Backdoor, Dialer, Worm - Wer weiss Rat?

#1 Hi,


kann mir jemand damit helfen (HijackThis-Log)? Was erkennt man darin?
EScan hat ergeben

Total Virus(es) Found 334
Total Errors 85

und, dass das System mit

"Backdoor.Win32.Goweh.b"
"Backdoor.Win32.Afcore.gen"
"P2P-Worm.Win32.Tanked11"
"Trojan-Downloader.Win32.Brok"
"Trojan-Clicker.Win32.DotComToolBar.b"
"not-a-virus: Porn-Dialer.Win32.ALifeDialer"
"not-a-virus: Porn-Ware.Dialer.Generic"
"not-a-virus:AdWare.Gator.5115" (und 5017/3124/6041/6051)
"not-a-virus:AdWare.Cydoor"
"not-a-virus:AdWare.Altnet.b"

infiziert ist.

Vielen herzlichen Dank!


artemis


Logfile of HijackThis v1.99.0
Scan saved at 12:05:54, on 09.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a2\a2guard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Dokumente und Einstellungen\...\Desktop\WinRAR.exe
C:\DOKUME~1\...\LOKALE~1\Temp\Rar$EX01.553\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = x.x.x.x:x
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: msv1d0 - {B837947E-80E7-21AC-EACC-C80D34FFD17C} - C:\WINDOWS\System32\msv1d0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\System32\pc32.exe bg
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
__________
didntcha know it? revenge is one of the sweetest things, ma'boy

#2 Hi,

Bei 338 Meldungen würde ich mein XP nochmals neu installieren, Virenscanner aufspielen, XP Firewall anmachen. Dann an das Netz gehen. ALLE XP Updates installieren. Firefox anstelle Internet Explorer verwenden.

Und das wichtigste, auf seriösen Seiten fängst du dir solche Trojaner, Dialer nicht ein. Also aufpassen wo man surft.

gruß g-u-r-u

#3 Hallo,


danke für die Antwort. Firefox hab schon. Ansonsten hat das weniger etwas mit unseriösen Seiten zu tun, da ich nicht auf Dialer-Seiten surfe. Aber man kann per Backdoor Dialer/etc. auf's System und vieles andere auch.

Gerade hinter Sachen wie Backdoor steckt Absicht und ich gehe über eine Anlage ins Netz, die extra geschützt ist gegen Angriffe. Gerade auch bei Dialer/Backdoor empfiehlt sich ja die Anzeige bzw. Abgabe des PCs bei der Polizei. Backdoor = schließlich und endlich vollständiger Verlust der Privatsphäre: Zugangsdaten Provider, Passwörter private eMail, Online-Banking, Surfeverhalten aufzeichnen, alle gespeicherten Dokumente lesen/kopieren, etc. -> es sind bereits weitere dritte Personen betroffen = Hacker liest die ganzen privaten Mails und hat bereits mind. einen weiteren PC einer anderen Person gehackt.

*Dies bei extra gesicherter Anlage*. Desweiteren: Dialer können Kosten verursachen (sind schon angefallen, bei einem anderen Rechner, der ebenfalls an der Anlage hing -> ist gesichert), desweiteren können alle Daten missbräuchlich benutzt werden. Z.B. auch mit den eigenen Zugangsdaten Provider Illegales im Net treiben, etc.

Und da hier bereits Kosten angefallen sind, ist es wohl das Beste dagegen vorzugehen - Anzeige/Abgabe PC bei der Polizei.

P.S.: Weiss vielleicht doch noch einer etwas zu den "Running processes" im Log? Welches sind die Trojaner/etc. darunter??

Vielen Dank im Voraus!


artemis
__________
didntcha know it? revenge is one of the sweetest things, ma'boy

#4 Hi,

also sicher ist, dass a2guard.exe nicht zu Windows dazugehört. Weiterhin würde ich einmal C:\WINDOWS\System32\cidaemon.exe genauer anschauen. Evtl. im HiJack fixen! Davor aber erst einmal bei google danach suchen.


Dann hast du einen Proxyserver eingetragen: 216.148.244.37:80. Evtl. mal die OCX Plugins im Internet Explorer unter Extras - Internetoptionen - Programme - Addons verwalten deaktivieren. Weiterhin http://smartsearch.ws/?q= löschen mit HiJack. Genauso wie O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\System32\pc32.exe bg
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Danach solltest du dir evtl. http://www.javacoolsoftware.com/spywareblaster.html zur Sicherheit installieren. Weiterhin das Microsoft Anti Spyware Tool. www.microsoft.com/athome/ security/spyware/software/default.mspx

gruß g-u-r-u

#5 Zum Thema "gesicherte Anlage" ....

es gibt keine 100%ige Sicherheit im Internet!

Keine noch so gute "Anlage" (was auch immer du darunter verstehst ... und da laut deiner Aussage bereits ein anderer Rechner befallen war, kann es mit dieser Sicherheit nicht weit her sein oder?) kann gesunden Menschenverstand ersetzen. Umsichtiges surfen, einspielen aller Patches, nicht mit Admin-Rechten im Internet sein ... etc.

Dialer: in Deutschland ist es möglich von Dialern entstandene Kosten bzw. Rechnungen nicht zu zahlen, da es illegal ist. Müsste mich schwer täuschen, wenn nicht.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#6 Hi,

danke für die antworten: Malkesh, ja, natürlich, aber, soweit ich weiss - es ist strafbar, zu versuchen, in gesicherte Anlagen mit Firewall, etc. einzudringen. Das hat ja nichts mit umsichtigem Surfen zu tun, sondern mit absichtlichem Hacken (s. Backdoor!!) einer Anlage mit Schutz gegen genau solche Angriffe - und das ist strafbar.

Natürlich war bereits ein anderer Rechner (an derselben Anlage) infiziert, denn wenn die Anlage überwunden worden ist, dann is es ja ein leichtes, auch noch die Desktop-Firewalls zu knacken. Eine andere betroffene Person, die nie an dieser Anlage hing, hatte dann auch gleich den Hacker - da reicht wohl IP-Nummer (-> eMails) und einen Port-Scanner...

g-u-r-u,
also ich hab mir das mal angschaut. "cidaemon.exe (Process Name: Microsoft Indexing Service) is an indexing service which catalogues files on your computer to enable for faster file searches."
a2guard ist wahrscheinlich vom A-Squared Anti-Trojan/Anti-Worm Programm...
http://smartsearch.ws/?q= ist der Mist, der IE infiziert hat, aber nicht Backdoor

Sagen die anderen Prozesse etwas aus oder sind das normale Windows-Prozesse? Wird den eScan/HijackThis überhaupt korrekt ausgeführt, wenn das System wie oben infiziert ist?


artemis
__________
didntcha know it? revenge is one of the sweetest things, ma'boy

#7 Natürlich ist es strafbar, worauf ich hinaus wollte ist jedoch das man sich nur wegen Sicherheitsvorkehrungen und der Tatsache das es strafbar ist nicht in Sicherheit wiegen darf.

Das Ziel sollte wohl sein Infektionen von vornherein zu vermeiden, oder? Und zur Prävention ist gesunder Menschenverstand immer noch eines der effektivsten Mittel.

Außerdem sind sehr viele Backdoors Bestandteil anderer Malware die sich ohne einen "Hacker" verbreitet (z.B. in Trojanern, E-Mail-Würmern ...). Sicher ist die Malware von jemandem in Umlauf gebracht worden und ich nehme niemanden in Schutz. Ich möchte nur darauf hinweisen, dass hinter solchen Fällen fast nie ein Hacker sitzt und sich direkt die Mühe macht speziell in dieses eine System bzw. Netzwerk einzudringen, sondern das ganze mehr so abläuft: wer sich die Malware mit dem Backdoor einfängt, den hats eben erwischt.

Die rechtliche Situation ist auf diesem Gebiet leider katastrophal. Strafbar ja, aber de fakto werden nur sehr wenige Leute welche die Viren/Backdoors/etc in Umlauf setzen auch gefasst. Eben durch dieses Schneeballsystem durch welches Rechner infiziert werden, welche weitere Rechner infizieren ist es beinah ein Ding der Unmöglichkeit die tatsächliche Herkunft zu ermitteln.

Letztlich ist dies hier aber meiner Meinung nach nicht der Ort um sich auf eine solche Grundsatzdiskussion einzulassen, weswegen ich mich von diesem Thema auch zurückziehen werde.

Mein abschließender Rat wäre jedenfalls die infizierten Rechner neu aufzusetzen, Passwörter usw zu ändern und sich näher damit zu beschäftigen was man zur Prävention alles tun kann.

Meiner Meinung nach eine sehr gute Anleitung (auch mit weiter führenden Links) dies umzusetzen:
http://www.trojaner-board.de/showthread.php?t=12154
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#8 Hi,


es geht hier konkret um's Hacken! Ich finde Ratschläge wie 'Surf nicht auf unseriösen Seiten etc., nur daher kommen Deine trojaner/etc., Prävention ist alles' eher im Bereich der Grundsatzdiskussionen angesiedelt -treffen hier auch nicht zu, *da die Rechner durch die Anlage extra gegen genau Derartiges gesichert sind, also die Schutzmaßnahmen sind garantiert nicht vernachlässigt worden*- und als pauschalisierende Aussagen nach dem Muster "blame the victim" zu verstehen.

Wenn jem. auf Dialer-Seiten surft - selbst schuld.
Ganz anders sieht es aus, wenn jem. absichtlich und gezielt eines anderen Privatsphäre vollständig raubt und sich dazu eben illegaler Maßnahmen bedient, um anderer Leute Rechner und Leben auszuschnüffeln.

Ich habe egtl. anhand meines Logs gefragt - running processes, etc. - recht speziell, nicht allgemein. Auch verhält es sich in diesem Fall anders (Backdoor), d.h. es ist tatsächlich gezielt unternommen worden, in diese Anlage einzudringen -die ID des Hackers ist bekannt; Ziel & Zweck seiner Aktivitäten auch-, das ist von der anlage angezeigt worden.

Im allgemeinen gilt aber das, Malkesh, was du gesagt hast, Prävention ist alles - hier im speziellen jedoch gilt es anders vorzugehen; und daher würde ich mich freuen, wenn mir jem., der Erfahrung damit hat (Vollsicherung, Anzeige) mir Tipps für's beste Vorgehen geben könnte. Danke und einen schönen Abend!


artemis
__________
didntcha know it? revenge is one of the sweetest things, ma'boy