Backdoor.bot
 

hallo Zusammen,

ich habe scheinbar ein echtes Problem.
Ich hab vorhin Malwarebytes´Anti-Malware über meinen PC laufen lassen.
Dabei hat er folgendes gefunden:



Malwarebytes' Anti-Malware 1.37
Database version: 2222
Windows 5.1.2600 Service Pack 3

03.06.2009 18:45:54
mbam-log-2009-06-03 (18-45-43).txt

Scan type: Full Scan (C:\|)
Objects scanned: 196034
Time elapsed: 23 minute(s), 34 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\dokumente und einstellungen\***\anwendungsdaten\microsoft\installer\{2b0c9858-8d78-48b2-bc37-4caebb2ca510}\Icon2B0C98584.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS\installer\{2b0c9858-8d78-48b2-bc37-4caebb2ca510}\Icon2B0C98584.exe (Backdoor.Bot) -> No action taken.



Hier auch noch mein HJT-Logfile:


Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169746994021
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4824 bytes



Die beiden von Anti-Malware bemängelten Dateien habe ich bei Virustotal hochgeladen. Das hat aber seltsamerweise nichts in diesen finden können.

Was soll ich tun? System neu aufsetzen wär zwar prinzipiell möglich, ich hoffe aber dass ich da trotzdem irgendwie drum herum komme.

bitte helft mir :heulen:

kann mir denn niemand helfen? :(

nochmal ein kleiner Nachtrag:
Der Rechner macht an sich keine Zicken, der Scan mit Anti-Malware war rein vorsorglicher Natur.

Um was geht es mir ganz konkret?
Wie oben beschrieben, bemängelt bislang nur anti-malware diese beiden Dateien und behauptet das wär ein backdoor-bot.
Weder ein Scan mit Antivir noch ein Onlinescan (hab ich mit trend micro housecall gemacht) hat irgendwas an den dateien bzw am system selber finden können. Die Scans hab ich alle im abgesicherten Modus gemacht.
Hab die beiden Dateien auch bei Virustotal.com hochgeladen...auch da konnte nichts in den Dateien gefunden werden.
Es könnte also theoretisch auch ein fehlalarm sein.
Nun will ich aber lieber auf nummer sicher gehen. die Möglichkeit, dass da ein backdoor-trojaner auf meinem pc schlummert, macht mich nämlich alles andere als glücklich.

Wie kann ich also herausfinden, ob Dateien ok sind und nur anti-malware hypersensibel war oder ob da wirklich mehr auf dem pc ist. Wenn ja, wie kann ich feststellen ob da schon schaden angerichtet wurde?

Bitte, bitte gebt mir Tips

also ich habe mittlerweile noch etwas recherchiert und festgestellt, dass diese Dateien zur selben Zeit installiert worden sind, als ich das Spiel "Spellforce 2" installiert habe.

Um zu prüfen, dass das kein Zufall war, habe ich das Spiel mal auf einem anderen PC installiert und siehe da...die selben Dateien wurden auch da wieder installiert. Sie gehören also definitiv zu diesem Spiel.

Das Spiel selber installiert ja den Kopierschutz "Starforce" mit.
Was man so im I-Net liest, scheint dieser Kopierschutz ja einem backdoor-trojaner gar nicht so unähnlich. :pfui:
Das würde zumindest erklären, warum anti-malware meint da was unschönes gefunden zu haben.

Ich selber vermute nun also, dass es sich bei den besagten Dateien um eben einen Teil dieses Kopierschutzes zu handeln.

Kann das jemand bestätigen? Wenn ja, kann ich ja zumindest erstmal beruhigt sein, dass es "nur" daran liegt.
Auf der anderen Seite wäre ich echt schockiert, was man mit legal erworbener Software so teilweise mitgeliefert bekommt :lmaa: