Liebe Leute,

vorgestern fand Antivir auf meinem Rechner Backdoorprogramm BDS/Generic.73918 gefunden. Antivir behauptet, es sei in der Datei Mouse32A.exe gewesen. Ich habe dann den Rechner im abgesicherten Modus gestartet und die genannte Datei gelöscht, denn vorher ging es nicht.

Heute bekomme ich eine Mail von meinem Provider, der sagt, aus meinem Account sei SPAM verschickt worden. Besorgniserregend sei, dass die Scripte wie ftpchk3.cgi und 2968906714.pl usw. per FTP hochgeladen worden sein.

Ich habe noch nie etwas mit FTP gemacht und keine Ahnung davon. Deswegen hatte ich das Passwort auch nicht geändert und das Backdoor hat es vielleicht aus einer Provider-Mail ausgelesen (wenn die soetwas können).

Macht dieses Programm "nur" Spam oder muss ich jetzt auch noch alle meine Banking-Passwörter ändern? Bin ich jetzt nach dem Löschen von Mouse32A.exe wieder auf der sicheren Seite? (ein Techniker des Providers hat das ganze Script-Zeug gelöscht) Oder ist es angesagt, den ganzen Rechner neu aufzusetzen? Was macht das Schadprogramm üblicherweise und was soll ich nun tun?

Vielen Dank für jeden Tipp (bin zum ersten Mal mit dem Thema konfroniert)
Frank

Ich empfehle dir deinen PC plattzumachen und neuzuinstallieren.
Backdoor Dateien öffnen immer mehr Hintertüren in dienem PC und lässt weitere Schadhafte Software download ohne dass der Benutzer dass weiss.
Dass dein Provider dir eine Mail schon geschickt hat, ist wirklich besorgniss erregend.
Durch eine sogenannte "Abuse"-Mail können sie dir deinen Telefon & Internet Anschluss Lebenslang sperren wenn von deinem PC, Account etc. Spam, Trojaner etc. verbreitet wird.

Hoffe es hat dir geholfen

Hallo Mr.Vain,

danke für deine Einschätzung. Die ganze Sache ist leider noch etwas komplexer: Es handelt sich nicht um einen Privat-PC sondern um einen Firmenrechner. Ich besitze eine kleine Firma und den Virus habe ich bei einem Mitarbeiter gefunden. Die entscheidende Frage: Hat er sich von dort aus in meinem LAN verbreitet?

Ich habe natürlich alle anderen Rechner auch mit Antivir gescannt und nichts gefunden. Nun schreibst du ja, dass oft mehrere Hintertüren geöffnet werden. Gibt es denn keine Möglichkeit, sie alle zu finden?

Wenn ich den einen Rechner neu aufsetze, kann der Mitarbeiter solange nicht kommen. Ich werde wahrscheinlich Tage dafür brauchen, weil ich noch nie XP installiert habe und auf den Rechnern sehr viel Software und Tools laufen, wo ich überall erst die Lizenznummern usw. heraussuchen muss...

Wenn ich aber nun wirklich alle Rechner neu aufsetzen muss, bin ich wahrscheinlich pleite. Es wird so lange dauern, bis alles wieder funktioniert wie es soll... und wir sind absolut auf das Internet angewiesen. Wenn wir schon einen Tag nichts machen können, ist es kritisch.

Vielleicht ist das LAN noch wichtig: 4 Rechner mit XP SP3, ein Router mit Endian Firewall. Vielleicht kennt auch jemand eine Service-Hotline, wo man die Dinge telefonisch klären kann (ich zahle auch!)?

Viele Grüße
Frank

Ich würde dir vorschlagen: Setz dich einfach mal am Samstag oder Sonntag dran und Installier XP einfach neu. Es ist nicht so schwer wie du vielleicht denkst. Bist du wieder ins Internet kannst dauert es höchstens 1,5 Stunden. Also alles nicht so dramatisch.

Beachten solltest du:
Netzwerkkarten Treiber brauchst du! Vorher besorgen! Über einen nicht infizierten Rechner bzw. auf CD.
Guck auch welche Grafikkarte du im PC hast.
Lies das:
http://www.trojaner-board.de/51262-a...sicherung.html

Zitat:

Zitat von Haengdichweg

Ich würde dir vorschlagen: Setz dich einfach mal am Samstag oder Sonntag dran und Installier XP einfach neu. Es ist nicht so schwer wie du vielleicht denkst. Bist du wieder ins Internet kannst dauert es höchstens 1,5 Stunden. Also alles nicht so dramatisch.

na ja, mit dem Betriebssystem ist es ja nicht getan. Dort sind sehr viele Programme und Tools installiert - alleine die ganzen CDs und Lizenzschlüssl zu finden, wird Stunden dauern. Dann sehe ich Probleme auftreten, wenn ich z.b. Office 2007 erneut installiere, weil ich erst mit MS telefonieren muss um zu erklären, warum ich den selben Lizenzschlüssel erneut verwende... Da hängt eine Menge dran.

Das schlimmste sind aber die anderen 4 Rechner. Wenn ich das alles für alle Rechner machen muss, bin ich pleite, bevor wir wieder durchstarten können. Und ich weiss gar nicht, wie ich das überhaupt anstellen soll. Ich speichere z.b. alle Benutzer-Dateien von Rechner 1 auf einer reinen Daten-Festplatte auf Rechner 2. Dann setze ich 1 neu auf und hole von 2 die Daten wieder rüber. Wie kann ich wissen, dass 2 auch wirklich "sauber" ist? Eventuelle hole ich mir so wieder neuen Mist auf das saubere System? Schad-Software könnte ja jetzt in jeder Daten Datei (z.b. Office-Datei) stecken...

Sorry, bin etwas nervös - habe eine schlaflose Nacht hinter mir und muss mit meiner Firma meine Familie ernähren ;-(

Vielen Dank
Frank

Hallo Frank,

Danke für diese ganzen Informationen

Ich habe mich eben etwas umgehört und habe einen Beitrag gefunden dass diese Backdoor Datei wohlmögich ein Fehlalarm von Avira Antivir "wäre" !

Nun stellt sich die Frage, wie kommt der Provider dazu dass von eurem Lan-Netzwerk bzw. FTP Server Spam verschickt wurde?

Was hatte der Provider denn genau geschrieben in der Mail?

Ich würde dir vorschlagen dich am Sonntag oder eben an einem Tag an dem ihr nicht arbeitet HijackThis Log's auf allen 4 PC's machst und die hier auswerten lässt (Bitte Nummerieren)

Gruß.

Zitat:

Zitat von Mr.Vain

umgehört und habe einen Beitrag gefunden dass diese Backdoor Datei wohlmögich ein Fehlalarm von Avira Antivir "wäre" !

urps, wo hast du denn das gefunden? Ich habe ewig gesucht und nichts zu dem Trojaner gefunden!

Allerdings: Die Mitarbeiterin, die an dem Rechner saß (wenig Internet/Computer erfahren) klagte seit einigen Tagen über einen langsamen Rechner. Deshalb hatte ich dort auch schon defragmentiert usw.

Zitat:

Zitat von Mr.Vain

Nun stellt sich die Frage, wie kommt der Provider dazu dass von eurem Lan-Netzwerk bzw. FTP Server Spam verschickt wurde?
Was hatte der Provider denn genau geschrieben in der Mail?

Der Provider ist nur für Mail und Hosting, er ist nicht mein DSL-Provider. Er schrieb mir eine Mail mit "Spam von Script per FTP-Upload" als Subjet und dann:

wie wir soeben bei Wartungsarbeiten am Server feststellen mussten, wird über Ihren Kundenaccount eine stark erhöhte Anzahl von E-Mails mittels eines Scripts versendet.
Bitte prüfen Sie daher umgehend die auf dem Account liegenden Scripte. Verdächtige Dateien sind/waren:

/www/htdocs/irgendeineNummer/cgi-bin/2968906714.pl
/www/htdocs/irgendeineNummer/cgi-bin/2968906714.pl
/www/htdocs/irgendeineNummer/cgi-bin/5484253425.pl
/www/htdocs/irgendeineNummer/cgi-bin/8329826767.pl
/www/htdocs/irgendeineNummer/ftpchk3.cgi
/www/htdocs/irgendeineNummer/ftpchk3.php
/www/htdocs/irgendeineNummer/ftpchk3.txt

Besorgniserregend ist, dass diese Dateien per FTP hochgeladen wurden! Prüfen Sie dazu bitte Ihre FTP Logs im Ordner /logs/. Falls die betroffenen Dateien nicht mehr existieren, so wurden diese ggf vom Hacker bereits gelöscht um Spuren zu verwischen. Eine Logfileauswertung können Sie hier durchführen: http://ftplog-analizer.script-test.de/

Wir haben daher aus Sicherheitsgründen alle Ihre FTP Passwörter dieses Accounts geändert. Wir raten Ihnen daher dringend Ihren PC auf eventuelle Trojaner etc zu prüfen!

Zitat:

Zitat von Mr.Vain

Ich würde dir vorschlagen dich am Sonntag oder eben an einem Tag an dem ihr nicht arbeitet HijackThis Log's auf allen 4 PC's machst und die hier auswerten lässt

Kann ich gerne machen, wenn es noch hilft. Wenn sich der Aufwand wirklich lohnen sollte, mache ich das so schnell wie möglich, denn ich muss den Mitarbeitern sagen, ob sie am Montag zur Arbeit kommen können.

Könnte man denn an den Logs dann definitv sagen, ob ein Rechner "verseucht" ist oder nicht? Wenn man es nämlich nur mit einer gewissen Wahrscheinlichkeit sagen kann, ist es keine Lösung. Dann muss ich auf jeden Fall erstmal "Betriebsferien" oder Bankrott anmelden.

Ganz herlichen Dank für deine Mühe - supernett, dass du extra recherchiert hast!
Viele Grüße
Frank

Hallo Frank,

Das ist erstmal gut dass die Mail nur von deinem Mail & Hosting Betreiber ist !
Habt ihr diese Daten analysieren lassen - per link auf die ftpanalyzing Homepage?
Vielleicht könnte man daraus etwas schliessen.

Du hast gefragt ob es sich lohnt diese Auswertung per HJT zu machen?
Es ist lohnenswert aber wenn man aus dem Log nix genaues entnehmen kann, könnte es wohlmöglich - wie oben beschrieben - ein Fehlalarm sein.
Ich weiss nicht wie gross eure Rechner sind (abgesehen vom Speicherplatz etc.)
Wenn ich das wüsste, könnte ich nach dem HJT-Log evtl. sagen ob ein Malware Scan noch nötig wäre...

Gruß.