Hilfe! Mit Adware und Backdoor infiziert?

#1 Hallo,

ich bräuchte mal eure Hilfe! Mein Rechner ist potentiell verseucht mit Adware und mindestens einer Backdoor, wenn man den Scannern trauen darf.

BitDefender 7.2 free hatte mir folgendes gemeldet

Zusammenfassung:

C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe=>(Instyler o)=>(Instyler Module 7) Infiziert Adware.1088

eScan AntiVirus Toolkit Utility

Fri Dec 24 20:50:53 2004 => File C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013137.exe infected by "not-a-virus:AdWare.MiniBug" Virus. Action Taken: No Action Taken.

Fri Dec 24 20:52:08 2004 => File C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe infected by "not-a-virus:AdWare.IGetNet" Virus. Action Taken: No Action Taken.

ewido security suite - Scan Report

+ Scanergebnis:
C:\Programme\MGI PhotoSuite II\System\Randomize.dll -> Backdoor.Ralpha -> Ignoriert


Ich werde gleich noch mal mit KAV 4.5 mit erweiterten Signaturen scannen.TrenMicro 11 hatte übrigens gar nichts gefunden...

Hier ist ein HijackThis Report von heute

Logfile of HijackThis v1.98.2
Scan saved at 14:49:15, on 26.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\StarOffice6.0\program\soffice.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender free edition\bdmcon.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\WINDOWS\System32\msiexec.exe
C:\Download\hjt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103752139130
O17 - HKLM\System\CCS\Services\Tcpip\..\{89B5ED60-A4EE-473E-940E-3ABA568DD3CF}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{89B5ED60-A4EE-473E-940E-3ABA568DD3CF}: NameServer = 192.168.122.252,192.168.122.253


Schon mal Danke für eure Hilfe!

Gruß
pcfreak

#2 Hallo@pcfreak

ueberpruefe: -->poste das Ergebnis
C:\Programme\MGI PhotoSuite II\System\Randomize.dll
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen (ich hab keine Ahnung, ob man auch eine dll pruefen kann...versuch es mal
http://virusscan.jotti.dhs.org/

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne noch mal mit den Virenscannern und berichte.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

erst mal Danke für Deine Mühe!

Ich habe vorhin mal mit KAV 4.5 mit aktuellsten erweiterten Signaturen gescannt.

Ergebnis


C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013137.exe/WISE0015.BIN Infiziert not-a-virus:AdWare.MiniBug <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0007 Infiziert not-a-virus:AdWare.IGetNet <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0008 Infiziert not-a-virus:AdWare.180Solutions <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/NHInstall.exe Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHUninstaller.exe Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHelper.dll Infiziert not-a-virus:AdWare.NavExcel.d <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0009/v2.0.2.cab/NHUpdater.exe Infiziert not-a-virus:AdWare.NavExcel.b <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0010/data0002 Infiziert not-a-virus:AdWare.BargainBuddy.a <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0010/data0003 Infiziert not-a-virus:AdWare.BargainBuddy.a <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0011/WISE0011.BIN Infiziert not-a-virus:AdWare.Toolbar.Exact <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0011/WISE0013.BIN Infiziert not-a-virus:AdWare.Toolbar.Exact <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0001.cab/Save.exe Infiziert not-a-virus:AdWare.SaveNow.t <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0001.cab/SaveUninst.exe Infiziert not-a-virus:AdWare.SaveNow.af <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0002.cab/Weather.exe Infiziert not-a-virus:AdWare.SaveNow.ak <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0002.cab/Uninst.exe Infiziert not-a-virus:AdWare.SaveNow.f <cd0000.0.e>
C:\System Volume Information\_restore{470DB008-1A34-44C9-9466-1303C7D31F28}\RP3\A0013182.exe/data0012/data0003.cab/Sync.exe Infiziert not-a-virus:AdWare.SaveNow.v <cd0000.0.e>

Alles Adware-Komponenten in der Systemwiederherstellung, aber keine Backdoor.

Ich habe die Randomize.dll mit Dr. Web per Online-Scanner gesannt

Ergebnis

Dr.Web ® daemon for FreeBSD, version 4.32.2 (2004-11-01)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32b
Total 63022 virus-finding records.
Randomize.dll infected with BackDoor.Ralpha

Das das was ewido gemeldet hat und weder KAV, BitDefender und TrendMicro gefunden haben...

Kann ich die Adware aus der Systemwiederherstellung problemlos löschen? Ich denke mal das die dort jetzt inaktiv sind aber bei der nächsten Systemwiederherstellung aktiv werden können...

Die Backdoor.Ralpha werde ich mit ewido löschen lassen.

Ich habe vorhin noch mal mit f-prot (DOS) gescannt. Der hat haber nichts gefunden.

Ich hoffe mal das der Rechner nach der Löschung wieder sauber ist.

Gruß
pcfreak

#4 sicherer waere es, die Systemwiederherstellung komplett zu deaktivieren., booten und dann wieder aktivieren.
__________
MfG Sabina

rund um die PC-Sicherheit