shangxing BackDoor - S.O.S

Hi,

also führen wir mal eine Virencheck Routine durch.

Als erstes Systemwiederherstellung deaktivieren.
Lade dir CCcleaner herunter und bereinige damit dein System. Aber unter Erweitert nichts anklicken.

Jetzt update deinen AVK. Hast du die 2006er oder 2007er Version? Unbedingt mit beiden Engines scannen. Scanne deinen Computer nun von der AVK CD oder bastle dir eine eigene mit neuesten Virendefinitionen.

Du kannst auch mal einen Online Scan auf der F-Secure Homepage machen .
Bitte das Logfile hier posten.

Lad dir mal TCP View runter, schicke uns damit einen Bericht.

Wenn wir aber so nicht an den Trojaner rankommen, werden wir wohl leider neu aufsetzen müssen , da fast gar nichts über den Trojaner bekannt ist. 

Ciao Sir Mannor

Hi,

vielen Dank für diesen ausführlichen Lösungsansatz. Ich hatte Nachtdienst und konnte leider noch nicht eher darauf reagieren, werde aber ab jetzt das ganze von dir vorgeschlagene Programm durchspielen.

Da ich die GData-Version von 2007 nutze, kann der Scan aber wohl eine Ewigkeit dauern. Daher denke ich nicht vor 16:00 Uhr ein Ergebnis hier posten zu können. Übrigens hatte ich gestern Morgen noch einen Scan hiermit durchgeführt, der auf jeden Fall auch die Bereiche, wo der Trojaner via "eScan" gefunden wurde, umfasste. Offenbar ist Gdata dieses Ding nicht bekannt - auch im Virenlexikon keine Infos hierzu verfügbar. Die Virenprüfung erfolgt mit beiden Engnines, und das Outbreakshield ist aktiviert.

Bis später,
Herm

Hallo,

grundsätzlich ist auch zu beachten dass man Virenchecks am Besten immer im Abgesicherten Modus macht oder von Boot Cd.

Hey ,

sie dir mal das an: http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-030516-4150-99&tabid=2

Oh, many thanks Sir Mannor .

Risk level - very low! Genial Dein Link zu Symantec; hätte ich auch mal drauf kommen können.

Also ich habe jetzt meine Platte mit einer "frischen" Boot-CD von GData durchforsten lassen, und keinen Virenfund gemeldet bekommen. Übrigens hat dieser Prozess satte 2h40´ gedauert - dieses Programm ist sooooo lahm!!!! By the way - hast Du eine Idee, wie man mit GData sicher und trotzdem mit ausreichend Performance arbeiten kann? Beide Engines beim AVK einschalten und Outbreakshield aktiv ist ja unabdingbar. Aber dieser Scanner ist ein solcher Ressourcenfresser. Beim Start vom Mozilla Firefox oder Thunderbird ist es besonders schlimm. Das Abrufen von E-Mails dauert ewig, obwohl ich schon die E-Mail-Überwachung in GData ausgeschaltet habe. An den E-Mails sollte eigentlich jetzt nur noch der Spam-Filter werkeln. Und dafür braucht dieses GData dann stellenweise 100% CPU-Leistung. Ich arbeite übrigens mit einem AMD-Sempron 2600+ und 512 MB-Ram, und kann die dollsten Programme auf meinem Rechner ohne Probleme und auch parallel laufen lassen. Früher mit Antivir von Avira und der Kerio-Firewall kannte ich auch aus dem Bereich der Software keine Performanceprobleme. Aber jetzt mit GData gerät das System regelmässig an die Leistungsgrenze. Vielleicht hast Du ja noch einen heissen Tip für mich?! Übrigens habe ich schon den Startpfad für u. a. den Browser wie folgt erweitert: "C:\Programme\Mozilla Firefox\firefox.exe" /prefetch:1
Hilft leider nur auch marginal.

Noch mal zurück zu diesem Trojaner. GData hat also auch in diesem Scan den shangxing nicht erkannt. Laut Symantec ist der auch eher ungefährlich. Auch via Hijackthis keine bedenklichen Einträge entdeckt. Ich werde jetzt den von Dir empfohlenen Onlinescan bei Symantec noch durchführen. Sollte ich auch mit diesem Mittel das Teilchen nicht packen können, werde ich den vorerst so belassen. Meinst Du ich kann damit aus (natürlich) sicherheitspolitischen Aspekten mit leben??? Habe nämlich wenig Lust, wieder das Theater mit Neuaufsetzen des Systems durchzumachen.

Erst im November war ich zu diesem Radikalen Schritt gezwungen. Auch bei diesem Problem hattest u. a. Du mir schon da geholfen. Echt tolle Sache, wenn man auf so engagierte Leute trifft, die uneingenützig ihr Fachwissen vermitteln. Vielen, vielen Dank nochmals!

Beste Grüße
Herm

Bericht von TCP-View:

[System Process]:0   TCP   volkswirt:1400   h-213.61.112.151.host.de.colt.net:http   TIME_WAIT   
[System Process]:0   TCP   volkswirt:1405   38.96.134.245:http   TIME_WAIT   
[System Process]:0   TCP   volkswirt:1425   62.32.97.13:http   TIME_WAIT   
alg.exe:2180   TCP   volkswirt:1025   volkswirt:0   LISTENING   
AVKProxy.exe:2028   TCP   volkswirt:32321   volkswirt:0   LISTENING   
firefox.exe:1436   TCP   volkswirt:1074   localhost:1075   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1075   localhost:1074   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1076   localhost:1077   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1077   localhost:1076   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1317   fk-in-f165.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1318   fk-in-f165.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1354   bu-in-f147.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1381   lm-in-f99.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1384   mu-in-f104.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1385   mu-in-f99.google.com:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1391   64.154.82.6:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1412   212.23.33.40:http   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1415   h-213.61.6.132.host.de.colt.net:ftp   ESTABLISHED   
firefox.exe:1436   TCP   volkswirt:1443   localhost:25501   SYN_SENT   
lsass.exe:796   UDP   volkswirt:isakmp   *:*      
lsass.exe:796   UDP   volkswirt:4500   *:*      
svchost.exe:1008   TCP   volkswirt:epmap   volkswirt:0   LISTENING   
svchost.exe:1060   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
svchost.exe:1060   UDP   volkswirt:ntp   *:*      
svchost.exe:1060   UDP   volkswirt:ntp   *:*      
svchost.exe:1060   UDP   volkswirt:netbios-ns   *:*      
svchost.exe:1060   UDP   volkswirt:netbios-dgm   *:*      
svchost.exe:1060   UDP   volkswirt:ntp   *:*      
svchost.exe:1060   UDP   volkswirt:bootpc   *:*      
svchost.exe:1124   UDP   volkswirt:1064   *:*      
svchost.exe:1124   UDP   volkswirt:1055   *:*      
svchost.exe:1124   UDP   volkswirt:1063   *:*      
svchost.exe:1124   UDP   volkswirt:1038   *:*      
svchost.exe:1124   UDP   volkswirt:1065   *:*      
svchost.exe:1196   UDP   volkswirt:1900   *:*      
svchost.exe:1196   UDP   volkswirt:1900   *:*      
svchost.exe:1196   UDP   volkswirt:1900   *:*      
System:4   TCP   volkswirt:microsoft-ds   volkswirt:0   LISTENING   
System:4   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
System:4   UDP   volkswirt:microsoft-ds   *:*      
System:4   UDP   volkswirt:netbios-dgm   *:*      
System:4   UDP   volkswirt:netbios-ns   *:*      
 

Der Onlinescan mit F-Secure hat keinen Virenfund ergeben! Hmm.. wie kommt Symantec überhaupt zu der Einstufung "Low Risk"? Bezieht sich dieses Risk-Ranking auf die Gefahr einer Infezierung, oder auf die Risiken einer Infezierung? So, ich gehe jetzt wieder zum Nachtdienst, und werde morgen Nachmittag wieder hier reinschauen.

Ciao
Herm

Hi,

also: Du solltest jetzt unbedingt diese Regestry Keys LÖSCHEN!(Start-Ausführen-regedit-und dann zum jeweiligen Verzeichnis navigieren)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP

Also in dem TCP-View Bericht ist mir jetzt nichts unbedingt  gefährliches aufgefallen. Aber du solltest in deiner Firewall vom AVK 2007 den Port 8181 schließen.(Mit einer Regel)

Kannst zur letzten Absicherung solltest du deinen Computer mit dem Online Scan von Symantec überprüfen.

Zu deiner Frage : 

Meinst Du ich kann damit aus (natürlich) sicherheitspolitischen Aspekten mit leben???

Du solltest wissen dass nach einem Backdoor Trojaner volle 100% nur mit Neuaufsetzen gewährleistet sind.
Vor allem weil wir diese Malware Dateien nicht gefunden haben    ... Obwohl in der Beschreibung steht dass der "Damage Level" gering ist.

Ich weiß ja nicht wie die Einstellugnen deiner Suite sind aber kannst sie ja einfach auf Normale Leistung stellen, dann sollte dein System nicht so belastet werden.
Ich habe auch einen Pc der mit AVK 2007 bestückt ist, habe aber keine Probleme damit...

Ciao Sir Mannor





 

So, jetzt habe ich da tatsächlich eine Datei gefunden, die ich lt. der Vireninfo von Symantec für die Ablage des Trojaners genutzt wird. Und zwar:
%CommonProgramFiles%\Microsoft Shared\MSInfo\rejoice42.exe

Eine ActiveX-Steuerelement mit Namen "ieinfo5.ocx" (92 kb) im Ordner MSInfo lässt sich nicht entfernen. Nach dem Shreddern verschwindet das Symbol für eine Sekunde, und hat sich dann aber schon wieder reproduziert.

Die zweite Datei, auf die Symantec hinweist (%System%\SVKP.sys), konnte ich noch nicht finden. Wohl aber im Ordner System 32 die Datei SVKP. Gehört diese denn dann wieder wirklich zum System?

Zu der Registry:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP
Diese Einträge konnte ich finden, und sind gelöscht worden.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice
nicht auffindbar. Vielmehr existiert dem Pfad folgend kein Eintrag "Services\Windows".

Zusätzlich gibt es bei mir noch diesen Eintrag:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP
Soll ich diesen löschen?

Noch ein TCP-View von heute. Würde mich freuen, wenn Du noch mal Dein geschultes Auge darüber scannen lassen könntest. Vielen Dank schon im Voraus.

Ciao Herm

alg.exe:2188   TCP   volkswirt:1025   volkswirt:0   LISTENING   
AVKProxy.exe:196   TCP   volkswirt:32321   volkswirt:0   LISTENING   
firefox.exe:3996   TCP   volkswirt:1075   localhost:1076   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1076   localhost:1075   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1079   localhost:1080   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1080   localhost:1079   ESTABLISHED   
firefox.exe:3996   TCP   volkswirt:1402   localhost:25501   SYN_SENT   
lsass.exe:652   UDP   volkswirt:isakmp   *:*      
lsass.exe:652   UDP   volkswirt:4500   *:*      
svchost.exe:1004   UDP   volkswirt:1085   *:*      
svchost.exe:1004   UDP   volkswirt:1047   *:*      
svchost.exe:1004   UDP   volkswirt:1046   *:*      
svchost.exe:1004   UDP   volkswirt:1045   *:*      
svchost.exe:1004   UDP   volkswirt:1044   *:*      
svchost.exe:1004   UDP   volkswirt:1048   *:*      
svchost.exe:1044   UDP   volkswirt:1900   *:*      
svchost.exe:1044   UDP   volkswirt:1900   *:*      
svchost.exe:1044   UDP   volkswirt:1900   *:*      
svchost.exe:892   TCP   volkswirt:epmap   volkswirt:0   LISTENING   
svchost.exe:940   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
svchost.exe:940   UDP   volkswirt:netbios-ns   *:*      
svchost.exe:940   UDP   volkswirt:netbios-dgm   *:*      
svchost.exe:940   UDP   volkswirt:ntp   *:*      
System:4   TCP   volkswirt:microsoft-ds   volkswirt:0   LISTENING   
System:4   TCP   volkswirt:netbios-ssn   volkswirt:0   LISTENING   
System:4   UDP   volkswirt:microsoft-ds   *:*      
System:4   UDP   volkswirt:netbios-dgm   *:*      
System:4   UDP   volkswirt:netbios-ns   *:*      
thunderbird.exe:2784   TCP   volkswirt:1053   localhost:1054   ESTABLISHED   
thunderbird.exe:2784   TCP   volkswirt:1054   localhost:1053   ESTABLISHED   
 

Zu den Regelsätzen: Ich finde keinen Port 8181???
Kann es denn auch die Nummer 81 sein - bzw., wie ist denn die Bezeichnung für den Port? Danke!

Hast du meinen Rat jetzt befolgt und mit dem Online Scanner von Symantec deinen Computer untersucht? !!

Hast du auch die Systemwiederherstellung deaktiviert?
Also jetzt mal Tacheles... Lade dir SpyBot Search and Destroy runter und scanne deinen Computer im Abgesicherten Modus. (F8 beim Starten)
AVK updaten und nochmal drüber.

Eine neue Regel erstellen: Geh zu Firewall dann zu Regelsätze und rechts steht dann Assistent. Den anklicken und den Port 8181 blockieren. Alle Verbindungen bitte.

Wenn das alles jetzt nichts bringt setzte dein System neu auf, ist alles viel zu aufwendig.

Sir Mannor

Ich verfolge ganz aufmerksam, welche Schritte Du mir zur Schädlingsbekämpfung vorgibts, und habe alle Schritte ausgeführt - allerdings Onlinescan bisher nur mit F-Secure, nicht Symantec. Den mache ich dann jetzt!

Systemwiederherstellung ist deaktiviert. AVK ständig upgedadet und Scan erfolgt (inkl. aller Archive, u.s.w.) Wie gesagt den Symantec-Scan fahre ich dann jetzt noch.

Port 8181 finde ich nicht in der Auswahlliste der Ports, die zu blockieren sind!!!

BG
Herm

So, endlich mal eine klare Aussage - und zwar, von Spybot. Scan im abgesicherten Modus nach Updates durchgeführt. Ergebnis:

"Congratulations - no immediate threats werde found!"

Ok, nun noch Symantec!

Ergebnis Online-Virenscan via Symantec.

Virenstatus: Sicher!
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.
 Virenstatus: Infiziert!
Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert. Virenstatus:
 
 
 
  51958 Dateien geprüft 0 infizierte Datei(en) auf Ihren Laufwerken.

   
  Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.  Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein.  Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch.
 

Es wurden keine Viren im Arbeitsspeicher gefunden.

Die Prüfung wurde vorzeitig abgebrochen. Um die Prüfung erneut zu starten, klicken Sie hier.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.  Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein.  Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security™ durch.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 
Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.

Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.
 
Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 
Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Hinweis: Die Prüfung wurde abgebrochen, bevor sie abgeschlossen war. Es können sich weitere infizierte Dateien auf diesem Computer befinden.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 

Es wurde keine Prüfung durchgeführt. Um die Virenerkennung zu starten, klicken Sie hier.

_________________________________________________________

Dann werde ich mal den Online-Scanner erneut starten. Bohr wie depremierend die ganze Geschichte!