Trojaner-Board - BDS/CIADOOR Signatur erkannt. Wer kann helfen?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BDS/CIADOOR Signatur erkannt. Wer kann helfen? (https://www.trojaner-board.de/15463-bds-ciadoor-signatur-erkannt-helfen.html)

BDS/CIADOOR Signatur erkannt. Wer kann helfen?

Hallo!
ich bin neu hier. mein Antivir hat heute die signatur des oben genannten Backdoorprogrammes entdeckt. Habe es gleich gelöscht und alles Funktioniert einwandfrei. Nach einem erneutem Scan meiner C-Partition hatte ich über 2000 Hinweise. HAbe Hijack this runtergeladen und dues kam heraus. Kann einer sagen was das heisst?

Logfile of HijackThis v1.99.1
Scan saved at 16:50:57, on 16.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\D-Link\AirXpert Utility\AirXCFG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreeNote\FreeNote.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\Programme\WZCBDL Service\WZCBDLS.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\United Devices\UD.EXE
C:\Programme\United Devices\ud_7657531.exe
C:\Programme\United Devices\ud_7657531_0.dir\WCGrid_Rosetta.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\Programme\Opera7\opera.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [D-Link AirXpert Utility] C:\Programme\D-Link\AirXpert Utility\AirXCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [FreeNote] C:\Programme\FreeNote\FreeNote.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: UD Agent.lnk = C:\Programme\United Devices\UD.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - c:\Programme\WZCBDL Service\WZCBDLS.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

@Abyss
Schön wäre's, wenn du uns verrätst, wo genau den BDS gefunden wurde?
Schau noch mal bitte hier: http://www.free-av.de/cgi-bin/ubb/ul...2&t=005596&p=2

Hmmm... Nunja, es war bei mir auch eine sys Datei, weiss aber den korrekten Namen leider nichtmehr. Sie war im Verzeichniss Windows\System 32.

Meinst du das dies ein Fehlalarm war? Kann schon sein. Als ich unter eigenschaften guckte bei dieser Datei war das Erstellungsdatum irgendwann 2003 das kam mir schon komisch vor, weil ich ja erst am Sonntag nen kompletten Virenscan gemacht habe.

Mfg Abyss

@Abyss

Zitat:

Meinst du das dies ein Fehlalarm war?

Meine Meinung kann ich nur auf Grund den bestimmten Daten posten, die hier gerade fehlen.

Ich fahr mal ne Wiederherstellug. Aberich denke das es sich dabei um diese SVKP.SYS Datei handelte.

@Abyss

Zitat:

Ich fahr mal ne Wiederherstellug.

Was willst du denn wiederherstellen? Mach lieber online-check mit http://de.trendmicro-europe.com/cons...all_launch.php
Bevor du scannst, schlate den AVGuard ab.

Ich kann mein System unter deinem Link nicht Scanen, keine Ahnung warum. Habe jetzt die Datei mal unter http://www.ravantivirus.com/scan/indexn.php gescant. Die meinten sie wäre sauber.
Was soll ich nun tun. Ist sie ein Backdoorprogramm oder nicht, was gibt es noch für möglichkeiten dies herauszubekommen?

@Abyss
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

chaosman

Hi
So ein Zufall den gleichen Virus zeigte mir Antivir gestern in der gleichen Datei auch an. :crazy:
Hab ihn gelöscht und im Abgesicherten modus mit e-scan gescant, hab auch noch mit Spybot , a^2 und hijack gescant und nichts weiter gefunden.

Win XP Sp2 immer alles auf den aktuelsten Stand

So nach 40 min rumscannen und einer halben Schachtel Pralinen ist dieshier rausgekommen :

Wed Mar 16 21:29:44 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Wed Mar 16 21:42:36 2005 => File C:\Programme\AVPersonal\INFECTED\EG_AUTH.DLL.VIR infected by "Trojan.Win32.P2E.as" Virus. Action Taken: No Action Taken.
Wed Mar 16 21:51:31 2005 => File C:\System Volume Information\_restore{F9E9FB45-14FD-4029-91D3-5D016FFBF2F6}\RP282\A0208431.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Wed Mar 16 21:56:30 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Diese Datei unter Avpersonal ist eine die ich mal vor wochen in Quarantäne gestellt habe und die anderen sind naja... schon etwas länger auf dem Rechner wenn man nach den Eigenschaften geht!

MFG Abyss

Nachtrag:

@ Icedogg:
Wie es aussieht haben das Porblem heute schon mehrere, wenn man dem Link von Rene-gad folgen will.

Das gleiche Ding BDS/Ciadoor.1.13.B hatte ich heute auch drauf! Hat aber AntiVir auch heute erst nach einem Update gemeldet! Keine Ahnung wie lange der schon drauf war!! Habe das Ding gelöscht und danach lief der Rechner wieder normal! Noch eine kleine Anmerkung->habe einen Rechner mit 2.8Ghz Taktung---er hat aber angezeigt das er bloß 1.29Ghz Taktung hat! Hat das was zu sagen gehabt?

Gruß Jonny

Weiss nicht. Hab mich noch nicht mit der Taktung beschäftigt und.. naja, schon genug Aufregung heute gehabt. Morgen ist auch noch ein Tag :party:. Das mit dem Löschen ist halt immer so ne Sache. Ich hab die Datei erstmal behalten, da sie ja schon ewig bei mir drauf ist und eigentlich alles ganz reibungslos funktioniert. Vielleicht ist es ja nur eine Fehlalarmmeldung von Antivir, da alle anderen Programme nicht drauf anschlagen.

MFG und mit viel Hoffnung auf das nächste Antivir Update Abyss!

Habe vor 30min mit meiner LAG zu Hause gefont (ich habe Nachtschicht)-sie sagte das sie Abends nochmal eine Warnung (?) von AntiVir bekommen hat! Werd mir das ganze in Ruhe nochmal am Tage ansehen!
Gruß Jonny

Guten Tag allerseits.

Hab mal mein Hijackthis Log an http://www.hijackthis.de/ geschickt. Die haben nix gefunden. hat sonst schon jemand was rausbekommen woher nun diese Virusmeldung kommt? Wie gesagt, bei mir funktioniert eigentlich alles einwandfrei und ich merk auch nix das sich was geändert hätte. Weiss irgendwer wie ich sehen kann ob und welche meiner Ports offen sind? Habe auch noch einen Wlan Router an dem ja auch diese Ports dann offen sein müssten, oder?

@Abyss

Zitat:

Weiss irgendwer wie ich sehen kann ob und welche meiner Ports offen sind?

https://www.grc.com/x/ne.dll?bh0bkyd2

Danke für den Link.

Rausgekommen ist dies:
Filesharing:
Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!
Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

Common Ports:
Obwohl alle Kästchen rot:

Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.
All Service ports:
alles Grün
Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.

Ich denke das ist soweit in ordnung, oder?

Nun nochmal zum Thread:
Habe jetzt nochmal Antivir geupdated. Entweder hat das Backdoorprogramm jetzt richtig zugeschlagen oder es war tatsächlich ne Fehlwarnung. Antivir ist auf jeden Fall bei jener SVKP.sys nicht angesprungen. Naja, ich behalt es erstmal im Auge!
Nochmals Danke für die Hilfe. Schön das es auch solche Seiten gibt, wo auch Laien wie mir geholfen wird!

Mfg Abyss!

Und nochmal ich!

Habe nochmal die Datei heute Mittag zu Antivir geschickt und das kam raus:

Sehr geehrte Damen und Herren,

wir bedanken uns für Ihre Anfrage.
In der von Ihnen eingesendeten Datei ist kein Virus enthalten. Es handelt sich um einen Fehlalarm. Dieser Fehlalarm wird mit einem der nächsten Updates von AntiVir beseitigt.

Wir bitten um Ihr Verständnis.
--
Freundliche Gruesse/Sincerely

AntiVir PersonalProducts GmbH

i.A. C.Liebl
Customer Support

Naja, so kann man auch seinen Urlaub verbringen, aber nix für ungut!

MFG ..

Na da bin ich ja mal gespannt wann das Update kommt-heute war zwar was neues da, aber das Probs ist immer noch! Cirka eine halbe Stunde nach dem Update kam die Meldung vom Sicherheitscenter "AntiVir nicht mehr aktuell"! Dazu kommt beim hochfahren vom Rechner -->manchmal<-- die Meldung : CMOS Checksum error-Defaults loaded !! Kann mir bitte einer mal sagen was das zu bedeuten hat??

Gruß Jonny

Also dann hat es definitiv nix mit der SKVP.sys Datei zu tun. nachdem ich geupdated hab war bei mir wieder alles in Ordnung. Zwar zeigt er immernoch ewigviele Hinweise(was auch immer Antivir unter Hinweisen versteht) an, welche aber alle nur Dateien in Rararchiven sind, welche mit.cab enden. Die Dateien wären angeblich fehlerhaft. Aber, wie gesagt sonst funzt alles!

MFG Abyss!!

Hm...bei mir besteht das Probs nach wie vor! Jetzt kommt jedesmal beim starten die Meldung mit dem CMOS! Desweiteren ist jedesmal die Rechneruhr auf 00:00! Das kann ja noch lustig werden........wo ich soviel Ahnung habe :headbang:

Das klingt mir mehr nach einem Hardwareproblem. Ist die CMOS-Batterie leer? ;)

Gruß :daumenhoc
Yopie

Wie.......CMOS Batterie?? Ist das die kleine die die Uhrzeit bei abgeschaltetem Rechner immer am laufen hält?? Man-der Rechner ist 5 Monate alt und dann schon die Batterie leer? Komisch komisch.................
Trotzdem Danke! Das check ich morgen gleich mal!!
Gruß Jonny

So Jungs-Batterie habe ich gewechselt-die CMOS Meldung kommt nicht mehr! Allerdings habe ich trotzdem nur 1,29GHz Rechnerleistung! Was jetzt?
Danke!! Jonny

Prozessor wechseln. ;)

Vielleicht hats im BIOS die Einstellungen durcheinandergewürfelt?

Gruß :daumenhoc
Yopie

Prozessor wechseln...haha :) ! Das ganze BIOS war verstellt-habe das vorhin mit Hilfe eines Freundes wieder in Ordnung bringen können! Trotzdem Danke an alle!!
Schönes WE!! :party:
Jonny