Kann Backdoor mswincom32.exe nicht entfernen

#0
04.09.2006, 17:39
...neu hier

Beiträge: 5
#1 Hi NG.

Ich versuche heute bereits den ganzen Tag einen Kiste per Remotezugriff (pcanywhere) Viren-Wurm-und-Spyware-frei zu kriegen. Inzwischen scheint nur noch das Backdoor-Programm mswincom32.exe übrig geblieben zu sein. Das ist aber so clever, dass es Hijackthis und Norton Antivirus sofort beendet und ich mit diesen Tools keine Möglichkeit habe, es zu entfernen.

Ich weiß inzwschen nicht mehr weiter. Ich versuche gerade mit Eraser die Datei mswincom32.exe zu löschen, aber das scheint auch nicht zu klappen.
Ad-Aware scheint das Programm auch nicht zu erkennen.

Kann mir jemand weiterhelfen?

+++++++++++++
Ich habe jetzt mal online die Datei über http://virusscan.jotti.org/ scannen lassen und das ist dabei herausgekommen.

Zitat

AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found DeepScan:Generic.Sdbot.4800DDCF
ClamAV
Found nothing
Dr.Web
Found DLOADER.IRC.PWS.Trojan (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found Trojan-Dropper.Microjoin.2 (probable variant)
Leider hilft mir das so auch nicht weiter, da die vier erkennenden Scanner auf ihrer Webseite auch nicht mehr über das Entfernen dieses Programmes verraten.

Das größte Problem, dass ich rund 400km von dem Rechner entfernt sitze und nicht mal auf die Schnelle eine CD reinwerfen kann, um die Datei zu löschen.

So, ich habe jetzt die Datei in gezipter Form angehängt.

Außerdem habe ich festgestellt, dass dieses Backdoor-Programm eine Verbindung zum Internet aufbaut und dann diverse Programme (Command, Network Monitor, Search Bar, Toolbar888) runterlädt, aber diese lassen sich recht einfach über Systemsteuerung-Software und mit Hilfe von AdAware wieder entfernen. (Ich hoffe es zumindest, da ich diese bereits heute einmal entfernt habe.)


Gruß
Peter[/url]
Dieser Beitrag wurde am 04.09.2006 um 19:13 Uhr von passt editiert.
Seitenanfang Seitenende
05.09.2006, 10:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2

Zitat

So, ich habe jetzt die Datei in gezipter Form angehängt.
warum postest du den backdoor als Anhang, darf man das erfahren ? Vielleicht damit die anderen, die draufklicken sich auch am Backdoor erfreuen duerfen ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 10:50
...neu hier

Themenstarter

Beiträge: 5
#3 Ich habe das Backdoor-Programm gepostet, damit es vielleicht jemand identifiziert und eine Möglichkeit kennt, es zu entfernen.
Ich gehe mal davon aus, dass die Leute, die hier verkehren, sich mit der Thematik halbwegs auskennen und nicht gleich jede Datei öffnen/ausführen. Das entpacken der Zip-Datei führt ja nicht direkt zu einer Infizierung.

Nebenbei bemerkt habe ich gerade diese Seite http://www.virustotal.com/ gefunden, die eine größere Auswahl an Scanner als Jotti hat. Dort ist das Backdoor-Programm von Symantec als W32.Spybot.Worm identifiziert worden. Ich hoffe, dass ich es mit deren Anleitung entfernen kann.
Seitenanfang Seitenende
05.09.2006, 13:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 na fein, sich infizieren...hab ich gemacht... war wohl etwas muede gestern nacht ;) und habe es auch wegbekommen - musste ich, denn ich bin nicht mehr ins net gekoemmen, heute frueh, aber da ich ja mein ganzes Arsenal an Tools auf dem Rechner habe- war es kein Problem....
ich habe auch einen Entfernung-Weg erstellt, allerdings bin ich nicht mehr an alle Logs rangekommen, weil sich einige ueberschrieben haben und damit verloren sind.

uebrigens, ICH habe es geladen - kein Problem - aber du darfst nicht in ein oeffentliches Forum einen Backdoor stellen, denn wer garantiert dir, dass nicht auch andere draufklicken ??
Fuer so etwas gibt es PMs.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 13:52
...neu hier

Themenstarter

Beiträge: 5
#5 Ich habe nicht "infizieren" sondern "identifizieren" geschrieben.
Vielleicht hat ja jemand ein Tool auf seinem Rechner, welches die Datei "identifiziert".
Seitenanfang Seitenende
05.09.2006, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ein Tool ? nein, ein Tool gibt es nicht, aber ich kenne nun die Routine vom Backdoor ;)

1.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 17:37
...neu hier

Themenstarter

Beiträge: 5
#7 Inzwischen habe ich es geschafft die Datei mswincom32.exe zu entfernen und alle Registry-Einträge zu löschen. Leider läuft aber Hijackthis nciht mehr. Es stürtzt beim Scan immer wieder ab.
Seitenanfang Seitenende
05.09.2006, 17:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es sind noch Dienste mit dabei, auch Programme.... deshalb poste die ServiceFilter
es ist nie nur eine exe...........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 18:02
...neu hier

Themenstarter

Beiträge: 5
#9 Okai, das hat ServiceFilter gefunden.

Zitat

ServiceFilter 1.1
by rand1038

Microsoft Windows 2000 Professional
Version: 5.0.2195 Service Pack 4
Sep 5, 2006 18:48:01


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AClient
Display Name: Altiris Client-Dienst
Start Mode: Auto
Start Name: LocalSystem
Description: Altiris ...
Service Type: Own Process
Path: c:\compaq\aclient\aclient.exe -service
State: Running
Process ID: 580
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #2
Service Name: awhost32
Display Name: pcAnywhere Host Service
Start Mode: Auto
Start Name: LocalSystem
Description: pcAnywhere Host ...
Service Type: Own Process
Path: c:\programme\symantec\pcanywhere\awhost32.exe
State: Running
Process ID: 596
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: DefWatch
Display Name: DefWatch
Start Mode: Auto
Start Name: LocalSystem
Description: DefWatch...
Service Type: Own Process
Path: c:\programme\navnt\defwatch.exe
State: Running
Process ID: 620
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: de_serv
Display Name: AVM FRITZ!web Routing Service
Start Mode: Manual
Start Name: LocalSystem
Description: AVM FRITZ!web Routing ...
Service Type: Own Process
Path: c:\programme\fritz!\de_serv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: MSSQLServer
Display Name: MSSQLServer
Start Mode: Disabled
Start Name: LocalSystem
Description: MSSQLServer...
Service Type: Own Process
Path: c:\mssql7\binn\sqlservr.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: Network Monitor
Display Name: Network Monitor
Start Mode: Auto
Start Name: LocalSystem
Description: Network ...
Service Type: Own Process
Path: c:\programme\network monitor\netmon.exe service
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #7
Service Name: Norton AntiVirus Server
Display Name: Norton AntiVirus Client
Start Mode: Auto
Start Name: LocalSystem
Description: Norton AntiVirus ...
Service Type: Own Process
Path: c:\programme\navnt\rtvscan.exe
State: Running
Process ID: 804
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 8
Service Name: PsShutdownSvc
Display Name: PsShutdown
Start Mode: Manual
Start Name: LocalSystem
Description: PsShutdown...
Service Type: Own Process
Path: c:\winnt\system32\pssdnsvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: SCardClnt
Display Name: Smart Card Client
Start Mode: Disabled
Start Name: LocalSystem
Description: Smart Card ...
Service Type: Own Process
Path: c:\winnt\system32\scardclnt.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: Sound Service
Display Name: Sound Sservice Driver
Start Mode: Auto
Start Name: LocalSystem
Description: Sound Sservice ...
Service Type: Own Process
Path: c:\winnt\system32\cfmon.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: SQLServerAgent
Display Name: SQLServerAgent
Start Mode: Auto
Start Name: LocalSystem
Description: SQLServerAgent...
Service Type: Own Process
Path: c:\mssql7\binn\sqlagent.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1068
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 71 Win32 services on this machine.
11 were unrecognized.

Script Execution Time: 1,875 seconds.
Ein paar Bemerkungen hierzu:
MSCommand habe ich bereits in der Registry als Service-Eintrag entfernt und sollte nach einem Neustart nicht mehr auftauchen.
Network Monitor existiert ebensowenig noch. Den habe ich bereits gestern mit AdAware entfernt.
Warum PsShutdownSvc dort eingetragen ist, weiß ich nicht. Es handelt sich eigentlich um ein Programm von www.sysinternals.com, mit dem man ein Windowssystem remote runterfahren kann. Ich habe zur Sicherheit die Datei mal umbenannt.
Eigentlich klingt aber alles plausibel ;) Ich hoffe mal, dass es das war.
Dieser Beitrag wurde am 05.09.2006 um 18:47 Uhr von passt editiert.
Seitenanfang Seitenende
05.09.2006, 22:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetControl2Server
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONTROL2SERVER\0000
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor

Files to delete:
C:\WINDOWS\System32\dllcache\mswincom32.exe
c:\program files\net control 2\netserv.exe
c:\programme\net control 2\netserv.exe
C:\WINDOWS\system32\drivers\netpt.sys
C:\WINDOWS\uninstall_nmon.vbs
C:\Programme\Network Monitor\netmon.exe
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende