Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)

Ordo · 10.01.2011, 17:44

Hallo und Guten Tag!

Ich komme gleich zu meinem Problem.
Ich habe ein Backdoor Trojaner; Wurm, was auch immer auf meinem PC. Er wird durch Antivir erkannt, kann aber nicht gelöscht werden.
(Welchen Namen er trägt habe ich mir nicht gemerkt)

Jedenfalls war ich neulich in einem Chat und da wurde mir gesagt, dass ich gesperrt sei, weil ich Müll im Chat geschrieben hätte. (Ich war an dem Abend am PC aber nicht(!) in dem Chat)

Nun wollte ich wissen ob jemand sich über das backdoor programm eingeloggt haben kann und das quasi parallel über meinen PC passiert ist? Bzw. über meine IP Adresse? So dass dort meine IP angezeigt wurde aber jemand anders dort Unsinn getrieben hat mit meinen ausspionierten Daten? Ist dies möglich?
(Werde demnächst auch meinem PC Neuaufsetzen um ihn loszuwerden)
Jetzt geht es mir aber erstmal um diese Frage ob es so gewesen sein könnte. Dann müsste ich das mit dem PC Neuaufsetzen eher noch heute als morgen machen.

Viele Grüße und danke an alle die sich Zeit genommen haben!

nochdigger · 10.01.2011, 19:38

Hallo und

Zitat:

Ich habe ein Backdoor Trojaner; Wurm, was auch immer auf meinem PC. Er wird durch Antivir erkannt, kann aber nicht gelöscht werden.
(Welchen Namen er trägt habe ich mir nicht gemerkt)

nenne bitte den genauen Pfad sowie den Dateinamen, Avira merkt so etwas i.d.R.

Zitat:

Nun wollte ich wissen ob jemand sich über das backdoor programm eingeloggt haben kann und das quasi parallel über meinen PC passiert ist? Bzw. über meine IP Adresse? So dass dort meine IP angezeigt wurde aber jemand anders dort Unsinn getrieben hat mit meinen ausspionierten Daten? Ist dies möglich?

das ist eher unwahrscheinlich, es ist eher so, dass deine Zugangsdaten über einen Keylogger o.ä. abgegriffen worden sind und sich dann, von wo auch immer, eingeloggt wird .....

Zitat:

Dann müsste ich das mit dem PC Neuaufsetzen eher noch heute als morgen machen.

Das ist die sicherste Variante.

MFG

Ordo · 10.01.2011, 22:14

Das ist die Meldung von Avira:

In der Datei 'C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe'
wurde ein Virus oder unerwünschtes Programm 'RKIT/MBR.Sinowal.J' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

...

Danke erstmal für deine schnelle Antwort!
Okay dann versuch ich mich mal am neuaufsetzen. Oder gibt es noch ne andere Möglichkeit den loszuwerden?

nochdigger · 11.01.2011, 06:50

Moin

Ich würde dich bitten zunächst eine Sicherung deiner Daten vorzunehmen, es kann bei einem Bereinigungsversuch immer etwas schief gehen.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

MFG

Ordo · 11.01.2011, 19:10

Öhm okay hier ist der Inhalt.

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7EB4000 spuw.sys
0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xB7E9C000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB7E76000 d347bus.sys
0xB7E47000 ACPI.sys
0xB80A8000 isapnp.sys
0xB7E36000 pci.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7E17000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7DF1000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7DD9000
0xB85AE000 d347prt.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB7DB9000 fltmgr.sys
0xB7DA7000 sr.sys
0xB7D90000 KSecDD.sys
0xB7D03000 Ntfs.sys
0xB7CD6000 NDIS.sys
0xB7CC2000 srescan.sys
0xB85B0000 speedfan.sys
0xB7CA8000 Mup.sys
0xB8671000 giveio.sys
0xB82A8000 \SystemRoot\system32\DRIVERS\ATITool.sys
0xB82D8000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xB7274000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB7260000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB723B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB721E000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xB83F8000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB71FA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xB8400000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB71DE000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xB71CD000 \SystemRoot\System32\DRIVERS\serial.sys
0xB7C78000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB71B9000 \SystemRoot\System32\DRIVERS\parport.sys
0xB82E8000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xB8408000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xB8410000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB82F8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB8308000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xB8318000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB7196000 \SystemRoot\System32\DRIVERS\ks.sys
0xB715D000 \SystemRoot\System32\Drivers\ao1bjqaf.SYS
0xB878B000 \SystemRoot\System32\DRIVERS\audstub.sys
0xB8118000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xB7C60000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB7146000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB8128000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB8138000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xB8478000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB7135000 \SystemRoot\System32\DRIVERS\psched.sys
0xB8148000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xB8480000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xB8488000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB8490000 \SystemRoot\system32\DRIVERS\tap0901.sys
0xB70DC000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xB8158000 \SystemRoot\System32\DRIVERS\termdd.sys
0xB85CC000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB70A8000 \SystemRoot\System32\DRIVERS\update.sys
0xB7C44000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB8168000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB4A8E000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB4A6C000 \SystemRoot\system32\drivers\portcls.sys
0xB8178000 \SystemRoot\system32\drivers\drmk.sys
0xB8198000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xB85E0000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB85FC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB8702000 \SystemRoot\System32\Drivers\Null.SYS
0xB85FE000 \SystemRoot\System32\Drivers\Beep.SYS
0xB83B0000 \SystemRoot\System32\drivers\vga.sys
0xB8600000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB8602000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83B8000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83C0000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB710D000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB4949000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB48F1000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB48C9000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB81A8000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB486A000 \SystemRoot\System32\vsdatant.sys
0xB4848000 \SystemRoot\System32\drivers\afd.sys
0xB81B8000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB83C8000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB481D000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB47AE000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB81D8000 \SystemRoot\System32\Drivers\Fips.SYS
0xB4792000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB860A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB81F8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB83E8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB8208000 \SystemRoot\System32\Drivers\nx6000.sys
0xB474C000 \SystemRoot\System32\Drivers\usbvideo.sys
0xB8218000 \SystemRoot\system32\drivers\usbaudio.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB4A44000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8428000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB875A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB4397000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB43AB000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB4433000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xB3ED2000 \SystemRoot\system32\drivers\wdmaud.sys
0xB401F000 \SystemRoot\system32\drivers\sysaudio.sys
0xB865A000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB3BB0000 \SystemRoot\System32\DRIVERS\srv.sys
0xB3AC0000 \SystemRoot\System32\DRIVERS\secdrv.sys
0xB3AF8000 \??\C:\WINDOWS\gdrv.sys
0xB2494000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \DAEMON Tools Lite\Engine.dll
0x00400000 \WINDOWS\system32\ntkrnlpa.exe

Processes (total 44):
0 System Idle Process
4 System
1048 C:\WINDOWS\system32\smss.exe
1108 csrss.exe
1136 C:\WINDOWS\system32\winlogon.exe
1180 C:\WINDOWS\system32\services.exe
1192 C:\WINDOWS\system32\lsass.exe
1392 C:\WINDOWS\system32\nvsvc32.exe
1424 C:\WINDOWS\system32\svchost.exe
1492 svchost.exe
1636 C:\WINDOWS\system32\svchost.exe
1800 svchost.exe
2032 svchost.exe
2044 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
436 C:\WINDOWS\explorer.exe
540 C:\WINDOWS\system32\spoolsv.exe
1036 C:\Programme\Avira\AntiVir Desktop\sched.exe
1996 C:\WINDOWS\system32\netdde.exe
292 C:\Programme\Avira\AntiVir Desktop\avguard.exe
320 C:\Programme\Gigabyte\EasySaver\essvr.exe
604 C:\Programme\ICQ6Toolbar\ICQ Service.exe
716 C:\Programme\Java\jre6\bin\jqs.exe
1692 C:\Programme\Microsoft LifeCam\MSCamS32.exe
1720 C:\WINDOWS\system32\PnkBstrA.exe
356 C:\WINDOWS\system32\svchost.exe
2120 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2716 F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
2796 C:\WINDOWS\RTHDCPL.EXE
2828 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2836 C:\WINDOWS\vsnpstd.exe
2868 C:\WINDOWS\system32\rundll32.exe
2908 C:\Programme\Windows Live\Messenger\msnmsgr.exe
3020 C:\WINDOWS\system32\ctfmon.exe
2516 C:\Programme\Messenger\msmsgs.exe
3448 C:\Programme\Skype\Phone\Skype.exe
2928 C:\Programme\Skype\Plugin Manager\skypePM.exe
3348 C:\Programme\Alice Software\AliceEinwahl.exe
796 C:\Programme\Windows Live\Contacts\wlcomm.exe
3144 C:\Programme\ICQ7.2\ICQ.exe
2784 C:\Programme\Mozilla Firefox\plugin-container.exe
3148 C:\Programme\Mozilla Firefox\firefox.exe
2172 C:\Programme\Mozilla Firefox\plugin-container.exe
440 C:\WINDOWS\system32\igfxsrvc.exe
1588 C:\Dokumente und Einstellungen\Gunnar\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000007`14826200 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000002a`b951ca00 (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000034`3eeaa200 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD400LJ, Rev: ZZ100-15

Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 7A7945078798118328CC09106AF527DEFCD28CEC

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

----

Und was kann man daraus jetzt ablesen?

nochdigger · 11.01.2011, 22:09

Hallo

Zitat:

Und was kann man daraus jetzt ablesen?

für mich wichtig
a.

Zitat:

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)

warum nur SP2?

b.

Zitat:

Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 7A7945078798118328CC09106AF527DEFCD28CEC

Found non-standard or infected MBR.

Avira hat ihn ja schon gemeldet...

Lösche bitte die vorhandenen MBRCheck.txt.

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
Enter your choice: 2
Enter the physical disk number to fix (0-99, -1 to cancel): 0
PLease select the MBR code to write to this drive: 1

Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!!

Gib nun Yes ein und bestätige mit ENTER.
Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

MFG

Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)

Plagegeister aller Art und deren Bekämpfung: Kann jemand anders über ein Backdoor Programm von meinem PC aus chatten? (auch mit meiner IP)