shangxing BackDoor - S.O.S

Hi,

also führen wir mal eine Virencheck Routine durch.

Als erstes Systemwiederherstellung deaktivieren.
Lade dir CCcleaner herunter und bereinige damit dein System. Aber unter Erweitert nichts anklicken.

Jetzt update deinen AVK. Hast du die 2006er oder 2007er Version? Unbedingt mit beiden Engines scannen. Scanne deinen Computer nun von der AVK CD oder bastle dir eine eigene mit neuesten Virendefinitionen.

Du kannst auch mal einen Online Scan auf der F-Secure Homepage machen .
Bitte das Logfile hier posten.

Lad dir mal TCP View runter, schicke uns damit einen Bericht.

Wenn wir aber so nicht an den Trojaner rankommen, werden wir wohl leider neu aufsetzen müssen , da fast gar nichts über den Trojaner bekannt ist. 

Ciao Sir Mannor

Hi,

vielen Dank für diesen ausführlichen Lösungsansatz. Ich hatte Nachtdienst und konnte leider noch nicht eher darauf reagieren, werde aber ab jetzt das ganze von dir vorgeschlagene Programm durchspielen.

Da ich die GData-Version von 2007 nutze, kann der Scan aber wohl eine Ewigkeit dauern. Daher denke ich nicht vor 16:00 Uhr ein Ergebnis hier posten zu können. Übrigens hatte ich gestern Morgen noch einen Scan hiermit durchgeführt, der auf jeden Fall auch die Bereiche, wo der Trojaner via "eScan" gefunden wurde, umfasste. Offenbar ist Gdata dieses Ding nicht bekannt - auch im Virenlexikon keine Infos hierzu verfügbar. Die Virenprüfung erfolgt mit beiden Engnines, und das Outbreakshield ist aktiviert.

Bis später,
Herm

Hallo,

grundsätzlich ist auch zu beachten dass man Virenchecks am Besten immer im Abgesicherten Modus macht oder von Boot Cd.

Hey ,

sie dir mal das an: http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-030516-4150-99&tabid=2

Oh, many thanks Sir Mannor .

Risk level - very low! Genial Dein Link zu Symantec; hätte ich auch mal drauf kommen können.

Also ich habe jetzt meine Platte mit einer "frischen" Boot-CD von GData durchforsten lassen, und keinen Virenfund gemeldet bekommen. Übrigens hat dieser Prozess satte 2h40´ gedauert - dieses Programm ist sooooo lahm!!!! By the way - hast Du eine Idee, wie man mit GData sicher und trotzdem mit ausreichend Performance arbeiten kann? Beide Engines beim AVK einschalten und Outbreakshield aktiv ist ja unabdingbar. Aber dieser Scanner ist ein solcher Ressourcenfresser. Beim Start vom Mozilla Firefox oder Thunderbird ist es besonders schlimm. Das Abrufen von E-Mails dauert ewig, obwohl ich schon die E-Mail-Überwachung in GData ausgeschaltet habe. An den E-Mails sollte eigentlich jetzt nur noch der Spam-Filter werkeln. Und dafür braucht dieses GData dann stellenweise 100% CPU-Leistung. Ich arbeite übrigens mit einem AMD-Sempron 2600+ und 512 MB-Ram, und kann die dollsten Programme auf meinem Rechner ohne Probleme und auch parallel laufen lassen. Früher mit Antivir von Avira und der Kerio-Firewall kannte ich auch aus dem Bereich der Software keine Performanceprobleme. Aber jetzt mit GData gerät das System regelmässig an die Leistungsgrenze. Vielleicht hast Du ja noch einen heissen Tip für mich?! Übrigens habe ich schon den Startpfad für u. a. den Browser wie folgt erweitert: "C:\Programme\Mozilla Firefox\firefox.exe" /prefetch:1
Hilft leider nur auch marginal.

Noch mal zurück zu diesem Trojaner. GData hat also auch in diesem Scan den shangxing nicht erkannt. Laut Symantec ist der auch eher ungefährlich. Auch via Hijackthis keine bedenklichen Einträge entdeckt. Ich werde jetzt den von Dir empfohlenen Onlinescan bei Symantec noch durchführen. Sollte ich auch mit diesem Mittel das Teilchen nicht packen können, werde ich den vorerst so belassen. Meinst Du ich kann damit aus (natürlich) sicherheitspolitischen Aspekten mit leben??? Habe nämlich wenig Lust, wieder das Theater mit Neuaufsetzen des Systems durchzumachen.

Erst im November war ich zu diesem Radikalen Schritt gezwungen. Auch bei diesem Problem hattest u. a. Du mir schon da geholfen. Echt tolle Sache, wenn man auf so engagierte Leute trifft, die uneingenützig ihr Fachwissen vermitteln. Vielen, vielen Dank nochmals!

Beste Grüße
Herm

Bericht von TCP-View:

[System Process]:0   TCP   volkswirt:1400   h-213.61.112.151.host.de.colt.net:http   TIME_WAIT   
[System Process]:0   TCP   volkswirt:1405   38.96.134.245:http   TIME_WAIT   
[System Process]:0   TCP   volkswirt:1425   62.32.97.13:http   TIME_WAIT   
alg.exe:2180   TCP   volkswirt:1025   volkswirt:0   LISTENING   
AVKProxy.exe:2028   TCP   volkswirt:32321   volkswirt:0   LISTENING   
firefox.exe:1436   TCP   volkswirt:1074   localhost:1075   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1075   localhost:1074   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1076   localhost:1077   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1077   localhost:1076   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1317   fk-in-f165.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1318   fk-in-f165.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1354   bu-in-f147.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1381   lm-in-f99.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1384   mu-in-f104.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1385   mu-in-f99.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1391   64.154.82.6:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1412   212.23.33.40:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1415   h-213.61.6.132.host.de.colt.net:ftp   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1443   localhost:25501   SYN_SENT   
lsass.exe:796   UDP   volkswirt:isakmp   *:*      
lsass.exe:796   UDP   volkswirt:4500   *:*      
svchost.exe:1008   TCP   volkswirt:epmap   volkswirt:0   LISTENING   
svchost.exe:1060   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
svchost.exe:1060   UDP   volkswirt:ntp   *:*      
svchost.exe:1060   UDP   volkswirt:ntp   *:*      
svchost.exe:1060   UDP   volkswirt:netbios-ns   *:*      
svchost.exe:1060   UDP   volkswirt:netbios-dgm   *:*      
svchost.exe:1060   UDP   volkswirt:ntp   *:*      
svchost.exe:1060   UDP   volkswirt:bootpc   *:*      
svchost.exe:1124   UDP   volkswirt:1064   *:*      
svchost.exe:1124   UDP   volkswirt:1055   *:*      
svchost.exe:1124   UDP   volkswirt:1063   *:*      
svchost.exe:1124   UDP   volkswirt:1038   *:*      
svchost.exe:1124   UDP   volkswirt:1065   *:*      
svchost.exe:1196   UDP   volkswirt:1900   *:*      
svchost.exe:1196   UDP   volkswirt:1900   *:*      
svchost.exe:1196   UDP   volkswirt:1900   *:*      
System:4   TCP   volkswirt:microsoft-ds   volkswirt:0   LISTENING   
System:4   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
System:4   UDP   volkswirt:microsoft-ds   *:*      
System:4   UDP   volkswirt:netbios-dgm   *:*      
System:4   UDP   volkswirt:netbios-ns   *:*      
 

Der Onlinescan mit F-Secure hat keinen Virenfund ergeben! Hmm.. wie kommt Symantec überhaupt zu der Einstufung "Low Risk"? Bezieht sich dieses Risk-Ranking auf die Gefahr einer Infezierung, oder auf die Risiken einer Infezierung? So, ich gehe jetzt wieder zum Nachtdienst, und werde morgen Nachmittag wieder hier reinschauen.

Ciao
Herm

Hi,

also: Du solltest jetzt unbedingt diese Regestry Keys LÖSCHEN!(Start-Ausführen-regedit-und dann zum jeweiligen Verzeichnis navigieren)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP

Also in dem TCP-View Bericht ist mir jetzt nichts unbedingt  gefährliches aufgefallen. Aber du solltest in deiner Firewall vom AVK 2007 den Port 8181 schließen.(Mit einer Regel)

Kannst zur letzten Absicherung solltest du deinen Computer mit dem Online Scan von Symantec überprüfen.

Zu deiner Frage : 

Meinst Du ich kann damit aus (natürlich) sicherheitspolitischen Aspekten mit leben???

Du solltest wissen dass nach einem Backdoor Trojaner volle 100% nur mit Neuaufsetzen gewährleistet sind.
Vor allem weil wir diese Malware Dateien nicht gefunden haben    ... Obwohl in der Beschreibung steht dass der "Damage Level" gering ist.

Ich weiß ja nicht wie die Einstellugnen deiner Suite sind aber kannst sie ja einfach auf Normale Leistung stellen, dann sollte dein System nicht so belastet werden.
Ich habe auch einen Pc der mit AVK 2007 bestückt ist, habe aber keine Probleme damit...

Ciao Sir Mannor





 

So, jetzt habe ich da tatsächlich eine Datei gefunden, die ich lt. der Vireninfo von Symantec für die Ablage des Trojaners genutzt wird. Und zwar:
%CommonProgramFiles%\Microsoft Shared\MSInfo\rejoice42.exe

Eine ActiveX-Steuerelement mit Namen "ieinfo5.ocx" (92 kb) im Ordner MSInfo lässt sich nicht entfernen. Nach dem Shreddern verschwindet das Symbol für eine Sekunde, und hat sich dann aber schon wieder reproduziert.

Die zweite Datei, auf die Symantec hinweist (%System%\SVKP.sys), konnte ich noch nicht finden. Wohl aber im Ordner System 32 die Datei SVKP. Gehört diese denn dann wieder wirklich zum System?

Zu der Registry:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP
Diese Einträge konnte ich finden, und sind gelöscht worden.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice
nicht auffindbar. Vielmehr existiert dem Pfad folgend kein Eintrag "Services\Windows".

Zusätzlich gibt es bei mir noch diesen Eintrag:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP
Soll ich diesen löschen?

Noch ein TCP-View von heute. Würde mich freuen, wenn Du noch mal Dein geschultes Auge darüber scannen lassen könntest. Vielen Dank schon im Voraus.

Ciao Herm

alg.exe:2188   TCP   volkswirt:1025   volkswirt:0   LISTENING   
AVKProxy.exe:196   TCP   volkswirt:32321   volkswirt:0   LISTENING   
firefox.exe:3996   TCP   volkswirt:1075   localhost:1076   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1076   localhost:1075   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1079   localhost:1080   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1080   localhost:1079   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1402   localhost:25501   SYN_SENT   
lsass.exe:652   UDP   volkswirt:isakmp   *:*      
lsass.exe:652   UDP   volkswirt:4500   *:*      
svchost.exe:1004   UDP   volkswirt:1085   *:*      
svchost.exe:1004   UDP   volkswirt:1047   *:*      
svchost.exe:1004   UDP   volkswirt:1046   *:*      
svchost.exe:1004   UDP   volkswirt:1045   *:*      
svchost.exe:1004   UDP   volkswirt:1044   *:*      
svchost.exe:1004   UDP   volkswirt:1048   *:*      
svchost.exe:1044   UDP   volkswirt:1900   *:*      
svchost.exe:1044   UDP   volkswirt:1900   *:*      
svchost.exe:1044   UDP   volkswirt:1900   *:*      
svchost.exe:892   TCP   volkswirt:epmap   volkswirt:0   LISTENING   
svchost.exe:940   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:netbios-ns   *:*      
svchost.exe:940   UDP   volkswirt:netbios-dgm   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
System:4   TCP   volkswirt:microsoft-ds   volkswirt:0   LISTENING   
System:4   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
System:4   UDP   volkswirt:microsoft-ds   *:*      
System:4   UDP   volkswirt:netbios-dgm   *:*      
System:4   UDP   volkswirt:netbios-ns   *:*      
thunderbird.exe:2784   TCP   volkswirt:1053   localhost:1054   ESTABLISHED   
thunderbird.exe:2784   TCP   volkswirt:1054   localhost:1053   ESTABLISHED   
 

Zu den Regelsätzen: Ich finde keinen Port 8181???
Kann es denn auch die Nummer 81 sein - bzw., wie ist denn die Bezeichnung für den Port? Danke!

Hast du meinen Rat jetzt befolgt und mit dem Online Scanner von Symantec deinen Computer untersucht? !!

Hast du auch die Systemwiederherstellung deaktiviert?
Also jetzt mal Tacheles... Lade dir SpyBot Search and Destroy runter und scanne deinen Computer im Abgesicherten Modus. (F8 beim Starten)
AVK updaten und nochmal drüber.

Eine neue Regel erstellen: Geh zu Firewall dann zu Regelsätze und rechts steht dann Assistent. Den anklicken und den Port 8181 blockieren. Alle Verbindungen bitte.

Wenn das alles jetzt nichts bringt setzte dein System neu auf, ist alles viel zu aufwendig.

Sir Mannor

Ich verfolge ganz aufmerksam, welche Schritte Du mir zur Schädlingsbekämpfung vorgibts, und habe alle Schritte ausgeführt - allerdings Onlinescan bisher nur mit F-Secure, nicht Symantec. Den mache ich dann jetzt!

Systemwiederherstellung ist deaktiviert. AVK ständig upgedadet und Scan erfolgt (inkl. aller Archive, u.s.w.) Wie gesagt den Symantec-Scan fahre ich dann jetzt noch.

Port 8181 finde ich nicht in der Auswahlliste der Ports, die zu blockieren sind!!!

BG
Herm

So, endlich mal eine klare Aussage - und zwar, von Spybot. Scan im abgesicherten Modus nach Updates durchgeführt. Ergebnis:

"Congratulations - no immediate threats werde found!"

Ok, nun noch Symantec!

Ergebnis Online-Virenscan via Symantec.

Virenstatus: Sicher!
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.
 Virenstatus: Infiziert!
Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert. Virenstatus:
 
 
 
  51958 Dateien geprüft 0 infizierte Datei(en) auf Ihren Laufwerken.

   
  Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.  Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein.  Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch.
 

Es wurden keine Viren im Arbeitsspeicher gefunden.

Die Prüfung wurde vorzeitig abgebrochen. Um die Prüfung erneut zu starten, klicken Sie hier.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.  Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein.  Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 
Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.

Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.
 
Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 
Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Hinweis: Die Prüfung wurde abgebrochen, bevor sie abgeschlossen war. Es können sich weitere infizierte Dateien auf diesem Computer befinden.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 

Es wurde keine Prüfung durchgeführt. Um die Virenerkennung zu starten, klicken Sie hier.

_________________________________________________________

Dann werde ich mal den Online-Scanner erneut starten. Bohr wie depremierend die ganze Geschichte!

 
 
 

Das verstehe ich jetzt gar nicht. Nachdem die Virenprüfung abgeschlossen war, bekam ich als Ergebnis eigentlich einen Kurzbericht dieser Art: "Es wurden keine Viren im Arbeitsspeicher gefunden." Definitiv steht in dem Fenster auf nicht der Text, den ich in dieses Forum reinkopiert habe.

So habe ich den Text im Symantec-Fenster markiert - halt 3 o. 4. Zeilen, und dann hier eingefügt. Und auf einmal steht da wie folgt (s. auch den vorherigen Thread): 

"Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.

Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.
 
Es wurden keine Viren im Arbeitsspeicher gefunden. ??? "
------------------------

Habe den Test noch mal wiederholt - wieder kein Hinweis oder Button, der den Text preisgibt. Erst nach dem beschriebenen Kopiervorgang taucht dieser lange Text auf. Was ist davon nun wieder zu halten????

Ich weiss, ich bin anstrengend. Aber es ergeben sich halt leider diese Unklarheiten, die ich ohne Hilfe nicht zu durchdringen weiss. Danke!

Ciao
Herm




 
 

Hallo,
Bringt netstat -ano etwas zusammen mit tasklist /M etwas mehr Aufschluss über die Quelle der Verbindungsversuche?
Wurde ein Rootkitscanner eingesetzt (z.B. Blacklight oder Gmer)?
Auch ein Hijackthis-logfile würde unter Umständen helfen...
Aber vor dem Durchlauf die Exe umbenennen...Hijackthis macht in letzter Zeit viele Fehler....
Aus deinem TCP.View geht klar hervor,das ein Backdoor am Lauschen ist....
Ich würde ein Neuaufsetzen in Betracht ziehen,bzw.sofort damit beginnen.....
Sir Reklov

Hallo,
Bringt netstat -ano etwas zusammen mit tasklist /M etwas mehr Aufschluss über die Quelle der Verbindungsversuche?
Wurde ein Rootkitscanner eingesetzt (z.B. Blacklight oder Gmer)?
Auch ein Hijackthis-logfile würde unter Umständen helfen...
Aber vor dem Durchlauf die Exe umbenennen...Hijackthis macht in letzter Zeit viele Fehler....
Aus deinem TCP.View geht klar hervor,das ein Backdoor am Lauschen ist....
Ich würde ein Neuaufsetzen in Betracht ziehen,bzw.sofort damit beginnen.....
Sir Reklov

Also das dieser Shangxing Verbindungsversuche startet, ist mir völlig neu. Wo erliest Du diese Info?

Also laut dem von Dir empfohlenen Blacklight-Scan ist mein System sauber. Auch AdAware und Spybot Search&Destroy, sowie der Virenscan von Symantec und meinem AVK von GData haben Alarm geschlagen.

Nun, wenn Du bitte so nett sein könntest, und Dir meinen aktuellen TCP-View anschauen kannst, und mir sagst, wie der Prozess heisst, den der Backdoor-Trojaner (wenn er noch da ist) auslöst? Auch ein akuelles Logfile via Hijackthis hätte ich da noch zu Deiner Orienierung. Wäre echt sehr nett, wenn Du noch mal rüberschauen könntest. Danke!

A) TCP-View:
alg.exe:2100   TCP   volkswirt:1025   volkswirt:0   LISTENING   
AVKProxy.exe:404   TCP   volkswirt:32321   volkswirt:0   LISTENING   
firefox.exe:2152   TCP   volkswirt:1079   localhost:1080   ESTABLISHED   
firefox.exe:2152   TCP   volkswirt:1080   localhost:1079   ESTABLISHED   
firefox.exe:2152   TCP   volkswirt:1081   localhost:1082   ESTABLISHED   
firefox.exe:2152   TCP   volkswirt:1082   localhost:1081   ESTABLISHED   
firefox.exe:2152   TCP   volkswirt:1477   mu-in-f164.google.com:http   ESTABLISHED   
firefox.exe:2152   TCP   volkswirt:1478   mu-in-f164.google.com:http   ESTABLISHED   
firefox.exe:2152   TCP   volkswirt:1480   mg-in-f147.google.com:http   ESTABLISHED   
firefox.exe:2152   TCP   volkswirt:1649   localhost:25501   SYN_SENT   
jusched.exe:552   TCP   volkswirt:1110   72.5.124.55:http   CLOSE_WAIT   
jusched.exe:552   TCP   volkswirt:1114   195.145.9.159:http   CLOSE_WAIT   
lsass.exe:652   UDP   volkswirt:isakmp   *:*      
lsass.exe:652   UDP   volkswirt:4500   *:*      
svchost.exe:1004   UDP   volkswirt:1093   *:*      
svchost.exe:1004   UDP   volkswirt:1062   *:*      
svchost.exe:1004   UDP   volkswirt:1061   *:*      
svchost.exe:1004   UDP   volkswirt:1064   *:*      
svchost.exe:1004   UDP   volkswirt:1095   *:*      
svchost.exe:1116   UDP   volkswirt:1900   *:*      
svchost.exe:1116   UDP   volkswirt:1900   *:*      
svchost.exe:1116   UDP   volkswirt:1900   *:*      
svchost.exe:884   TCP   volkswirt:epmap   volkswirt:0   LISTENING   
svchost.exe:940   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
svchost.exe:940   UDP   volkswirt:1040   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:netbios-ns   *:*      
svchost.exe:940   UDP   volkswirt:netbios-dgm   *:*      
System:4   TCP   volkswirt:microsoft-ds   volkswirt:0   LISTENING   
System:4   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
System:4   UDP   volkswirt:microsoft-ds   *:*      
System:4   UDP   volkswirt:netbios-dgm   *:*      
System:4   UDP   volkswirt:netbios-ns   *:*      
thunderbird.exe:1080   TCP   volkswirt:1076   localhost:1077   ESTABLISHED   
thunderbird.exe:1080   TCP   volkswirt:1077   localhost:1076   ESTABLISHED   
Ende
_______________________________
B) Hijackthis-Logfile

Logfile of HijackThis v1.99.1
Scan saved at 11:10:28, on 04.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis.exe.exe

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - c:\programme\steganos internet anonym 2006\sia2006iep.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164813191328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7668D4FD-B347-4A4F-A687-DDA9EBCFE5B1}: NameServer = 217.237.151.205 217.237.148.70
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Stealth Service Helper (StealthInjectorService) - Softwareentwicklung Remus - C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe
 

Hallo,
das hier hat für Irritationen gesorgt :
 

System:4   TCP   volkswirt:microsoft-ds   volkswirt:0   LISTENING  
System:4   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING  
System:4   UDP   volkswirt:microsoft-ds   *:*      
System:4   UDP   volkswirt:netbios-dgm   *:*      
System:4   UDP   volkswirt:netbios-ns   *:*      

Das hier hat aber für Aufklärung gesorgt :
 

C:\Programme\VIA\RAID\raid_tool.exe
 

Du hast also einen Raidverbund.Welcher Raid O oder Raid 1
Wieviele Systeme hängen denn da zusammen ?
Eigentlich sollte es System 1 UDP volkswirt......heißen
Dieser Shangxing startet von sich aus keine Verbindungsversuche,da habe ich mich falsch ausgedrückt.
Der lauscht/listening an Port 8181.Er wartet sozusagen auf Befehle....
 

und mir sagst, wie der Prozess heisst

Geht so einfach nicht...
Er könnte beispielsweise in einem der UDP oder TCP Protokolle von sychost exe sitzen.
Deshalb mein Vorschlag mit dem "netstat" Befehl ...

 

Auch AdAware und Spybot Search&Destroy, sowie der Virenscan von Symantec und meinem AVK von GData haben Alarm geschlagen.

Poste diese Meldungen im Wortlaut !
Sir Reklov
 

Hallo,
das hier hat für Irritationen gesorgt :
 
Das hier hat aber für Aufklärung gesorgt :
 
Du hast also einen Raidverbund.Welcher Raid O oder Raid 1
Wieviele Systeme hängen denn da zusammen ?
Eigentlich sollte es System 1 UDP volkswirt......heißen
Dieser Shangxing startet von sich aus keine Verbindungsversuche,da habe ich mich falsch ausgedrückt.
Der lauscht/listening an Port 8181.Er wartet sozusagen auf Befehle....
 Geht so einfach nicht...
Er könnte beispielsweise in einem der UDP oder TCP Protokolle von sychost exe sitzen.
Deshalb mein Vorschlag mit dem "netstat" Befehl ...

 
Poste diese Meldungen im Wortlaut !
Sir Reklov
 

Hi,

muss mal aufklären, dass ich mich bei folgendem Satz das nicht vergessen habe: "Auch AdAware und Spybot Search&Destroy, sowie der Virenscan von Symantec und meinem AVK von GData haben  nicht Alarm geschlagen." Auch ein erneuter eScan hat keine Probleme mehr gezeigt. Ich spare mir daher den Post der Logs. Da wundert es mich jetzt kolosal, dass der Shangxing noch am zuhören sein soll

Nun gut, vielleicht kannst Du mir ja erklären, wie ich den Port 8181 schliesse. Ich nutze GData2007, und weiss wie das geht, doch finde ich in der Auswahlliste der Ports dort keinen 8181. Es gibt wohl die Nr. 81, und überhaupt jede Menge 800er, aber wo ist bitte 8181??? Oder kann ich den auch manuell eingeben?

Das ich einen Raidverbund habe, wusste ich noch gar nicht. Ich habe diesen einen PC mit dem Namen "Volksiwirt". Allerdings weiss ich, dass ich ein "ViaRaid Tool" installiert habe. Zudem musste ich jede Menge tricksen, um dem System mein DSL-Modem (AT-AR215) zu verkaufen. Habe auch die Dauermeldung "eingeschränkte oder keine Konnektivität" bei LAN-Verbindung 2. Aber es funktioniert irgendwie...

Zu guter letzt bräuchte ich noch mehr Infos dazu, wie ich den "netstat"-Befehl ausführe bzw. das Fenster "fixiere". Es öffnet sich also ein DOS-Fenster, Zeilen rasen für zwei Sekunden über den Monitor, und dann ist das Fenster auch schon wieder weg. Somit kann ich da nichts lesen  ???

Ich danke Dir vielmals, und wünsche ein schönes WE weiterhin!

BG
Herm

Hallo,
zum Thema Raid-Verbund hier lesen :http://de.wikipedia.org/wiki/RAID-Verbund

Hast du nicht brauchst du nicht ?

Dann Raid Tool löschen.
Ein Großteil deiner Probleme mit langsam und so,dürfte daher kommen.....

Weiterer Tip:
Google mal nach : Windowsdienste abschalten
Du wirst Tips finden ,die dir helfen sollten...

Meine grundsätzliche Meinung bleibt aber nach wie vor diesselbe...
Bei einem Backdoortrojaner ist die absolute Gewissheit nur wieder herzustellen wenn eine saubere neuinstallation gemacht wird.
Dann kann man auch gleich unnötige exen weglassen...
Die einem keinen Nutzen bringen und seltsame Meldungen fabrizieren...(raid tool)
Die "Konektitätsmeldung" wird von deinem Scanner produziert,der glaubt ein LAN-Netz überwachen zu müssen.
Da nun gar keines existiert,teilt er dir mit das es nicht funktioniert....
Das erhöht auch nur unnötig deine Bootzeit......
Windows erwartet nämlich die Zuteilung einer Nummer ,die nicht kommt.Dann "erfindet" Windows selbst eine und das braucht Zeit...
Abhilfe ,wenn kein WLan existiertist bzw.kein Router verwendet wird :
Start > Systemsteuerung > Netzwerkverbindung > rechtsklick auf das Symbol "Lan-Verbindung> Eigenschaften
Unter "diese Verbindung verwendet folgende Elemente"
Alle Kaken rausnehmen,ausnahmslos !
Mit ok bestätigen und einen Neustart machen..
Danach staunen wie schnell so eine Kiste sein kann...
Sir Reklov

Hi Sir Reklov,

sehr geil - vielen Dank für diese äusserst wertvolle Anleitung!

Tja, was mache ich mit diesem Shangxing nun? Neuaufsetzen, weil da evtl. noch ein Schädling mit "Risk-Level low" im System hockt?! Ein paar Wochen später habe ich womöglich wieder so ein Teilchen, und dann geht wieder dieser Kram los. Es ist nämlich gerade mal rund 6 Monate her, dass ich mein System neu aufsetzen musste. Es hat mich unzählige Stunden gekostet, bis ich wieder alle Programme auf dem Rechner hatte, und die Konfiguration wieder so individuell hingebogen habe. Als Angestellter in Vollzeit und Fernstudent fehlt mir da komplett die Zeit und der Nerv für, das wieder durchzustehen.

Nun will ich aber natürlich nicht riskieren, ein löchriges System zu haben, wo mal jeder so reinschnuppern kann. Aber welche Gefährdung kann denn da jetzt noch auf mich lauern? Also dieser Shangxing ist echt noch am mithören, ja? Ich häng noch mal unten einen TCP-View mit dran, ok?!

Ich weiss, ich bin anstrengend, aber könntest Du mir bitte noch kurz die Fragen bezüglich Port schliessen und netstat beantworten (s. letzter Thread)? Ich denke, dann bin ich auch bald durch mit der Nummer, und werde anderen helfen können, die ähnliches erleben. Danke!

Ciao
Herm

[System Process]:0   TCP   volkswirt:3556   localhost:3555   TIME_WAIT   
alg.exe:2180   TCP   volkswirt:1028   volkswirt:0   LISTENING   
AVKProxy.exe:296   TCP   volkswirt:32321   volkswirt:0   LISTENING   
firefox.exe:392   TCP   volkswirt:3572   localhost:3573   ESTABLISHED   
firefox.exe:392   TCP   volkswirt:3573   localhost:3572   ESTABLISHED   
firefox.exe:392   TCP   volkswirt:3574   localhost:3575   ESTABLISHED   
firefox.exe:392   TCP   volkswirt:3575   localhost:3574   ESTABLISHED   
lsass.exe:652   UDP   volkswirt:isakmp   *:*      
lsass.exe:652   UDP   volkswirt:4500   *:*      
svchost.exe:1032   UDP   volkswirt:1900   *:*      
svchost.exe:1032   UDP   volkswirt:1900   *:*      
svchost.exe:1032   UDP   volkswirt:1900   *:*      
svchost.exe:884   TCP   volkswirt:epmap   volkswirt:0   LISTENING   
svchost.exe:940   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
svchost.exe:940   UDP   volkswirt:1040   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:netbios-ns   *:*      
svchost.exe:940   UDP   volkswirt:netbios-dgm   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:996   UDP   volkswirt:1973   *:*      
svchost.exe:996   UDP   volkswirt:1972   *:*      
svchost.exe:996   UDP   volkswirt:2286   *:*      
System:4   TCP   volkswirt:microsoft-ds   volkswirt:0   LISTENING   
System:4   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
System:4   UDP   volkswirt:microsoft-ds   *:*      
System:4   UDP   volkswirt:netbios-dgm   *:*      
System:4   UDP   volkswirt:netbios-ns   *:*      
 

Hallo,
"netstat" Befehl hat einige Variablen...guggst du hier :http://www.gcf.de/papers/netstat.txt

Hast du nach Windowsdienste abschalten schon gegoogelt ?
Dann dürfte dein TCP auch kleiner und handlicher werden.

Halt langsam....
Dein Backdoor würde an Port 8181 lauschen ob Befehle kommen,so laut Beschreibung.
Den an einem anderen Port lauschen zu lassen ist im Prinzip ein Kinderspiel.Ein paar Ports sind standardmäßig belegt.Alle anderen sind frei wählbar.Oberhalb einer gewissen Grenze greift eine Personalfirewall nicht mehr.
Ports schließt man besser,in dem man Dienste abstellt.Windows bringt in der Standardkonfiguration viele Anwendungen mit,die kein mensch wirklich braucht.
Von einem "offenen Port" spricht man wenn ein Dienst aufBefehle bzw.Ansprache wartet.Mit einer PersonalFirewall soll man das zudecken können.Das Problem dabei: derjenige der eine Anfrage stellt ob dieser oder jener Dienst bereit ist,bekommt durch die Firewall keine Antwort.Diese "Nichtantwort" ist aber für den Kenner gleichbedeudend mit "ich bin da aber die Firewall hält mir den Mund zu"
Eine PersonalFirewall jetzt auszutricksen gehört zu den Dingen die Könner im Halbschlaf machen....
Besser also ist es unnötige Dienste abzuschalten.Derjenige der dann einen Dienst anfragt bekommt eine sinngemäße Rückmeldung mit dem Inhalt "der Admin hats verboten" auf Protokollebene.Er weiß dann also das der angefragte Dienst nicht vorhanden ist.

 

Nun will ich aber natürlich nicht riskieren, ein löchriges System zu haben, wo mal jeder so reinschnuppern kann. Aber welche Gefährdung kann denn da jetzt noch auf mich lauern?

Der Backdoor könnte einen anderen Port geöffnet haben.
Bei Tausend Möglichkeiten suchst du dir einen Wolf und findest vermutlich nix...
Das "Low Level Risk" bezieht sich übrigens auf die Masse der Verbreitung ,nicht auf die Gefährlichkeit.
Wird oft durcheinander gebracht.Es besteht ein "geringes Risiko" sich sowas einzufangen.
Risiken bestehen halt bei EBay und Online-Banking -Nutzern.....
Bisher scheint der Backdoor keine Befehle zu bekommen,zumindest ist nix derartiges bekannt...
Das könnte sich schon in den nächsten Minuten ändern....
Sollte ich sowas vorhaben,würde ich mir genau so einen Backdoor nehmen ,ein wenig frisieren und dann darauf vertrauen das alle lesen "Low Risk" und " keine Befehle aus dem Netz"

Ich will dir aber keine Angst mache.....
Es ist deine Kiste und du bist dafür verantwortlich....
Sir Reklov

Hi,

okay, ja, Du hast mich überredet - dann weiss ich schon, was ich an Pfingsten mache. System neu aufsetzen!

Oh Mann, wenn ich daran denke. Die ganzen Downloads der Programme und Updates aus dem Internet wird sogar mit DSL eine wahre Tantalusqual. Und danach wieder die Ordnerstruktur so zusammenwurschteln, wie vorher. Überhaupt die Musikbibliothek in iTunes wieder so organisieren wie ich es jetzt habe. Aaaaaaaaaaahhhhhhhhhhh - ich krieg die Krise!!!!!! Und mein Langenscheidt-Englisch-Tutorsystem fängt dann wieder bei Null an. Neee, das geht überhaupt nicht.

Könnte dieser Backdoor-Trojaner nicht wirklich schon vernichtet sein? Schliesslich habe ich doch mit allen Programmen, die mir so empfohlen wurden, gescannt, und keine Virenfunde mehr. Auch die Einträge in der Registry habe ich gefixt und vernichtet. Du erkennst aber die Aktivität eines Backdoors aus meinen hier geposteten Informationen heraus, richtig?! Blende aber bitte bei Deiner Analyse die Beiträge bis einschliesslich 02.05. bitte aus. Danach habe ich ja erst das Problem richtig angepackt, und reinigende Massnahmen, die auch wirken, umgesetzt.

So, wenn Du mir jetzt immer noch sagst, "da ist definitiv ein Backdoor" am lauschen, dann werde ich mein System plätten. Danke!

Beste Grüße
Herm

Hallo,

 

wenn Du mir jetzt immer noch sagst, "da ist definitiv ein Backdoor" am lauschen,

Wenn das so einfach wäre,könnte ich mein Geld sehr viel leichter verdienen...
Du kannst davon ausgehen ,das ein Trojanerprogrammierer sein "Kind" nicht schon mit einem Namen der auffällt verrät....
Er wird vielmehr versuchen sein Baby dort unterzubringen,wo es keinen sofortigen Verdacht auslöst.

 

lsass.exe:652   UDP   volkswirt:isakmp   *:*      
lsass.exe:652   UDP   volkswirt:4500   *:*      
svchost.exe:1032   UDP   volkswirt:1900   *:*      
svchost.exe:1032   UDP   volkswirt:1900   *:*      
svchost.exe:1032   UDP   volkswirt:1900   *:*      
svchost.exe:884   TCP   volkswirt:epmap   volkswirt:0   LISTENING  
svchost.exe:940   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING  
svchost.exe:940   UDP   volkswirt:1040   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:netbios-ns   *:*      
svchost.exe:940   UDP   volkswirt:netbios-dgm   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:996   UDP   volkswirt:1973   *:*      
svchost.exe:996   UDP   volkswirt:1972   *:*      
svchost.exe:996   UDP   volkswirt:2286   *:*      

Hier wären also solche Möglichkeiten gegeben...
Diese svchost.exen einem dahinter stehenden Dienst zuzuordnen ist eine Jagd nach der Stecknadel im Heuhaufen...
Ich behaupte auf keinen Fall ,daß ich einen Backdoor so sehen kann !!!
Es gibt verschieden Abstufungen von Malware(Schadcode) ein Backdoortrojaner ist die schlimmste Form.
Ein so komprommitiertes System genießt nicht mehr mein Vertrauen.Solch ein Betriebssystem mache ich platt und spiele es neu auf.Ohne jedes Wenn und Aber.....
Bei zwei Systempartitionen (C und D -wobei auf C nur das Betriebssystem ist und auf D alle Dateien die mir wichtig sind) und einem Image vom Betriebssystem das auf DVD gebrannt ,ist das eine Sache von geschätzten 20 Minuten...(wurde noch nie gebraucht   )
Wichtige Daten kommen sowieso extern auf CD....

 

Könnte dieser Backdoor-Trojaner nicht wirklich schon vernichtet sein?

Natürlich wurde das "Boot" gefunden und vernichtet.
Wieviel "Seemänner" aber vorher ausstiegen sind und was die gemacht haben,vermag dir kein Scanner der Welt zu sagen.
Microsoft selbst sieht das ganz genau so übrigens...
Du könntest ja versuchsweise noch ein EScan machen.....
Aber den Pfingsten Termin würde ich trotzdem ins Auge fassen.....
Nicht ausführbare Dateien lassen sich vorher bequem auf CD brennen  und dann aufs neue System rüberspielen.
Sir Reklov

Hi,

genau, ich werde mir Pfingsten mal ein Herz fassen, und mir die Arbeit des Neuaufsetzens machen. Ich kann es mir einfach nicht erlauben, ein kompromitiertes System zu riskieren.

Werde in jedem Fall, Deiner Praxis folgend, jetzt auch zwei Partitionen anlegen. Wobei ich ja dazu neige, mich bei der Gelgenheit mal in das Thema virtueller PC einzuarbeiten. U. a. in der Chip 05/07 wurde wieder darüber berichtet, und es scheint mir eine vernünftige Sache zu sein. Lt. einem Chip Artikel aus einer früheren Ausgabe ist man bei Nutzung des virtuellen PC´s noch am besten geschützt vor Attacken aus dem www. Wobei ich mich immer noch frage, wie dieser Shangxing überhaupt an Firewall und Virenscanner vorbei gekommen ist. Sehr ärgerlich!!!

So verspricht GData "Komplettschutz vor allen Gefahren aus dem Internet", und lässt sich diesen gut bezahlen. Aber die Viren-Erkennungsrate bei einem Test im Herbst ´06 lag für GData 2007, soweit ich mich entsinne, bei rund 85 %. Woran ich mich aber vor allem erinneren, ist die Tatsache, dass die Tester dem Securitypaket auch das Prädikat Ressourcenfresser zugeschrieben haben.

Nun gut, ich belasse es also erst mal bei dem Vorhaben einer Systemplättung, und hoffe auf ein anschliessend hoffentlich sicheres und schnelleres System!

Ciao
Herm

Hallo,

 

Wobei ich mich immer noch frage, wie dieser Shangxing überhaupt an Firewall und Virenscanner vorbei gekommen ist. Sehr ärgerlich!!!

 

Dafür warst du selbst zuständig.....
Wenn du eine Datei runterlädst,die eventuell noch gepackt ist,dann läßt sowohl der Scanner als auch die Firewall das Ding passieren.
Wer widerspricht auch gerne dem Boss ?
Schnell fliegt man dann raus und wird durch was anderes ersetzt...

 

So verspricht GData "Komplettschutz vor allen Gefahren aus dem Internet", und lässt sich diesen gut bezahlen.

So wie alle Anderen auch....
Glaubst du das der "weiße Riese" tatsächlich weißer waschen kann, als alle Anderen ?
Warum glaubst du dann einem AV-Hersteller ?

 

im Herbst ´06 lag für GData 2007, soweit ich mich entsinne, bei rund 85 %.

Solche Testaktionen haben eine Halbwertszeit von Stunden...
Glaube nur dem Test den du selber dir hingebogen hast...

 

Woran ich mich aber vor allem erinneren, ist die Tatsache, dass die Tester dem Securitypaket auch das Prädikat Ressourcenfresser zugeschrieben haben.
 

So ein Computerheftchen lebt halt von den Anzeigen.Da sie clevererweise die verschiedenen AV-Hersteller anschreiben,daß ihr Produkt vorgestellt wird/getestet,kannst du die plötzliche Erscheinung von Anzeigen für das AV-Produkt recht gut verfolgen.
In dem Fall war die Werbung wohl nicht fett genug....
Ich habe schon Hefte gesehen,da hat dr Schreiberling den Werbeaufdruck von der Schachtel eins zu eins abgeschrieben...

Beide,Scanner wie Firewall haben prinzipbedingt große Schwächen und können niemals halten was sie versprechen...

Lege diese Seite zu deinen Favoriten :

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Wenn du danach vorgehst und auch die weiterführenden Links und Tips beachtest,solltest du zukünftig um einiges sicherer, weil informierter, im Netz unterwegs sein.
Weiterer Lesestoff :
http://www.microsoft.com/germany/technet/datenbank/articles/900002.mspx

http://www.sides.de/checkliste.php

Damit solltest du weitgehendst ausgerüstet sein...
Sr Reklov

Ja, super Tips, die Du mir da geben kannst  .

Trotzdem habe ich noch nicht aufgeben, und gerade mal mit den Netstat-Befehlen hantiert, was mich aber nicht wirklich weitergebracht hat, da ich die Ergebnisse nicht interpretieren kann.

Weiter habe ich mir "IceSword" runtergeladen, und mal meine Prozesse durchgeschaut. Ergebnis:
"Find hidden processes: 0".

Wobei ich aus einer Anleitung zu "IceSword" weiss, das dieses Tool keineswegs alle Rootkits erkennt, sondern fehlbar ist. Aber da ich auch schon nen anderen Rootkit-Scanner (ich mein Blacklight) vor ein paar Tagen drüber gejagt habe, sinds schon wieder zwei Programme mehr, die nichts gefunden haben.

Aber bitte, verzweifle jetzt nicht an mir - ich gebe mich halt nicht gerne geschlagen, und versuche noch ein bisschen den Trojaner zu entlarven. Pfingsten wird dann trotz allem wohl neu aufgesetzt.

Charmanten Abend!

Nunja,du weißt wie es steht....
Hat die Seite keine Klarheit gebracht über netstat ?
START > Ausführen > cmd

netstat -ano

Wenn Du die Ausgabe Speichern willst, nehme folgendes Komando:

netstat -ano > "%userprofile%\Desktop\netstat.log"

Die Ausgabe wird dann in die Datei netstat.log auf Deinem Desktop umgeleitet.

Wenn Du netstat mehrere Male ausführen willst und den Output von netstat immer an die gleiche Datei anhängen willst nehme folgendes Kommando:

netstat -ano >> "%userprofile%\Desktop\netstat.log"


Das ist die Seite zum Dienste abschalten mittels Scrpt-tausendfach bewährt.....
Dann dürfte dein "Verkehr" kleiner werden...
http://ntsvcfg.de/index.html#_config

Damit kannst du dann analysieren :
http://www.wireshark.org/

Have fun
Sir Reklov

na, das Programm wireshark habe ich mir jetzt mal angeschaut. Scheint aber echt was für Profis zu sein, was?! Auf jeden Fall nichts mehr für mich heute Abend. Werde morgen mal eine genaues Feedback und bestenfalls Resultate hier posten können.

Have more fun!
Herm