Mehrere Viren, Backdoors, etc (welche sind das?)
 

Teil 1

Mir hat ein Freund kürzlich seinen Laptop zum Checken und Updaten auf das XP SP2 gegeben, mit der Anmerkung nebenbei, dass das System langsam sei...
Taskmanager war geblockt (hat sich sofort geschlossen, sobald geöffnet), Admin-Rechte beschnitten,...
Hab dann erst mal die Firewall aktiviert und nen Onlinescan laufen lassen, um zu sehen, was genau drauf ist (desinfizieren von nem laufenden verseuchten Sys ist ja schwachsinnig ;))

der Onlinescan von Trendmicro hat folgendes ausgespuckt (hab dann irgendwann abgebrochen):
-------------------------------------------------------------------------
Memory ok
Process [avserve2.exe] [PID:000008A0] infected: Win32.Worm.Sasser.B
C:\WINDOWS\avserve2.exe disinfected
C:\WINDOWS\avserve2.exe disinfected
Process [htgcy.exe] [PID:000008AC]=>(PECompact 1.56) infected: Backdoor.SDBot.Gen
Process [htgcy.exe] [PID:000008AC]=>(PECompact 1.56) unable to disinfect
Process [alsnx.exe] [PID:000009B0] infected: Backdoor.RBot.LY
C:\WINDOWS\System32\alsnx.exe unable to disinfect
Process [icveme.exe] [PID:000011B0] infected: Trojan.Downloader.PurityScan.I
C:\WINDOWS\System32\icveme.exe unable to disinfect
Master Boot Record 80 ok (Windows 95 B20 - Windows 98)
Partition Boot 1 (primary) ok (Unknown MBR/Boot Code)
Partition Boot 2 (primary) (active) ok (Windows NT 2000 NTFS)
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\mrzvwta.exe infected: Backdoor.RBot.LY
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\mrzvwta.exe unable to disinfect
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\rowmepph.exe infected: Backdoor.RBot.LY
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\rowmepph.exe unable to disinfect
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XGBK3ID\bridge[1].cab=>bridge.dll infected: Trojan.PWS.Briss.A
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XGBK3ID\bridge[1].cab=>jao.dll infected: Trojan.PWS.Briss.A
----------------------------------------------------------------------

Weiterer Scan von Symantec (ohne Desinfizierung):
-----------------------------------------------------------------------
C:\WINDOWS\SYSTEM32\12868_up.exe is infected with W32.Sasser.B.Worm
C:\WINDOWS\SYSTEM32\14957_up.exe is infected with W32.Sasser.B.Worm
C:\WINDOWS\SYSTEM32\4679_up.exe is infected with W32.Sasser.B.Worm
C:\WINDOWS\SYSTEM32\534_up.exe is infected with W32.Sasser.B.Worm
C:\WINDOWS\SYSTEM32\alsnx.exe is infected with W32.Spybot.Worm
C:\WINDOWS\SYSTEM32\bjatwrs.exe is infected with W32.Spybot.Worm
C:\WINDOWS\SYSTEM32\ftpupd.exe is infected with W32.Korgo.S
C:\WINDOWS\SYSTEM32\htgcy.exe is infected with W32.Spybot.Worm
C:\WINDOWS\SYSTEM32\msnin.exe is infected with W32.Spybot.Worm
C:\WINDOWS\SYSTEM32\msnmsgr.exe is infected with W32.Spybot.Worm
C:\WINDOWS\SYSTEM32\svxhost.exe is infected with W32.Spybot.Worm
C:\WINDOWS\SYSTEM32\swarawg.exe is infected with W32.Korgo.S
C:\WINDOWS\SYSTEM32\sxvhost.exe is infected with Backdoor.Trojan
C:\WINDOWS\SYSTEM32\TFTP2372 is infected with W32.Spybot.Worm
C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XGBK3ID\x[1].exe is infected with W32.Korgo.S
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP156\A0019246.exe is infected with W32.Sasser.B.Worm
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\mrzvwta.exe is infected with W32.Spybot.Worm
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\rowmepph.exe is infected with W32.Spybot.Worm
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\trwalmu.exe is infected with Backdoor.Trojan
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\yijgkzv.exe is infected with Backdoor.Trojan
-------------------------------------------------------------------------

Hijackthis-Log im anschliesenden posting ;) (Teil 2)

Fortsetzung (Teil 2):

FixKorgo und FixSasser rüberlaufen lassen
HijackThis gestartet und nen Log gemacht (liess sich vor den obigen Schritten nicht starten!):
----------------------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 22:32:56, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-regensburg.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {638D6828-B219-74C7-D351-11557BAE263D} - C:\WINDOWS\System32\xoi.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Pegasus Mail Notifier] MailNote.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [0utlook Express] htgcy.exe
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [restrictanonymous]

O4 - HKLM\..\Run: [Outlook Express] alsnx.exe
O4 - HKLM\..\Run: [REGRUN] C:\windows\mActiveX.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [xldcvl] C:\WINDOWS\System32\pzcjqu.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [0utlook Express] htgcy.exe
O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Outlook Express] alsnx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Soap Pro] C:\Programme\System Soap Pro\soap.exe min
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [0utlook Express] htgcy.exe
O4 - HKCU\..\Run: [Outlook Express] alsnx.exe
O4 - HKCU\..\Run: [Iwaa] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\lrrp.exe
O4 - HKCU\..\Run: [Gstonki] C:\WINDOWS\System32\icveme.exe
O4 - HKCU\..\RunServices: [0utlook Express] htgcy.exe
O4 - HKCU\..\RunServices: [Outlook Express] alsnx.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O4 - Global Startup: updater.lnk = C:\Programme\Common Files\updater\wupdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.systemsoap.com/ss...temsoappro.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1427bb884c9af96...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093192108640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/200...Inc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wl963
O17 - HKLM\Software\..\Telephony: DomainName = wl963
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wl963
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-regensburg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-regensburg.de
--------------------------------------------------------------------------

Bin der Meinung, dass das System nicht mehr zu retten ist, wichtige nicht-ausführbare Inhalte wurden gebackupt und nach nem ausgiebigen Virenscan dann wieder eingespielt.

Mich würde eure Meinung zu den Schädlingen, die auf dem Rechner waren, interessieren:
Also: Welche Backdoors sind das genau (bspw. der Prozess htgcy.exe bzw. sxvhost.exe) und Bestätigung, dass Neuinstallation nötig ist (mach ich sowieso, will nur Bestätigung haben ;))

Danke schon mal im voraus und sry wegen des langen Postings

Ich verstehe deine Frage nicht so ganz, wenn ich ehrlich bin. Um welche Backdoors und Trojaner es sich handelt, steht ja in der Auswertung des Nortonscans dabei?

C:\WINDOWS\SYSTEM32\svxhost.exe is infected with W32.Spybot.Worm

Da brauchts du eigentlich nur mal bei Symantec nachzuschauen. :)

http://securityresponse.symantec.com...ybot.worm.html

Meinen Segen für eine Neuinstallation hast du auf jeden Fall. :) Und noch ein paar Tips fürs Einrichten:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

Neu formatieren ist hier wirklich die einzigste vernünftige Lösung.
Bitte beachte die Vorgehensweise von Moutainking.

was meinst du, wie oft ich das meinem Freund gepredigt habe ;)
Ist ein ehem. Arbeitskollege von mir...

Aber dann hörst du Sprüche wie: "Die Firewall hat Probleme gemacht, da hab ich sie ausgeschaltet" oder "Ach, der Virenscanner hat ein Abo, das irgendwann echt ausläuft?" oder "Aber beim IE habe ich ja meine Bookmarks schon angelegt..." :teufel1:

Wegen den Viren, Backdoors etc. war/bin ich irritiert, da Trendmicro und Symantec komplett andere Schädlinge angezeigt haben (ich weiss, dass es bei den Virenherstellern unterschiedliche Bezeichnungen gibt und dass Symantec z.T. allgemeine Kategorisierung, bspw. Trojan.Backdoor gibt ;)), die ich nicht zusammenbringen konnte (weiss bspw immer noch nicht, wieviele Malware-Programme eigentlich auf der Kiste sind, nur eben, dass es richtig viele sind ;))

Aber eigentlich ist die Frage sekundär, Fakt ist ja, dass die Kiste geplättet werden muss ;)
Danke für die schnelle Antwort!

Ich denke, die unterschiedlichen Namen kommen wirklich nur von den Bezeichnungen der Firmen, was alles natürlich nicht gerade einfacher macht. :)