Virus-Thread: Backdoor.HackDefender

#0
04.07.2005, 02:45
...neu hier

Beiträge: 6
#1 Hallo,
mwav hat einen Virus gefunden:

Scan type: Auto-Protect Scan
Event: Thread Found!
Thread: Backdoor.HackDefender
File: C:\RECYCLER\S-1-5-21-73586283-790525478-839522115-1000\Dc72\viewtcp.exe
Location: C:\RECYCLER\S-1-5-21-73586283-790525478-839522115-1000\Dc72
Computer: J-7
User: Jürgen
Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
Date found: Montag, 4. Juli 2005 02:33:50

Hier die Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 02:43:35, on 04.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\TBPanel.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll
O9 - Extra 'Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D497A1D6-FC50-4710-9DC7-8F85E794AB16}: NameServer = 80.58.0.33,80.58.32.97
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINNT\System32\PSSDNSVC.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Was kann ich gegen den Virus unternehmen?

Gruß und Danke für die Hilfe
Jürgen

PS:
PS:
Bin der Symantec-Seite zum removal gefolgt, finde aber den entsprechenden Key nicht:

1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit

Then click OK. (The Registry Editor opens.)
3. Navigate to and delete the key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HackerDefenderxxx
4. Exit the Registry Editor.

Auch CWShredder oder Spybot hilft nicht.
Dieser Beitrag wurde am 04.07.2005 um 03:31 Uhr von klinsman editiert.
Seitenanfang Seitenende
04.07.2005, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@klinsman

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus

kopiere diese Sachen in DOS und dann kopiere raus, was erscheint (aber nur die letzten Tage)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

----------------------------------------------------------------------------
Info:
http://board.protecus.de/t16984-1.htm#185573
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 17:29
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina,
ich kenne mich mit DOS nicht aus und verstehe daher Deine Anweisungen nicht ganz, insbesondere, die, dass ich nur die Eintraege der letzten 40 Tage rauskopieren soll.

Wenn ich Dich richtig verstanden habe, öffne ich das Fenster 'Ausführen'>cmd.
(Es erscheint C:\Dokumente und Einstellungen\J>

Danach soll ich
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit etc. nach C:\Dokumente und Einstellungen\J> eintragen?

Gruß
Jürgen
Seitenanfang Seitenende
04.07.2005, 18:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 man muss sich nicht in der konsole auskennen, sondern nur:

cmd eingeben

schwarzes Fenster oeffnet sich

reinkopieren

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit


Editor oeffent sich von allein

alles abkopieren (d.h. ...nicht alles...nur die letzten 40 Tage...da steht ja das Datum.....) und bitte auch den pfad ganz oben angegeben, mitabkopieren... ;)

die Konsole schliessen

wieder oeffnen mit cmd

das naechste reinkopieren..........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.07.2005, 01:35
...neu hier

Themenstarter

Beiträge: 6
#5 Bei
dir /a:-d /o:-d > %systemdrive%\system32.txt wc öffnet sich leider kein Editor.

Ein Möglichkeit ist, alle Einträge abzuschreiben...

Jetzt habe ich aber www.ntsvcfg.de laufen lassen.
MWAV findet keinen Trojaner mehr.

Ist das Problem eventuell schon gelöst?

Gruß
Jürgen
Dieser Beitrag wurde am 12.07.2005 um 02:24 Uhr von klinsman editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: