Trojaner-Board - BDS/CIADOOR Signatur erkannt. Wer kann helfen?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BDS/CIADOOR Signatur erkannt. Wer kann helfen? (https://www.trojaner-board.de/15463-bds-ciadoor-signatur-erkannt-helfen.html)

BDS/CIADOOR Signatur erkannt. Wer kann helfen?

Hallo!
ich bin neu hier. mein Antivir hat heute die signatur des oben genannten Backdoorprogrammes entdeckt. Habe es gleich gelöscht und alles Funktioniert einwandfrei. Nach einem erneutem Scan meiner C-Partition hatte ich über 2000 Hinweise. HAbe Hijack this runtergeladen und dues kam heraus. Kann einer sagen was das heisst?

Logfile of HijackThis v1.99.1
Scan saved at 16:50:57, on 16.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\D-Link\AirXpert Utility\AirXCFG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreeNote\FreeNote.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\Programme\WZCBDL Service\WZCBDLS.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\United Devices\UD.EXE
C:\Programme\United Devices\ud_7657531.exe
C:\Programme\United Devices\ud_7657531_0.dir\WCGrid_Rosetta.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\Programme\Opera7\opera.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [D-Link AirXpert Utility] C:\Programme\D-Link\AirXpert Utility\AirXCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [FreeNote] C:\Programme\FreeNote\FreeNote.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: UD Agent.lnk = C:\Programme\United Devices\UD.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - c:\Programme\WZCBDL Service\WZCBDLS.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

@Abyss
Schön wäre's, wenn du uns verrätst, wo genau den BDS gefunden wurde?
Schau noch mal bitte hier: http://www.free-av.de/cgi-bin/ubb/ul...2&t=005596&p=2

Hmmm... Nunja, es war bei mir auch eine sys Datei, weiss aber den korrekten Namen leider nichtmehr. Sie war im Verzeichniss Windows\System 32.

Meinst du das dies ein Fehlalarm war? Kann schon sein. Als ich unter eigenschaften guckte bei dieser Datei war das Erstellungsdatum irgendwann 2003 das kam mir schon komisch vor, weil ich ja erst am Sonntag nen kompletten Virenscan gemacht habe.

Mfg Abyss

@Abyss

Zitat:

Meinst du das dies ein Fehlalarm war?

Meine Meinung kann ich nur auf Grund den bestimmten Daten posten, die hier gerade fehlen.

Ich fahr mal ne Wiederherstellug. Aberich denke das es sich dabei um diese SVKP.SYS Datei handelte.

@Abyss

Zitat:

Ich fahr mal ne Wiederherstellug.

Was willst du denn wiederherstellen? Mach lieber online-check mit http://de.trendmicro-europe.com/cons...all_launch.php
Bevor du scannst, schlate den AVGuard ab.

Ich kann mein System unter deinem Link nicht Scanen, keine Ahnung warum. Habe jetzt die Datei mal unter http://www.ravantivirus.com/scan/indexn.php gescant. Die meinten sie wäre sauber.
Was soll ich nun tun. Ist sie ein Backdoorprogramm oder nicht, was gibt es noch für möglichkeiten dies herauszubekommen?

@Abyss
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

chaosman

Hi
So ein Zufall den gleichen Virus zeigte mir Antivir gestern in der gleichen Datei auch an. :crazy:
Hab ihn gelöscht und im Abgesicherten modus mit e-scan gescant, hab auch noch mit Spybot , a^2 und hijack gescant und nichts weiter gefunden.

Win XP Sp2 immer alles auf den aktuelsten Stand

So nach 40 min rumscannen und einer halben Schachtel Pralinen ist dieshier rausgekommen :

Wed Mar 16 21:29:44 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Wed Mar 16 21:42:36 2005 => File C:\Programme\AVPersonal\INFECTED\EG_AUTH.DLL.VIR infected by "Trojan.Win32.P2E.as" Virus. Action Taken: No Action Taken.
Wed Mar 16 21:51:31 2005 => File C:\System Volume Information\_restore{F9E9FB45-14FD-4029-91D3-5D016FFBF2F6}\RP282\A0208431.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Wed Mar 16 21:56:30 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Diese Datei unter Avpersonal ist eine die ich mal vor wochen in Quarantäne gestellt habe und die anderen sind naja... schon etwas länger auf dem Rechner wenn man nach den Eigenschaften geht!

MFG Abyss

Nachtrag:

@ Icedogg:
Wie es aussieht haben das Porblem heute schon mehrere, wenn man dem Link von Rene-gad folgen will.

Das gleiche Ding BDS/Ciadoor.1.13.B hatte ich heute auch drauf! Hat aber AntiVir auch heute erst nach einem Update gemeldet! Keine Ahnung wie lange der schon drauf war!! Habe das Ding gelöscht und danach lief der Rechner wieder normal! Noch eine kleine Anmerkung->habe einen Rechner mit 2.8Ghz Taktung---er hat aber angezeigt das er bloß 1.29Ghz Taktung hat! Hat das was zu sagen gehabt?

Gruß Jonny

Weiss nicht. Hab mich noch nicht mit der Taktung beschäftigt und.. naja, schon genug Aufregung heute gehabt. Morgen ist auch noch ein Tag :party:. Das mit dem Löschen ist halt immer so ne Sache. Ich hab die Datei erstmal behalten, da sie ja schon ewig bei mir drauf ist und eigentlich alles ganz reibungslos funktioniert. Vielleicht ist es ja nur eine Fehlalarmmeldung von Antivir, da alle anderen Programme nicht drauf anschlagen.

MFG und mit viel Hoffnung auf das nächste Antivir Update Abyss!

Habe vor 30min mit meiner LAG zu Hause gefont (ich habe Nachtschicht)-sie sagte das sie Abends nochmal eine Warnung (?) von AntiVir bekommen hat! Werd mir das ganze in Ruhe nochmal am Tage ansehen!
Gruß Jonny

Guten Tag allerseits.

Hab mal mein Hijackthis Log an http://www.hijackthis.de/ geschickt. Die haben nix gefunden. hat sonst schon jemand was rausbekommen woher nun diese Virusmeldung kommt? Wie gesagt, bei mir funktioniert eigentlich alles einwandfrei und ich merk auch nix das sich was geändert hätte. Weiss irgendwer wie ich sehen kann ob und welche meiner Ports offen sind? Habe auch noch einen Wlan Router an dem ja auch diese Ports dann offen sein müssten, oder?