Hallo, alle zusammen,

kann mir jemand sagen, welchen Zweck die dxopengl.exe erfüllt? Die Firewall meldet regelmäßig, dass die Datei versucht, eine Internetverbindung aufzubauen. Im Explorer ist die Datei jedoch nicht zu finden. Erscheint mir höchst verdächtig. Was meint Ihr?

Beste Grüße und schönes WE
Gerd

Hallo Haaner,

es kann sein, dass es sich bei dieser Datei "dxopengl.exe" um den Trojaner "Dropper.Delf.3.L" handelt. Information hierzu: Sophos-Virenlexikon. Handelt es sich hierbei um diesen Eintrag: C:\WINDOWS\System32\dxopengl.exe?

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hier ist das frische Logfile von hjt:

Logfile of HijackThis v1.98.2
Scan saved at 16:53:18, on 16.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dxopengl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.2.1P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Direct X Opengl] dxopengl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\RunServices: [Direct X Opengl] dxopengl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Direct X Opengl] dxopengl.exe
O4 - Startup: Registration-PCTV Sat.lnk = C:\Programme\Pinnacle\PCTV Sat\Register\RegTool.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

@ Haaner,

sagt Dir "PRISMSTA.EXE START" etwas? Wenn nicht, überprüfe diese Datei hiermit: Kaspersky-Online-Scan.
Ergebnis?

Platform: Windows XP SP1 (WinNT 5.01.2600): www.windowsupdate.com - bitte das aktuelle Patch aufspielen.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

C:\WINDOWS\System32\dxopengl.exe
O4 - HKLM\..\Run: [Direct X Opengl] dxopengl.exe
O4 - HKLM\..\RunServices: [Direct X Opengl] dxopengl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Beende diesen Prozess:
dxopengl.exe

Lösche (falls noch vorhanden):
C:\WINDOWS\System32\dxopengl.exe

aktiviere die Systemwiederherstellung, boote in den normalen Modus.

SD

Hallo, SD,

danke vorab für Deine Mühen! Du hast es bei mir leider nicht mit einem Profi zu tun, deswegen lösen Deine Tipps mit dem abgesicherten Modus und von dort hjt starten usw. leichte Schweißtropfen bei mir aus Ich denke jedoch, dass ich das (auch dank der Links, die Du gepostet hast) schaffen werde.

Die prismasta.exe erscheint harmlos (auch lt. Kaspersky). Nach der Dateibeschreibung hat sie etwas mit Wlan zu tun.

SP2 habe ich schon vor Wochen bei MS geordert. Rechne täglich mit der CD. Da ich leider kein DSL habe, möchte ich mir das Herunterladen sparen.

Was ich nur nicht verstehe: Wieso erscheint an allen möglichen Stellen, u.a. im Taskmanager die dxopengl.exe, ich finde sie jedoch im Explorer nicht. Kannst Du mir das interessehalber noch verraten?

Danke und Gruß
Gerd

Aktiviere mal in den Ordneroptionen "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen".

Findest du nun diese Datei im entsprechenden Ordner?

Jau, jetzt habe ich sie im System32 gefunden. Kaspersky meint dazu:

dxopengl.exe infiziert: Backdoor.Win32.Rbot.cj

Na dann

Hallo Haaner,

das klingt nicht gut. Ich muss Dir leider mitteilen, dass .. Du Dein System formatieren und neu aufsetzen musst: W32/Rbot-CJ

Sophos zitiert: " W32/Rbot-CJ ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben mit einfachen Kennwörtern zu verbreiten. Er enthält außerdem Backdoortrojaner-Funktionalität, wodurch er unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist."

formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

... tut mir leid.

SD

Deine Nachricht klingt für mich auch nicht gut. Ich habe es geschafft, die dxopen nach Deinen Angaben zu deinstallieren. Sie erscheint nicht mehr im Taskmanager, und auch im Explorer wird sie nicht mehr gefunden. Zumindest oberflächlich scheint das System sauber zu sein. Da die Firewall bisher auf diesen Fiesling angesprungen ist, werde ich mal abwarten, was sich tut. Neu aufsetzen wäre eine traurige und arbeitsintensive Endlösung.

Ich weiß nicht, ob dieser Wurm immer die dxopen verwendet. Wäre es nicht gut, mal eine Warnung oder einen gezielten Hinweis herauszugeben? In Google findest Du z.B. fast nichts zu dieser Datei.

Die Datei "dxopengl.exe" scheint ziemlich neu zu sein. Sie ist (noch) kaum bekannt. Es gab Hinweise auf einen anderen Virus zu dieser Datei, im Netz. Der Wurm W32/Rbot-CJ ist kein Unbekannter. Er gehört zu einer ziemlich grossen Familie sehr gefährlicher Würmer mit Backdoor-Eigenschaften.

Nicht nur Dein System ist kompromittiert, Dein Computer stellt auch eine Gefahr für das gesamte Netz dar. Lies hierzu auch:
Backdoor.Rbot:gen und Virus Information Center. Du solltest Deinen Computer so schnell wie möglich aus dem Netz nehmen. Würmer mit Backdoor-Eigenschaften besitzen die Fähigkeit, Dateien und Registry-Einträge zu verändern. Nur weil Dein System jetzt oberflächlich gesehen sauber aussieht und Du diese Datei gelöscht hast, heisst das leider nicht, dass Du alle Spuren, die dieser Wurm bereits auf Deinem System hinterlassen hat, entfernt hast.

Es gibt keine andere Möglichkeit als formatieren, ausser Du bist Experte, kennst jede einzelne Datei in Deinem System, weisst wo sie hingehört und beschäftigst Dich ca 1 Woche Tag und Nacht damit, Dein System zu durchsuchen, nach Spuren.

SD

Hi Shadowdance, hi Haaner

Ich habe mir aus Dummheit und der Unlogik der Installationsroutine (wollte zuerst seine Updates erledigen) der McAfee Firewall (im weiteren FW genannt) auch die dxopengl.exe eingefangen. Der Punkt ist das mein Virenscanner erst mit einen Update vom 14.10.2004 den Virus, respektive Wurm, erkannte. Erkannt habe ich ihn aber schon ziemlich bald durch zwei Faktoren.

1.) Da ich ein Modem als Zugang besitze bemerke ich relativ schnell wenn die Datenrate einbricht. In diesen Fall hatte es während des Updates der FW-Installation schon ein Verhältnis von 1:1 beim Up- und Download gegeben. Normal sind 1:8 - 1:10 Up- u. Download. Natürlich habe ich gleich die Hütte dicht gemacht.

2.)Ein paar Task's zuviel die ich darauf im Tasmanager entdeckt habe. Da gerade die FW-installation auch noch etliche Tasks gestartet hatte die ich noch nicht kannte, wusste ich momentan noch nicht welcher es war. Da ich genau weiß welche Task bei mir vorher gelaufen sind kannte ich allerdings alle Neulinge.

Mit der Software Startup-Spy XP 2003 Pro (noch Freeware) (http://www.startupspy.de.vu) war der Fall schnell gelöst. DXOPENGL.EXE hatte sich 6x !! in den Autostart verewigt. Nämlich:

1.) Alle User 3x: Regkey - Run, RunService und Policies
2.) Aktueller User 2x: Regkey - Run, Policies
3.) Standart User 1x: Regkey - Run

Dazu kommt noch ein guter Anzeiger für Tasks in Startupspy die zur Zeit auf der Maschine laufen. Nach der Deaktivierung der DXOPENGL.EXE und deaktivierung der Startupeinträge (In dieser Reihenfolge, anders herum funkt es nicht !!) Ist anscheinend wieder Ruhe eingekehrt.

Zur AV-Software. Mein Virenscanner McAfee 7 (z.Zt.: Scanmodul 4.3.20, Virendefinition (14.10., erst ab hier dxopengl.exe erkannt) 4399) meldete: C:\WINDOWS\system32\dxopengl.exe - W32/Sdbot.worm.gen.t. Das würde genau mit deiner Info (siehe www3.ca.com) übereinstimmen.

Interessant auch die Logauswertung der McAfee FW (ein wirklich kleiner Ausschnitt):

02:20:03 Die Freigabe "IPC$" wurde erstellt. McAfee Firewall hat entdeckt, dass die lokale Freigabe "IPC$" erstellt wurde. Folgender Computer wurde mit der Freigabe verknüpft: "FANNY".
02:20:09 Die Freigabe "IPC$" wurde getrennt McAfee Firewall hat entdeckt, dass die lokale Freigabe "IPC$" gelöscht wurde. Folgender Computer war mit der Freigabe verknüpft: "FANNY".

Dazu muss ich noch sagen das ich im Hintergrund noch PestPatrol laufen habe. Wenn man die Zeit im Log ansieht wundert man sich doch über das anlegen und wieder rasante löschen dieser Freigabe. Warum wurde die Freigabe wieder gelöscht ? Ging es automatisch über einer meiner Tools oder manuell vom Angreifer ? Was ist überhaupt die hauptsächliche Aufgabe dieses Wurms ? Fragen über Fragen. Mein FW-Log geht über mit Einträgen von IP-Adressen die unerlaubten Zugriff wollten.

Einige Beispiele. In den Logs stehen viele blockierte Anfragen über Port 445, diese waren alle TCP und EINgehend:

01:24:13 Remote-Adresse *84.120.68.���. Remote-Port 2160 [ephemer]. Lokale Port war 445. Der Netzwerkadapter war WAN-Miniport(IP).
01:24:49 Remote-Adresse war *62.218.203.���. Remote-Port war 3581 [ephemer]. Lokale Port war 445. Der Netzwerkadapter war WAN-Miniport(IP)
01:24:51 Remote-Adresse war *62.218.200.���. Remote-Port war 3159 [ephemer]. Lokale Port war 445. Der Netzwerkadapter war WAN-Miniport(IP)
01:34:34 Remote-Adresse war *212.152.212.���. Remote-Port war 1173 [ephemer]. Lokale Port war 445. Der Netzwerkadapter war WAN-Miniport(IP)

...und so ging es munter weiter. Da wäre es kein Wunder wenn man 2 Minuten ohne FW schon die ärgsten Mistviehcher auf der Platte hat.

Interessant auch diese blockierten Einträge, alle TCP und ABgehend:

01:28:58 Remote-Adresse war *2 13.165.64.���. Der Remote-Port war 110 [Email]. Der lokale Port auf Ihrem PC war 1100 [ephemer]. Der Netzwerkadapter war WAN-Miniport(IP)
01:28:58 Remote-Adresse war *213.90.37.���. Der Remote-Port war 110 [Email]. Der lokale Port auf Ihrem PC war 1101 [ephemer]. Der Netzwerkadapter WAN-Miniport (IP)
01:28:59 Remote-Adresse war *213.90.37.���. Der Remote-Port war 110 [Email]. Der lokale Port auf Ihrem PC war 1102 [ephemer]. Der Netzwerkadapter WAN-Miniport(IP)

*IP-Adressen habe ich aus Sicherheitsgründen geändert.

Was dieser WAN-Miniport ist, ist mir noch ein wenig unklar. Hat irgendwas mit Modemtreiber (ISDN, DSL) oder so ähnlich zu tun. Aber genau Info's fehlen mir darüber noch. Und warum sind hier zwei vorhanden. Meine Netzwerkkarte hat eine andere Bezeichnung und mein Modem sowieso. Also das ist doch auch sehr verdächtig. Und was bitte bedeutet das [ephemer] hinter den Ports ?

Jetzt muss ich nur noch die Dienste durchkämmen da hier noch ein paar sind die mir nicht geläufig sind. Aber die Task's im Taskmanager sind wieder sauber und der Datenverkehr ist wieder im grünen Bereich. Ich hoffe das es so bleibt. Wenn ich diese WAN-Miniports noch in den Griff kriege, sollte wieder alles sauber sein.

Zum Abschluss sei noch gesagt. Seit ich WinXP habe hatte ich noch nie soviele Problem mit Viren und Würmer (bis jetzt, Blaster und dieser jetzt). Unter Win98 kannte ich so etwas gar nicht, wenn man von den versuchten Mails absieht.

grEEz Madjack

Hallo Madjack,

danke für die Erläuterung des Arbeitsablaufs, den ein User vornehmen muss, der einen Backdoor vom System entfernen möchte. Da die meisten User Laaien sind, auf dem Gebiet der Computer-Technologie, empfehlen wir hier im Forum, die Systeme zu formatieren und neu aufzusetzen.

Viel Erfolg!
SD

Hallo Shadowdance

Da gib ich dir vollkommen recht. Da ich eine Freundeskreis von einigen Computerlaien mit DSL-Anschluss habe bin ich des öfteren im Einsatz. Gott sei Dank werden die Probleme schön langsam weniger. Da meine Tips und Anregungen sich langsam in den Gehirnen festsetzen Aber meistens komme ich zu spät wenn einmal was passiert ist. Darum habe ich bei meinen Freunden auch schon ein Image gezogen damit ich mit den neu aufsetzen schneller fertig bin. Da sie meistens zu lange warten bis sie mich anrufen ist oft nchts mehr zu retten Aber durch Aufteilung der Partitionen (in Daten und System) und dem Image ist es jetzt lange nicht mehr so tragisch.

Aber eines muss ich gleich einmal allen sagen die Kinder haben, so wie ich und die meisten meiner Freunde. Nimmt sie öfters ins Gebet. Die klicken alles an und laden alles runter und sind damit oft die Verursacher. Nicht immer aber oft. Wenn ich die Dialer zähle, die bei DSL ohne weitere Modems im PC keinen Schaden anrichten, und auf meinen Rechner mit Modem hätte, wäre ich heute im Armenhaus. Gezählte 26 Stück waren es bei einen Freund. So das war's mal.

Bleiben wir beim Thema. Die Service unter XP werden mich sicher noch einige Zeit beschäftigen. Denn obwohl scheinbar mein Rechner jetzt wieder sauber ist hat meine FW Dauerbetrieb. New York, Rio, Tokio. Von allen Ecken kommen Eindringversuch. Zufall, oder ich habe noch irgend etwas übersehen. Aber ich glaub eher an Zufall sonst wäre mit meiner offenen Eingangstür vor 10 Tagen die Bescherung nicht perfekt gewesen. Ausserdem will alles rein, und nix raus. Na wollen einmal sehen.


Ach ja. Gestern hatte ich wieder etwas interessantes:

McAfee Firewall hat einen Angriffsversuch ("SYN Port Scan"-Angriff) auf Ihren PC blockiert. Die mit dem Verkehr verknüpfte Remote-Adresse war 62.218.202.xxx. Der Remote-Port war 4875 [ephemer]. Der lokale Port auf Ihrem PC war 3127 [ephemer]. Der Netzwerkadapter für den Verkehr war WAN-Miniport (IP).

grEEz Madjack

@ Madjack,

mach nur weiter ..

Es zeigt unseren unbedarften Usern, dass ihre Wunschvorstellungen, Systeme, die von Backdoor-Trojanern heimgesucht worden sind, nicht ganz so leicht wieder in Ordnung zu bringen siind. Den nächsten User, der sich mehr oder weniger weigert, sein System zu formatieren, werde ich auf diesen Thread aufmerksam machen.

Vielleicht findest Du noch Kunden bei uns an Board. Aber denk dran, der Service bei uns ist kostenlos. Also, wenn Du hier am TB mitarbeiten willst, bist Du herzlich willkommen ... Entgeld ist ein fröhliches Lächeln und ein Dankeschön.

Lieben Gruss
SD

@ Shadowdance

Das Abgebot nimm ich gerne an. Was das Entgeld betrifft ist es wie immer Aber Erfahrung ist sowieso immer unbezahlbar. Sofern es meine Zeit zulässt steh ich gerne zu Verfügung. Aber vielleicht bist du auch noch woanders aktiv, dann weist du ja was ich meine. Und dann noch die Family

LG Madjack