Info: Netsys -->Backdoor: BKDR_SERVU.D

#0
15.12.2004, 09:54
...neu hier

Beiträge: 4
#1 Wenn ich mit Spybot Search & Destroy meinen Rechner scanne wird immer wieder ein Eintrag in der Registry gefunden, der von Netsys stammt, welcher bei Spybot als Trojaner angegeben wird. Wenn ich diesen Eintrag entferne taucht er später wieder auf, dies geschieht meines Erachtens immer dann wenn ich meinen FTP-Server (Serv-u) starte. Der Eintrag lautet: Netsys:
HKEY_CLASSES_ROOT\CLSID\{7B87A1E1-481A-47A5-B58F-BB1430DCC930}
Ist dieser Registry-Eintrag ein Fehlalarm oder handelt es sich wirklich um einen Trojaner? Denn weder NAV, Ad-aware oder Hijackthis finden irgendwas?

Danke im vorraus
Dieser Beitrag wurde am 15.12.2004 um 15:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.12.2004, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Info von Pestcontrol:
HKEY_CLASSES_ROOT\CLSID\{7B87A1E1-481A-47A5-B58F-BB1430DCC930}
http://www.pestpatrol.com/pestinfo/e/eventlog.asp

Info von TrndeMicro:

Backdoor: BKDR_SERVU.D
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_SERVU.D


HijackThis/1.99 BETA Version

Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.12.2004 um 15:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.12.2004, 17:06
...neu hier

Themenstarter

Beiträge: 4
#3 hier das logfile von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 17:02:56, on 15.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Opera\opera.exe
E:\-=Downloadz=-\-=Appz=-\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15009/CTPID.cab
O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - E:\Programme\Autodesk\Inventor Professional 9\bin\HSPCLPRO10.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



weder die bei pestpatrol angegebenen dateien dtreg.exe, eventlog.exe, fport.exe, instsrv.exe, kist.exe oder support.dll ließen sich auf meinem rechner finden, nur die beiden registry-einträge waren vorhanden.
Dieser Beitrag wurde am 15.12.2004 um 17:49 Uhr von fazer11 editiert.
Seitenanfang Seitenende
16.12.2004, 11:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Arbeite das bitte ab:

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2004, 14:39
...neu hier

Themenstarter

Beiträge: 4
#5 Hi, also hab mit escan meinen rechner gescannt mit dem Ergebniss das nichts gefunden wurde, habe daraufhin trotzdem mein OS neuinstalliert und die neuste Version von Serv-U von www.rhinosoft.com geladen mit dem Ergebniss das ich wieder den Registryeintrag hab nachdem Serv-U gestartet wurde, also scheint das wohl in Ordnung zu gehn. Was bewirkt denn dieser Registryeintrag?

MfG
fazer
Seitenanfang Seitenende
19.12.2004, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@fazer11

soweit ich die Info von Trend-Micro es verstanden habe: nutzt der Backdoor jeden
FTP client

This backdoor allows a remote user to access the compromised machine using any FTP client. It uses port 43958 of the affected system.

It also enables the remote user to perform the following commands:

* Browse files and folders
* Upload and execute files
* Obtain system Information
* Create and delete files and folders
* Modify files
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_SERVU.D
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.12.2004 um 14:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.12.2004, 14:59
...neu hier

Themenstarter

Beiträge: 4
#7 Hi, also Servu-U ist ja ein FTP Server der remote administration unterstützt, vielleicht kommt es daher. habmal mit tcpview von sysinternals geschaut, und auf dem von dir genannten Port 43958 läuft der Serv-U Daemon.

edit: Problem scheinbar gelöst, ist wohl tatsächlich ne Falschmeldung von Trend Micro und SS&D: http://kb.kapper.net/index.php?num=4&f_id=4&s_id=48&q_id=269

MfG
fazer
Dieser Beitrag wurde am 19.12.2004 um 15:23 Uhr von fazer11 editiert.
Seitenanfang Seitenende
19.12.2004, 17:02
Moderator

Beiträge: 7805
#8 Nein, das ist kein Fehlalarm! Du kannst die Meldung aber ignorieren, oder die Datei von der ueberpruefung ausschliessen, wenn du Serv-u selber installiert hast. Sonst ist es als Malware der kompromitierensten Art anzusehen. Es kann jeder mit einem X-belibigen FTP-Client( sogar mit dem von Windows) auf deinm Rechner zugegriffen werden und das gemacht werden, was Sabina in ihrem Posting geschrieben hat!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende