Trojaner-Board - win32.backdoor.graybird

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - win32.backdoor.graybird (https://www.trojaner-board.de/50461-win32-backdoor-graybird.html)

win32.backdoor.graybird

vorhin hat zonealarm pro antispyware auf meinem rechner den obengenannten trojaner entdeckt.
zuerst wurde er im zusammenhang mit dem "k-lite codec pac" erwähnt, was ich von chip.de runtergeladen hab.(weiß leider den genauen pfad und die dateinamen nichmehr, war aber irgendwas mit c:\dokumente und einstellungen) dieses hab ich daraufhin deinstalliert und nochma den scan laufen lassen.
spybot s&d, sowie adaware haben nix gefunden. aber zonealarm meldet wieder folgendes:

Zitat:

1aktives Element:
win32.backdoor.graybird
detail: Datei: C:\System Volume Information\_restore{3AE4FB2B-25A6-479B-AFF2-FC9D8264BD87}\RP147\A0018421.exe
Datei: C:\System Volume Information\_restore{3AE4FB2B-25A6-479B-AFF2-FC9D8264BD87}\RP152\A0021337.exe

wollte die dateien aus dem ordner auch mal bei virustotal scannen lassen. aber wenn ich versuch den ordner zu öffnen kommt windows fehlermeldung: "auf... kann nicht zugegriffen werden. zugriff verweigert" ... kommt man in den ordner nur im abgesicherten modus oder is das unnormal, dass ich nich zugreifen kann?

provisorisch hier auch mal mein hijacklog:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:33, on 13.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Winamp\winamp.exe
C:\Programme\Adobe\Adobe After Effects CS3\Support Files\AfterFX.exe
C:\Programme\Adobe\Adobe After Effects CS3\Support Files\AELinkServer2.exe
C:\Programme\Adobe\Adobe After Effects CS3\Support Files\AfterFX.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Adobe\Adobe After Effects CS3\Support Files\AfterFX.exe
C:\Programme\!Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.xx.x.x:xxxx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\!Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] d:\Programme\DAEMON Tools Lite\daemon.exe -autorun
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B58116C-FD74-4907-B71F-E8957CF91F03}: NameServer = xxx.xx.xxx.xx,xxx.xx.xxx.xxx
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6511 bytes

hoff das reicht an infos um mir zu helfen. trau mich nich bei zonealarm einfach auf löschen zu gehen, weil die supportseite von zonealarm von automatischen und manuellen entfernen ohne anleitung abrät :/

habs mal unter quarantäen gesetzt... wer weiß ob dat hülft...

hmm. also scheinbar hat das unter quarantäne setzen gereicht. hab nochmal ne tiefen prüfung mit zone alarm ausgeführt und nix mehr gefunden.
außerdem hat auch antivir mit komplettprüfung nix entdeckt.

kann ich davon ausgehen, dass der virus doch einfacher zu entfernen war als ich dachte? und kann ich die quarantänedateien jetzt einfach löschen?

und was mich immer noch beunruhigt is, dass ich auf c:\system volume information nicht zugreifen kann. sollt ich mir da gedanken machen ???

(oh und sorry für doppelpost, aber hätt ichs nur in den vorigen beitrag reineditiert wärs sicher keinem aufgefallen :( )

Backdoors bauen Hintertüren in dein System ein. Das bedeutet das eine dritte Person deinen Computer fernsteuern kann. Außerdem können Dir wichtigen daten wie z.B Onlinebanking-Zugangsdaten geklaut werden. Nach einer Reinigung ist es eine Frage ob das System noch vertrauenwürdig ist.In diesem Fall wäre ein neuaufsetzen angebracht.
Die Backdoor kann sich so tief in die Registry einbuddeln , das wir ihn nie 100 % löschen können.

hallo,
der fund ist in der systemwiederherstellung, soll heißen,
daß die vermutliche malware mal aktiv war. über den quarantäne-manager
von antivir sollte sich die datei an einen anderen ort wiederherstellen
und dann bei virustotal prüfen lassen.

Das Problem ist, dass ich die Dateien mit Zonealarm Pro unter Quarantäne gestellt hab. AntiVir hat sie gar nicht erst gefunden. Und mit Zonealarm weiß ich nicht, wie man sie woanders herstellt, als in dem Ordner, indem sie entdeckt wurden. Leider erhalte ich beim Versuch c:\system volume information zu öffnen aber eben immer die windows fehlermeldung "zugriff verweigert"...

Hab auch schon Systemwiederherstellung eines Punktes versucht, der direkt vor der Infektion liegen könnte. Das hat allerdings nicht geklappt. Also die Wiederherstellung war nicht möglich..
Hilft wohl wirklich nur noch neuaufsetzen oder? :(

ah, das ist was anderes.
hier ist eine anleitung, wie du auf die systemwiederherstellung zugreifen kannst.
Wie Sie auf den Ordner "System Volume Information" zugreifen können

ansonsten ist bei backdoorbefall neuaufsetzen sicher die beste lösung.
wenn du doch eine bereinigung versuchen willst(das führt aber nicht zu einem wirklich vertrauenswürdigen rechner):
dann lade dir hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix auf den desktop herunter,
alle programme, guards, firewall etc. schliessen
combofix ausführen,
drücke die 1 und lass das programm durchlaufen.
währenddessen nichts am computer machen und dann
poste bitte das combofix-log combofix.txt

ah ok, bin in den ordner gekommen und hab die 2 dateien rausgenommen, umbenannt und mit virus total prüfen lassen.
folgendes ergebnis:

Zitat:

Datei A0018421.wexe empfangen 2008.03.17 18:04:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 8.
Geschätzte Startzeit is zwischen 62 und 89 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.18.0 2008.03.17 -
AntiVir 7.6.0.73 2008.03.17 -
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.17 -
AVG 7.5.0.516 2008.03.17 -
BitDefender 7.2 2008.03.17 -
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.17 -
DrWeb 4.44.0.09170 2008.03.17 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5621 2008.03.17 -
Ewido 4.0 2008.03.17 -
F-Prot 4.4.2.54 2008.03.16 -
F-Secure 6.70.13260.0 2008.03.17 -
FileAdvisor 1 2008.03.17 -
Fortinet 3.14.0.0 2008.03.17 -
Ikarus T3.1.1.20 2008.03.17 -
Kaspersky 7.0.0.125 2008.03.17 -
McAfee 5252 2008.03.14 -
Microsoft 1.3301 2008.03.16 -
NOD32v2 2953 2008.03.17 -
Norman 5.80.02 2008.03.17 -
Panda 9.0.0.4 2008.03.16 -
Prevx1 V2 2008.03.17 -
Rising 20.36.02.00 2008.03.17 -
Sophos 4.27.0 2008.03.17 -
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.17 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.16 -
VirusBuster 4.3.26:9 2008.03.17 -
Webwasher-Gateway 6.6.2 2008.03.17 -

weitere Informationen
File size: 680960 bytes
MD5: 9e30ab5e3f6b43f69f928e6b4fcfd604
SHA1: b110f04114c52f2439715cbad3769250dbcdb1b3
PEiD: -

Zitat:

Datei A0021337.wexe empfangen 2008.03.17 18:15:01 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 9.
Geschätzte Startzeit is zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.18.0 2008.03.17 -
AntiVir 7.6.0.73 2008.03.17 -
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.17 -
AVG 7.5.0.516 2008.03.17 -
BitDefender 7.2 2008.03.17 -
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.17 -
DrWeb 4.44.0.09170 2008.03.17 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5621 2008.03.17 -
Ewido 4.0 2008.03.17 -
F-Prot 4.4.2.54 2008.03.16 -
F-Secure 6.70.13260.0 2008.03.17 -
FileAdvisor 1 2008.03.17 -
Fortinet 3.14.0.0 2008.03.17 -
Ikarus T3.1.1.20 2008.03.17 -
Kaspersky 7.0.0.125 2008.03.17 -
McAfee 5252 2008.03.14 -
Microsoft 1.3301 2008.03.16 -
NOD32v2 2953 2008.03.17 -
Norman 5.80.02 2008.03.17 -
Panda 9.0.0.4 2008.03.16 -
Prevx1 V2 2008.03.17 -
Rising 20.36.02.00 2008.03.17 -
Sophos 4.27.0 2008.03.17 -
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.17 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.16 -
VirusBuster 4.3.26:9 2008.03.17 -
Webwasher-Gateway 6.6.2 2008.03.17 -
weitere Informationen
File size: 680960 bytes
MD5: 9e30ab5e3f6b43f69f928e6b4fcfd604
SHA1: b110f04114c52f2439715cbad3769250dbcdb1b3
PEiD: -

wie man sieht keine funde... komisch...

aber was mich dennoch wundert is, dass der systemwiederherstellungspunkt nicht funktioniert hat... gibts dafür ne erklärung außer dem backdoortrojaner? und wäre es überhaupt sinnvoll ne systemwiederherstellung zu versuchen?

und danke für die hilfe :) den combofix log post ich dann die tage evtl. muss nacher erstmal bis mittwoch fort.

du kannst von einem fehlalarm von zone alarm ausgehen,
also sollte auch combofix überflüssig sein.
bei einem wirklichen befall kann die systemwiederherstellung nicht helfen.
zu problemen mit der systemwiederherstellung kannst du dich auf den support-seiten von microsoft informieren:
Microsoft Help and Support