed: 7
Wed Sep 08 14:24:07 2004 => Total Number of Deleted Files: 1
Wed Sep 08 14:24:07 2004 => Total Number of Errors: 11
Wed Sep 08 14:24:07 2004 => Time Elapsed: 01:35:23
Wed Sep 08 14:24:07 2004 => Virus Database Date: 2004/09/08
Wed Sep 08 14:24:07 2004 => Virus Database Count: 103474

Wed Sep 08 14:24:07 2004 => Scan Completed.
***
Oder benötigst Du auch die Auflistung der auffälligen Dateien?



2. Hier die vollständige Log-Datei von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 11:55:20, on 08.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSEC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Antivir\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Backdoor\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.autounique.de/clix/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - hxxp://www.academynow.com/_courses/bitmedia/webplayer/awswax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3840A4D-6C29-4ACF-99C4-453AE6DE5F67}: NameServer = 192.168.0.32
O17 - HKLM\System\CCS\Services\Tcpip\..\{E698C880-40E9-46F7-8CC4-FE069EF90106}: NameServer = 145.253.2.11,145.253.2.75


Gruß Katinka

Nein, du musst nicht alles aufzählen, neben der von dir geposteten Statistik brauche ich aber unbedingt noch die Namen Schädlinge, die in den 24 Dateien entdeckt wurden. Also in erster Linie nicht die Namen der Dateien sondern den des Schädlings (Virus X wurde in Datei Y gefunden, ich brauche X), oder gleich beides.
Wobei mir es nicht gefällt, das er von 24 Datein nur 7 umbenannt und 2 gelöscht hat.

GetRight enthält Adware, nämlich Gator, wenn du die Einträge fixst, kann es sein, dass GetRight nicht mehr geht (aber ich glaube, das ging trotzdem noch), Leechget wäre eine bessere Alternative.

Beende die prozesse mit dem Taskmanager:

GMT.exe
CMESys.exe


Fixe mit HJT (Häkchen und fix checked):

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: SEARCH_PAGE_URL=

Umtieg auf sichereren Browser wie firefox, Mozilla oder opera empfehle ich schon mal präventiv.

Ich hab auf einer meiner Festplatten eine Sicherung von Teilen meines alten Systems. Die darin enthaltenen Programme sind also gar nicht wirklich installiert. Getright z.B. ist auch ein Überbleibsel meines alten Systems. Zu den verwendeten Browsern: ich nutze schon seit Jahren keinen IE mehr, meine Standardbrowser sind Opera und Mozilla Firefox. Den IE nutze ich nur in ganz seltenen Fällen, wenn Seiten sich anders nicht vernünftig darstellen lassen.

Hier nun also die Liste der Viren und der erfolgten oder nichterfolgten Aktionen:
(Die in der folgenden Auflistung kursiv gesetzten Einträge stammen aus dem Sicherungsbereich)

vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.

Opera\Mail\storage\mbox51.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken.

Opera\Mail\storage\mbox56.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken.

Opera\Mail\storage\mbox60.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken.

Opera\Mail\storage\mbox65.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken.

Sicherung\Tools, Programme, Treiber\Browser\Opera 402\opera & getright\getrt42c.exe infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: File Renamed.

Sicherung\Tools, Programme, Treiber\Browser\Opera 402\opera & getright\op2gr120.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sicherung\MS-Office\THUMBS3\CRACK-IT.EXE tagged as not-a-virus:LogoPicture.PH13. No Action Taken.

Sicherung\Tools, Programme, Treiber\MS-Office\THUMBS3\DONOTRUN.EXE tagged as not-a-virus:LogoPicture.PH13. No Action Taken.

Sicherung\Tools, Programme, Treiber\napster & co\napv2b9-6.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sicherung\Tools, Programme, Treiber\napster & co\AGSetup0606.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sicherung\Tools, Programme, Treiber\Wartung\TuneUp\TUSetup710.zip..zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sicherung\Tools, Programme, Treiber\Wartung\Tune up 97\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

\Sicherung\WINDOWS\Programme\WildTangent\Components\SystemConfig0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed.

Sicherung\WINDOWS\Programme\WildTangent\Apps\wtKernel0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed.

Sicherung\WINDOWS\Program Files\onflow\uninstall onflow.exe infected by "not-a-virus:AdvWare.OnFlow" Virus. Action Taken: File Renamed.

Sicherung\WINDOWS\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus. Action Taken: File Deleted.

Sicherung\WINDOWS\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed.

Sicherung\WINDOWS\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed.

Sicherung\WINDOWS\WINDOWS\TEMP\TNT.Fine.Reader.5.0.pro.PATCH.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.

Sicherung\WINDOWS\WINDOWS\TEMP\cd_Install_2022.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.

Sicherung\WINDOWS\WINDOWS\TEMP\TNT-Fine.Reader.5.0.293_CRK.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.

Sicherung\WINDOWS\WINDOWS\TEMP\install\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sicherung\WINDOWS\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

Das meiste davon sind wohl tatsächlich Altlasten.
Gruß Katinka

Kleiner Nachtrag: Ich habe gerade nachgesehen, die beiden genannten Prozesse scheinen laut Taskmanager nicht im Hintergrund zu laufen.

Naja, Getright hast du aber offensichtlich doch installiert. Hast du die Einträge gefixed? Erstelle bitte mal ein neues Logfile.
Da es sich ja in erster Linie um alte Dateien bzw. auch da meist "nur" um Adware handelte, kann zumindest ich anhand des letzten Logs eigentlich nichts erkennen, was auf eine Backdoor hindeutet.


Ist denn dieser Ordner, in dem die Antivir Schädlinge vermutet, noch da?

OK, hast recht! Getright ist natürlich installiert - habe ich nur schon so lange nicht mehr verwendet. ;-)

Also von den zu fixenden Einträgen waren grad nur noch die letzten drei in der Liste, diese habe ich jetzt gefixed.

Das neue Log-File sieht folgendermaßen aus:

***
Logfile of HijackThis v1.98.2
Scan saved at 16:24:45, on 08.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSEC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Antivir\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Backdoor\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.autounique.de/clix/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - hxxp://www.academynow.com/_courses/bitmedia/webplayer/awswax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3840A4D-6C29-4ACF-99C4-453AE6DE5F67}: NameServer = 192.168.0.32
O17 - HKLM\System\CCS\Services\Tcpip\..\{E698C880-40E9-46F7-8CC4-FE069EF90106}: NameServer = 145.253.2.11,145.253.2.75
***

Katinka

P.S.: der Ordner, indem die infizierten Dateien laut Antivir immer auftauchen ist noch vorhanden. Soll ich den wohl einfach mal löschen?

Ich hab seit gestern genau dasselbe Problem mit dem BDS/Agent.AY ich hab versucht das Backdoor teil mit Antivir zu löschen aber leider ist es immer wieder gekommen dann hab ichs mal im Abgesicherten Modus versucht doch leider kommt die meldung nach dem booten immer wieder.
Ich werd jetzt mal versuchen die Festplatte von nem anderen PC zu scannen der nicht infiziert ist, hab gehört so könnt ich das löschen oder gibts ne andere Lösung??
Wie siehts bei dir aus Katinka hast du es wegbekommen?