Backdoor.Bot gefunden

#0
02.12.2009, 01:01
...neu hier

Beiträge: 6
#1 Hallo.

Habe heute mit Malwarebytes Anti-Malware einen kompletten Scan gemacht und das kam dabei raus:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3268
Windows 5.1.2600 Service Pack 3

02.12.2009 00:58:27
mbam-log-2009-12-02 (00-58-23).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 297136
Laufzeit: 5 hour(s), 53 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\durchsicht\durchsicht.exe (Backdoor.Bot) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\durchsicht\durchsicht.exe (Backdoor.Bot) -> No action taken.


Das Programm Durchsicht nutze ich schon länger und bisher hat mein PC auch nicht gespinnen. Der Pfad zur registry...da kenne ich mich nciht aus ob man den in quarantäne packen oder gar löschen kann!

vielleicht könnt ihr ja eher sagen "weg damit" oder "Ach falscher alarm"
Seitenanfang Seitenende
02.12.2009, 03:43
Moderator

Beiträge: 7805
#2 Virustotal koennte bei der Entscheidung hilfreich sein....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.12.2009, 14:22
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo.

Danke für die Seite, werde ich gleich mal in meine Favoriten speichern.

Es steht: Ergebnis: 0/40 (0%)

und jeweisle bei Ergebnis ein -

Also falscher Alarm?
Seitenanfang Seitenende
02.12.2009, 14:45
Moderator

Beiträge: 5694
#4 Dürfte wohl so sein ;)

Du kannst noch einige Onlinescans durchführen zur Sicherheit:
http://virus-protect.org/onlinescan.html
Seitenanfang Seitenende
02.12.2009, 15:23
...neu hier

Themenstarter

Beiträge: 6
#5 Okay, 2 andere haben auch nix gefunden. Puh dann ist ja gut. Da läuft der scan stundenlang und dann zum glück nur falscher alarm
Seitenanfang Seitenende
02.12.2009, 15:43
Moderator

Beiträge: 5694
#6 Auch das gibt es ;)

Zur Sicherheit poste noch ein HJT Logfile. Siehe dazu den Link meiner Signatur.
Seitenanfang Seitenende
02.12.2009, 16:43
...neu hier

Themenstarter

Beiträge: 6
#7 Hi.

Ja den habe ich auch schon öfter benutzt und dann auf der Seite: http://www.hijackthis.de/de ausgewertet. Bisher nichts schlimmes gefunden, ich hänge den von jetzt mal dran:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:32, on 02.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Styler\SUThemeService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Labtec\kbdap32a.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\BoD easyPrint\BoDeasyPrint_Monitor.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\HDTUNE~1\HDTune.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\FixCamera.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lexmark 3100 Series\lxbrcmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Navman\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\BoD easyPrint\BoDeasyPrint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Mozilla Firefox 3.5.2\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ECS CLOCK] C:\WINDOWS\system32\ecsclock.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] REM C:\Programme\Labtec\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\kbdap32a.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BoD easyPrint Printing Device] "C:\Programme\BoD easyPrint\BoDeasyPrint_Monitor.exe"
O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Navman\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alice DSL.lnk = ?
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Microsoft Office-Indexerstellung.lnk = C:\Programme\MS Office 95\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office-Schnellstart.lnk = C:\Programme\MS Office 95\Office\FASTBOOT.EXE
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Games\Pokerstars\PokerStarsUpdate.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA7EAECB-F4E5-4058-95AA-94A81A134EB0}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Update Service (gupdate1c9f5114d89f1b0) (gupdate1c9f5114d89f1b0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SystemUp ThemeService (srvSUThemeService) - zoneLINK - C:\Programme\Windows Styler\SUThemeService.exe
Seitenanfang Seitenende
02.12.2009, 19:19
Moderator

Beiträge: 5694
#8 Ich sehe nichts schädliches. Trotzdem mach noch folgendes:

>>
Programme deinstallieren
folgenden Programme über Systemsteuerung => Software deinstallieren.

Code

Ask Toolbar
AskBarDis
Berichte mir, falls sich ein Programm nicht deinstallieren lässt.

>>
Einträge mit HijackThis fixen

Bitte alle Anwendungen inkl. Browser schließen und folgende Einträge mit HJT fixen (falls noch vorhanden):
Starte HijackThis (bei Vista mit Rechtsklick als Adminstrator) => Do a system scan only => mache vor folgenden Zeilen einen Haken klicke und dann "Fix checked":

Code

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
Den Rechner neu starten.

>>
Noch Fragen?
Seitenanfang Seitenende
03.12.2009, 17:56
...neu hier

Themenstarter

Beiträge: 6
#9 Hi.

Also bei Software habe ich nichts davon gefunden. Aber beim Hijackthis habe ich es gefixt und pc neu gestartet.

soll ich jetzt nochmal einen vollen scan machen doer reicht der schnelle?
Seitenanfang Seitenende
03.12.2009, 20:43
Moderator

Beiträge: 5694
#10 Hast Du nichts gefunden mit ASK bei den Programmen?

Ja update Malwarebytes und mache nochmals einen Fullscan.
Seitenanfang Seitenende
03.12.2009, 22:31
...neu hier

Themenstarter

Beiträge: 6
#11 Nein dort nichts gefunden, wie gesagt dann gerfixt. Ein schneller scan hatte auch nichts gefunden. dann mal morgen gucken oib ich den vollen amche dauert ja "lange"
Seitenanfang Seitenende
14.12.2009, 20:02
Member

Beiträge: 3716
#12 wo ist der full scan?
Seitenanfang Seitenende