Backdoor.ciadoor - oder doch noch mehr

#1 ich hab mir ganz ganz fiese sachen eingefangen ...
Wichtige Systemfunktionen (Taskmanager, regedit, cmd, Norton AV, Systemwiederherstellung, online zugriff auf mails ...) sind deaktiviert - vom Administrator oderv aufgrund einer gruppenregel ...

Anbei ein hijack- log

Hilfe !!!

Logfile of HijackThis v1.99.1
Scan saved at 21:50:15, on 21.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\WgaTray.exe
D:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cyberlink.com.tw/registration/registration1.asp?SoftWare=POWERDVD&Version_
Num=2.55&Cd_Key=
DV22636500118872&Company=-&FName=Becher&Lang=Deu
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Vielen Dank für eure Hilfe

tom

#2 TomBecher

1.
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

2.
PC neustarten

3.
Gehe in die Registry
Start - Ausfuehren - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schlüssel löschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

-------------------------
4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Liebe Sabina,
dank deiner zahlreichen Tipps in anderen ähnlichen threads hab ich die meisten Funktionen incl. Systemwiederherstellung, cmd und regedit wiederherstellen können. Norton AV hab ich deinstalliert und mach ihn heute abend neu drauf.

Dann sende ich auch die Daten aus der datfind (ich hab gestern abend schon versucht sie an mein OP anzuhängen, da kam aber die Nachricht, der Text sei zu lang)

Vielen Dank für die Mühe


tom

#4 poste dies txt-Datei als Anhang (siehe unten) und bedenke auch, dass mich nur 3 Monate von jedem der 4 logs interessieren, die Dateien von 2001 sind nicht relevant
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Liebe Sabina, anbei die Ergebnisse von batfind:



sys.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 6460-0FAD

Verzeichnis von C:\

22.08.2006 23:01 0 sys.txt
22.08.2006 23:01 1.209 system.txt
22.08.2006 23:00 826 temp.txt
22.08.2006 23:00 826 systemtemp.txt
22.08.2006 23:00 3.085 system32.txt
22.08.2006 22:50 467.193.856 hiberfil.sys
22.08.2006 22:50 700.686.336 pagefile.sys
22.08.2006 01:50 211 boot.ini
22.08.2006 01:37 3.732 avenger.txt
21.08.2006 22:30 10.690 windows.txt
21.08.2006 22:30 1.033 c.txt
21.05.2006 13:41 2.556 TDSLCheck.txt
14.11.2005 22:48 192 TO_InstallLog.txt
31.10.2005 23:05 47.564 NTDETECT.COM
31.10.2005 23:05 251.184 ntldr
23.10.2005 21:54 309 ToCaclLg.txt
12.10.2005 16:11 0 CONFIG.SYS
12.10.2005 16:11 0 IO.SYS
12.10.2005 16:11 0 AUTOEXEC.BAT
12.10.2005 16:11 0 MSDOS.SYS
08.10.2001 10:32 4.952 bootfont.bin
21 Datei(en) 1.168.208.561 Bytes
0 Verzeichnis(se), 9.089.728.512 Bytes frei
system32.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 6460-0FAD

Verzeichnis von C:\WINDOWS\system32

22.08.2006 22:51 2.206 wpa.dbl
21.08.2006 20:28 163.328 WSOCK32.0YS
21.08.2006 01:43 1.245.769 Vdj7YJ3S12.ini
09.08.2006 12:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
12.07.2006 17:12 314.842 perfh009.dat
12.07.2006 17:12 41.170 perfc009.dat
12.07.2006 17:12 49.570 perfc007.dat
12.07.2006 17:12 320.668 perfh007.dat
12.07.2006 17:12 732.342 PerfStringBackup.INI
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 10:53 27.136 xpsp3res.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
19.05.2006 20:26 176.167 rmoc3260.dll
19.05.2006 20:26 5.632 pndx5032.dll
19.05.2006 20:26 6.656 pndx5016.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
29.04.2006 06:07 5.533.696 wmp.dll
03.04.2006 11:40 14.048 spmsg.dll
30.03.2006 22:22 1.506 lvcoinst.log
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll

2091 Datei(en) 404.781.107 Bytes
0 Verzeichnis(se), 9.089.687.552 Bytes

temp.tyt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 6460-0FAD

Verzeichnis von C:\DOKUME~1\Becher\LOKALE~1\Temp

22.08.2006 22:56 426 AcrA3AD.tmp
22.08.2006 22:56 2.048.000 AcrA3AB.tmp
22.08.2006 22:46 4.667 SYMEVENT.LOG
22.08.2006 22:46 0 CacheInfo.dnl
22.08.2006 22:40 5.965.322 Norton Internet Security 8-22-2006 22h38m25s.log
22.08.2006 22:40 35.508 symcprop.dat
22.08.2006 22:40 172 NAVLiveReg.dat
22.08.2006 22:39 4.199 LSInstall.log
22.08.2006 22:38 664 scanresults.txt
22.08.2006 22:38 1.381 prescan.log
22.08.2006 22:31 412 jusched.log
11 Datei(en) 8.060.751 Bytes
0 Verzeichnis(se), 9.089.757.184 Bytes frei

system.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 6460-0FAD

Verzeichnis von C:\WINDOWS

22.08.2006 22:51 0 0.log
22.08.2006 22:51 159 wiadebug.log
22.08.2006 22:51 50 wiaservc.log
22.08.2006 22:50 2.048 bootstat.dat
22.08.2006 22:50 63.036 WindowsUpdate.log
22.08.2006 22:50 1.300 SchedLgU.Txt
22.08.2006 22:39 1.143 LUINSTALL.LOG
22.08.2006 22:23 4.913 WgaNotify.log
22.08.2006 22:23 3.097 setupapi.log
22.08.2006 02:02 100.489 UninstallFirefox.exe
22.08.2006 02:01 4.667 mozver.dat
21.08.2006 23:55 0 Sti_Trace.log
21.08.2006 22:30 10.690 windows.txt
21.08.2006 01:05 116 NeroDigital.ini
20.08.2006 17:40 54.156 QTFont.qfn
14.08.2006 23:12 1.409 QTFont.for
22.05.2006 19:56 866 win.ini
05.04.2006 00:06 504 Leiber.USN
05.04.2006 00:05 0 PROTOCOL.INI
05.04.2006 00:05 29 us.ini

102 Datei(en) 12.626.679 Bytes
0 Verzeichnis(se), 9.089.744.896 Bytes frei

Ich hoffe, ich hab alles richtig kopiert und benannt - ich bin müde nach den zwei langen Nächten am Rechner.

Ich bin mir sicher, nur bei dieser gelegenheit einen trojaner eingefangen zu haben - es war eine willkürlich geöffnete exe.datei - ich war einfach zu schnell mit dem klicken.
Wie groß ist das risiko - muss ich wirklich alles neu aufsetzen? Auch meine Daten-Partition?

Ich hab ne Menge wichtiger Daten in einer eigenen Partition - es wäre tragisch sie nicht mehr benutzen zu können.

Danke für deine Hilfe - immerhin läuft das System jetzt wieder.

Jetzt mach ich noch einen aktuellen Check mit Norton AV und brenn schon mal meine Daten auf einen DVD ...

Schönen Abend noch

tom

#6 TomBecher

1.
Gehe in die Registry

Start-->Ausführen--> regedit
bearbeiten --> suchen

Vdj7YJ3S12.ini

loesche alles , was noch vorhanden ist.

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
Vdj7YJ3S12.ini -> loeschen


2.
avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\WSOCK32.0YS
C:\WINDOWS\system32\Vdj7YJ3S12.ini

klicke die "gruene Ampel" im Avenger
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


3.
scanne mit Counterspy, nach dem scan stelle alles auf "remove" und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Mach ich heute abend - gestern war keine Zeit mehr ...

Gruß

tom

#8 o.k. poste dann zum Schluss den scanreport vom Counterspy
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

anbei das Log von CS:

Spyware Scan Details
Start Date: 24.08.2006 23:02:50
End Date: 24.08.2006 23:26:18
Total Time: 23 mins 28 secs

Detected spyware

Backdoor.Ciadoor Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib {C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib Version 3.0
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39} Cs4
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32 C:\WINDOWS\system32\wsock32.sys
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR C:\WINDOWS\system32
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0 N


ATDMT.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\becher\cookies\becher@atdmt[1].txt

Schöne Grüße und herzlichen Dank

tom

PS: Beantwortest du meine Fragen zur Systemsicherheit noch?
;-)

Gute Nacht

tom

#10 dein Rechner ist wieder sauber, der backdoor ist geloescht,
Natuerlich bleibt immer was zurueck, also geoeffnete Ports usw...
Im moment geht es so, aber wenn du mal ans Formatieren denkst, so zoegere nicht
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Vielen, vieln Dank!
Wenn ich dir mal mit einem medizinischen Rat helfen kann, meld dich ;-)

Ich werde formatieren, aber ich denke, dass c: ausreichend ist - das restrisiko bei den dateien sollte gering sein, oder?

Nochmal danke!

tom, kurz vorm urlaub ...

#12 c:\ reicht aus, dann melde dich zurueck mit dem neuen Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Lieben Dank,

ich mach jetzt erstmal Urlaub ...

Eine schöne Zeit wünsch ich dir ;-)

tom