Trojaner-Board - Hilfe! Mit Adware und Backdoor infiziert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe! Mit Adware und Backdoor infiziert? (https://www.trojaner-board.de/11232-hilfe-adware-backdoor-infiziert.html)

Hilfe! Mit Adware und Backdoor infiziert?

Hallo,

ich bräuchte mal eure Hilfe! Mein Rechner ist potentiell verseucht mit Adware und mindestens einer Backdoor, wenn man den Scannern trauen darf.

BitDefender 7.2 free hatte mir folgendes gemeldet

Zusammenfassung:

C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe=>(Instyler o)=>(Instyler Module 7) Infiziert Adware.1088

eScan AntiVirus Toolkit Utility

Fri Dec 24 20:50:53 2004 => File C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013137.exe infected by "not-a-virus:AdWare.MiniBug" Virus. Action Taken: No Action Taken.

Fri Dec 24 20:52:08 2004 => File C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe infected by "not-a-virus:AdWare.IGetNet" Virus. Action Taken: No Action Taken.

ewido security suite - Scan Report

+ Scanergebnis:
C:\Programme\MGI PhotoSuite II\System\Randomize.dll -> Backdoor.Ralpha -> Ignoriert

Ich werde gleich noch mal mit KAV 4.5 mit erweiterten Signaturen scannen.TrenMicro 11 hatte übrigens gar nichts gefunden...

Hier ist ein HijackThis Report von heute

Logfile of HijackThis v1.98.2
Scan saved at 14:49:15, on 26.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\StarOffice6.0\program\soffice.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender free edition\bdmcon.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\WINDOWS\System32\msiexec.exe
C:\Download\hjt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103752139130
O17 - HKLM\System\CCS\Services\Tcpip\..\{89B5ED60-A4EE-473E-940E-3ABA568DD3CF}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{89B5ED60-A4EE-473E-940E-3ABA568DD3CF}: NameServer = 192.168.122.252,192.168.122.253

Schon mal Danke für eure Hilfe! :)

Sehe nichts auffälliges in deinem Log!

Kaspersky lässt du dann am besten im abgesicherten Modus laufen,vorher updaten.

Gruss

Hallo,

erst mal Danke für Deine Mühe!

Ich habe vorhin mal mit KAV 4.5 mit aktuellsten erweiterten Signaturen gescannt.

C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013137.exe/WISE0015.BIN Infiziert not-a-virus:AdWare.MiniBug <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0007 Infiziert not-a-virus:AdWare.IGetNet <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0008 Infiziert not-a-virus:AdWare.180Solutions <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/NHInstall.exe Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHUninstaller.exe Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHelper.dll Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHUpdater.exe Infiziert not-a-virus:AdWare.NavExcel.b <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0010/data0002 Infiziert not-a-virus:AdWare.BargainBuddy.a <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0010/data0003 Infiziert not-a-virus:AdWare.BargainBuddy.a <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0011/WISE0011.BIN Infiziert not-a-virus:AdWare.Toolbar.Exact <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0011/WISE0013.BIN Infiziert not-a-virus:AdWare.Toolbar.Exact <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0001.cab/Save.exe Infiziert not-a-virus:AdWare.SaveNow.t <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0001.cab/SaveUninst.exe Infiziert not-a-virus:AdWare.SaveNow.af <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0002.cab/Weather.exe Infiziert not-a-virus:AdWare.SaveNow.ak <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0002.cab/Uninst.exe Infiziert not-a-virus:AdWare.SaveNow.f <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0003.cab/Sync.exe Infiziert not-a-virus:AdWare.SaveNow.v <cd0000.0.e>

Alles Adware-Komponenten in der Systemwiederherstellung. Aber keine Backdoor.

Ich habe die Randomize.dll mit Dr. Web per Online-Scanner gesannt

Ergebnis

Dr.Web ® daemon for FreeBSD, version 4.32.2 (2004-11-01)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32b
Total 63022 virus-finding records.
Randomize.dll infected with BackDoor.Ralpha

Das das was ewido gemeldet hat und weder KAV, BitDefender und TrendMicro gefunden haben...

Kann ich die Adware aus der Systemwiederherstellung problemlos löschen? Ich denke mal das die dort jetzt inaktiv sind aber bei der nächsten Systemwiederherstellung aktiv werden können...

Die Backdoor.Ralpha werde ich mit ewido löschen lassen.

Ich habe vorhin noch mal mit f-prot (DOS) gescannt. Der hat haber nichts gefunden.

Ich hoffe mal das der Rechner nach der Löschung wieder sauber ist.

Hm,

Randomize.dll infected with BackDoor.Ralpha

wenn es wirklich so ist,solltest du darüber nachdenken dein System neu Aufzusetzen,wie der Name schon sagt,dazu auch:

http://oschad.de/wiki/index.php/Kompromittierung

Mich wundert aber um ehrlich zu sein,das Kaspersky nix gefunden hat!

Vielleicht hat hier noch jemand mehr Info`s zu dem Trojaner,ich höre ihn heute,um ehrlich zu sein,das erste Mal!

Gruss

Sende die Datei C:\Programme\MGI PhotoSuite II\System\Randomize.dll an peter.klapprodt@ewido.net und schreib in die Mail, dass du einen Fehlalarm darin vermutest.

Für den Rest ... deaktiviere deine Systemwiederherstellung -> Neustart -> aktiviere die Systemwiederherstellung wieder.

Zu Trendmicro: Anscheinend wurde nur Adware gefunden ... Diese findet Trendmicro nur in den Spywarepattern bei PC-Cillin.