Suspicious Backdoor

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von hexe, 02.12.2007.

  1. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Hallo,

    oje ich entwickel mich ja langsam zum Sicherheitsfanatiker. Ich habe eben ein Hijackthis-Logfile angefertigt und dort auswerten lassen.
    Dabei wurde mir gesagt, das möglicherweise die Datei msnmsgr. exe ein gefhrlicher Prozess sei da die Datei normalerweise in dem Ordner MSN Messenger liegt. Bei mir ist er in lieC/Programme/WindwosLive/msnmsgr.exe.

    Hier das Log

    Logfile of HijackThis v1.99.1
    Scan saved at 19:20:46, on 02.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
    C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
    C:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\Programme\Windows Live\Messenger\usnsvc.exe
    C:\Programme\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Susi\LOKALE~1\Temp\Rar$EX00.359\hallo.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1196079673421
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing)
    O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

    Darauf hin, habe ich die Datei bei Virustotal hochgeladen und das kam dabei raus:

    Antivirus Version Last Update Result
    AhnLab-V3 - - -
    AntiVir - - -
    Authentium - - -
    Avast - - -
    AVG - - -
    BitDefender - - -
    CAT-QuickHeal - - -
    ClamAV - - -
    DrWeb - - -
    eSafe - - -
    eTrust-Vet - - -
    Ewido - - -
    FileAdvisor - - -
    Fortinet - - -
    F-Prot - - -
    F-Secure - - -
    Ikarus - - -
    Kaspersky - - -
    McAfee - - -
    Microsoft - - -
    NOD32v2 - - -
    Norman - - -
    Panda - - -
    Prevx1 - - Heuristic: Suspicious Backdoor
    Rising - - -
    Sophos - - -
    Sunbelt - - -
    Symantec - - -
    TheHacker - - -
    VBA32 - - -
    VirusBuster - - -
    Webwasher-Gateway - - -
    Additional information
    MD5: bc00e958e96fe4041123944e0b3f5d31

    Ich hab auch gar keine Ordner MSN Messenger, hab nur Live Windows. Bitte sagt mir, dass es sich um einen Fehlalarm handelt. Hab doch erst vor ein paar Tagen Format C vorgenommen.

    Grüsse hexe
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 ReinMan, 02.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Windows Live Messenger ist was anderes als MSN Messenger ;) kein Grund zur Panik das ist in Ordnung wenn ein Programm in einem anderen Ordner läuft.

    Mach mal einen Rechtsklick auf den Messenger.exe und prüfe sie mal mit deinem Antivirenprogramm. Wenn du Kaspersky hast und er nicht anschlägt kannst du sicher sein das alles in Ordnung ist.

    C:\Programme\********* Bytes\VirtualCloneDrive\VCDDaemon.exe

    Weißt du was das für ein Programm ist ? hier werden nämlich Sterne gezeigt ich denke hierbei handelt es sich nicht um ein legales Programm ? dort wird angezeigt das es nämlich auch in einem anderen Ordner läuft
     
  4. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Hallo,

    habe die Datei mit Kaspersky überprüft, da war alles in Ordnung.

    Das Programm von dem Du sprichts, kenne ich ob es sich um eine illegale Version handelt, weiss ich ich nicht. Wurde von meinem Arbeitskollegen installiert. Würde dir auch schreiben wie die Datei bei mir heisst, aber sobald ich den Namen auschreibe, erscheinen auch hier die Sternchen. Fand ich letztes mal schon komisch.

    Ich danke dir für deine schnelle Antwort.

    Gruss hexe
     
  5. #4 ReinMan, 02.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Okay dann ist es definitiv ein Programm was nicht erlaubt ist. Denn im Forum wurden alle "illegalen" Anwendungen durch Sternchen markiert. Da kann ich dir leider nicht weiter helfen kann dir aber sagen das alles in Ordnung ist.
     
  6. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Hay ReinMan,

    ich weiss das ich hier keine Antworten zu illegalen Programmen bekomme und finde das auch gut so. Ich wusste ehrlich gesagt auch gar nicht, das was net stimmt. Da habe ich dann ja was dazugelernt.

    Da bin ich dann aber froh, das sich meine eigentliche Frage nicht darauf bezog und finde es gut von Dir, das Du mir wenigstens gesagt hast, das alles in Ordnung ist *schweissabwisch*.

    Schönen Abend noch und bestimmt bis bald *grins*

    hexe
     
  7. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
     
  8. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema:

Suspicious Backdoor

Die Seite wird geladen...

Suspicious Backdoor - Ähnliche Themen

  1. Backdoor.. ?

    Backdoor.. ?: Servus, als ich vorhin abseits des Rechners war und dann wieder ran gegangen bin prangerte eine Antivir Meldung auf, ich hätte einen Trojaner...
  2. vermutlich "backdoor"-trojaner

    vermutlich "backdoor"-trojaner: hey leute ,bin mir nicht sicher ob ich hier grade ins richtige forum poste,aber ich erhalte seit gestern von meinem Windows Defender (!) -glaube...
  3. Conime Backdoor Virus!

    Conime Backdoor Virus!: Hallo, Ich habe gerade mein PC nicht zum starten bekommen , nach 10 min kamm die CMD und irgendwas wurde gemacht , dann habe ich im taskmanager...
  4. Backdoor-Trojaner Graybird ?

    Backdoor-Trojaner Graybird ?: Servus Leute, habe eben mal meinen Rechner komplett checken lassen mit Norton Internet Security 2009.....und es wurde eine Infizierung mit dem...
  5. Trojaner Backdoor

    Trojaner Backdoor: Servus Leutz, habe mir vor einigen Tagen nen Trojaner namens: Backdoor.Win32.VB.brg eingefangen. Kann diesen durch kaspersky internet security...