Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   AntiVir löscht backdoorprogramm nicht (https://www.trojaner-board.de/24199-antivir-loescht-backdoorprogramm.html)

PSYCH 03.12.2005 11:55
AntiVir löscht backdoorprogramm nicht
 
hallo ihr "profis"...

ich wende mich an euch, da ich seit gestern abend ein problem habe.
habe mir eine datei aus dem netz heruntergeladen, überprüfte diese
mit Antivir, und es wurde nichts festgestellt.

als ich im laufe des abends meinen rechner startete kam schon vor der
anmeldung bei XP mein Antivir warnton.

meldete mir ein BACKDOORPROGRAMM
c:\winnt\system32\drivers\sxe3.tmp

dachte mir(da ich ein noob bin) datei belassen, zugang verweigern...
danach ging gar nichts mehr, also rechner resetet....

das habe ich dann gestern bestimmt 10 mal gemacht, auch das verzeichnis mit antivir durchsucht,der sie auch gefunden und angeblich gelöscht hat, doch nichts passierte...

habe mittlerweile 9 dateien gefunden, die da lauten:
c:\winnt\system32\drivers\sxe.4.tmp
...................................\sxe.5.tmp
...................................\sxe.6.tmp
...................................\sxe.7.tmp
...................................\sxe.8.tmp
...................................\sxe.9.tmp
...................................\sxe.a.tmp
...................................\sxe.b.tmp
...................................\sxe.c.tmp

Nach dem neustart kam häufig die meldung das ein fehler vorlag:

MSSvc.exe



Falls ihr euch wundert, dass ich im netz bin, habe wohn-geschäftshaus
und sitze z.zt. im büro... doch würde lieber vor´m privat rechner sitzen :heulen:

hoffe ihr wisst rat ?!

cronos 03.12.2005 12:04
Poste bitte zusätzlich einen Hijackthis-Log.

PSYCH 03.12.2005 12:32
hjt-auswertung
 
vorab danke cronos, daß du versuchst, dich meinem problem
anzunehmen :daumenhoc

ogfile of HijackThis v1.99.1
Scan saved at 12:24:15, on 03.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\winnt\system32\drivers\smss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\winnt\system32\drivers\csrss.exe
C:\winnt\system32\drivers\sxe5.tmp
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Highjackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ViewerHelper Class - {78104A01-8E71-4F30-9A36-3793799615B4} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {685ec120-f786-4498-a8f0-794d47916161} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O9 - Extra 'Tools' menuitem: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-40971 - {685ec120-f786-4498-a8f0-794d47916161} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-205 - {aede78a6-42b6-4c3c-96eb-5ae6dbec4859} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O9 - Extra 'Tools' menuitem: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-40970 - {aede78a6-42b6-4c3c-96eb-5ae6dbec4859} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130706437185
O18 - Protocol: rmh - {23C585BB-48FF-4865-8934-185F0A7EB84C} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O18 - Filter: application/msword - {DFF82902-0B96-3B98-6F62-D655E146A23A} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O18 - Filter hijack: application/octet-stream - {F969FE8E-1937-45AD-AF42-8A4D11CBDC2A} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O18 - Filter: application/vnd-viewer - {CD4527E8-4FC7-48DB-9806-10537B501237} - (no file)
O18 - Filter: application/vnd.ms-excel - {DFF82902-0B96-3B98-6F62-D655E146A23A} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O18 - Filter: application/vnd.ms-powerpoint - {DFF82902-0B96-3B98-6F62-D655E146A23A} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O18 - Filter: application/x-microsoft-rpmsg-message - {DFF82902-0B96-3B98-6F62-D655E146A23A} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MSSvc DriverLog (DriverLog) - Unknown owner - C:\winnt\system32\drivers\MSSvc.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: msdev (msdev.exe) - Unknown owner - C:\WINDOWS\System32\msdev.exe" -netsvcs (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: MSSvc USB2 (USB2) - Unknown owner - C:\winnt\system32\drivers\MSSvc.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

hoffe du hast einen rat :-)

cronos 03.12.2005 12:43
Dein Problem beginnt damit, das du dein System nicht mit den vorhandenen Sicherheitsupdates versorgt hast, Service Pack 2 ist für jedes XP System Pflicht.
U.a. deswegen hat sich folgender bei dir eingeschlichen:

http://www.sophos.de/virusinfo/analyses/w32rbotkh.html

Aufgrund dieser Infektion kann man von einer Kompromittierung deines Systems sprechen.
Und daher kann man dir nur raten dein System Neuaufzusetzen und vor der ersten Internetverbindung vernünftig abzusichern:

Anleitung

PSYCH 03.12.2005 13:08
scheiss nachricht, trotzdem danke
 
hi cronos,

es ist zwar eine absolut besch.... nachricht, doch na ja....
trotzdem vielen dank...

nachträglich so etwas draufziehen, macht bestimmt keinen sinn, oder??

ich frage mich nur, warum mein antivir beim durchsuchen der datei "ihn"
nicht entdeckt hat, sonder erst beim neustart?!

cronos 03.12.2005 13:14
Zitat:
Zitat von PSYCH

nachträglich so etwas draufziehen, macht bestimmt keinen sinn, oder??

Nein, hier hilft zu deiner eigenen Sicherheit nur die komplette Neuinstallation
Zitat:
ich frage mich nur, warum mein antivir beim durchsuchen der datei "ihn"
nicht entdeckt hat, sonder erst beim neustart?!
Ob es nun tatsächlich an der von dir genannten Datei lag oder ob der Backdoor schon vorher drauf war, darüber zu diskuttieren ist wohl müßig.
Fakt ist, dass der worst case eingetreten ist und jetzt heißt es entsprechend zu handeln.

PSYCH 03.12.2005 13:16
ok danke
 
ok, und nochmals vielen dank...

werde das board auf jeden fall weiter empfehlen :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:12 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129