Forum
Tipps
News
Menu-Icon

Nochmal Turkojan

Nach dem Update der Spyware des Programms Acronis Privacy Expert Suite (Definitionsdatei vom 26.12.2005) zeigt das Programm einen Backdoor-Turkojan an.
Und zwar nicht einen von 2003 sondern einen aktuellen ! Dieser lässt sich auch nicht durch die Programmroutinen der Software entfernen, sondern bleibt permanent bestehen. Mittlerweile ist das auch anderen Usern aufgefallen, siehe http://www.wilderssecurity.com/showthread.php?p=640825
Wer weiß Abhilfe ?



Antworten zu Nochmal Turkojan:

Wow
ist die Beschreibung genau!
;-)

Also, mit diesen knappen Informationen kommen wir hier bei der Suche nach einer Lösung nicht weiter. Hier müssen im Vorfeld noch ein paar Details geklärt bzw. gepostet werden.

Besonders wichtig wären vollständigen Antworten auf die folgenden Fragen:
- Welche Dateien sollen denn infiziert sein? Am besten mal das Protokoll von Arconis PES zur Verfügung stellen.
- Wer sagt das es eine neue Variante aus dem Dezember sein soll? Es gibt viele Varianten seit 2003!
- Welche Antivirussoftware wird eingesetzt?
- Welche Windows Version wird verwendet?
- Gibt es eine Firewall auf dem PC?

Oder gehe auf
http://www.hijackthis.de/     
und folge den Anweisungen und poste die Logfile hier.

danke, zur Beantwortung der Fragen:
das Programm hat keinen Logfile. Es ist eine Antispy-Software und meldet Turkojan, durch Spyware veränderter Wert in der Windows Registry. Dazu noch HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell.
Dezembervariante, weil es erst nach dem Update der Definitionsdateien vom 26.12.2005 aufgetreten ist.
Als Antivirensoftware läuft ANTIVIR.
Sowohl ANTIVIR, wie SPYBOT, AD-AWARE und STINGER finden diesen Turkojan.
Windows-Version XP SP2.
Firewall im vorgeschalteten Hardware-Router, nicht nochmal im PC.
so-jetzt es ein paar mehr Infos- hilft das ?
gruss aus Köln

Sorry, tippfehler
es muß heißen: Sowohl ANTIVIR, wie SPYBOT, AD-AWARE und STINGER finden diesen Turkojan NICHT!

Schon besser!

Nur leider noch immer unvollständig, aber daran ist Acronis schuld.
Es ist auch nicht auszuschließen, das es sich nur um einen Fehlalarm handelt.

Um dies zu klären wäre die Aktion mit Hijackthis von großer Bedeutung.


Für eine Gegenprobe sind auch die folgenden Tools zu empfehlen:
 
Die kostenlose Bitdefender Free-Edition 8 in englischer Sprache wird ohne einen Wächter von SoftWin zu Verfügung gestellt und sollte keine Probleme in Verbindung mit anderen auf dem Computer bereits installierten Antivirusprogrammen auslösen.
Download Link für:
http://www.bitdefender.com/PRODUCT-14-en--BitDefender-8-Free-Edition.html
Und hier der Link zur alten Version 7.2 (Deutsch)
http://www.bitdefender.de/bd/site/downloads.php?menu_id=22#

und/oder

AV Cleaner “Damage Cleanup“ von Trend Micro
(Spezielles kostenloses Entfernungstool für alle bekannten ITW Viren - In englischer Sprache, keine Installation notwendig)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein!
Es müssen zwei Downloads ausgeführt werden:
A. Über den Link “Sysclean Package”, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
B. Über den Link lptxxx,zip, ca. 8 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
Um das komplette System zu scannen, einfach die sysclean.com Datei öffnen und Scan drücken.

Oder,
ewido anti-malware, ca. 7,1 MB
http://www.ewido.net/de/download/


Wichtig und bereits gesagt,
sollte ein Scan nur im abgesicherten Modus von Windows erfolgen.

und hier der gwünschte Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:36:03, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Rolf\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.reellcomputer.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Acronis Pop-Up-Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-Up-Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.reellcomputer.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2FBE908-BAFC-46A4-A709-5B30BB841A3B}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\ProcessActivityMonitor\paamsrv.exe

So,

auch der Logfile von HijackThis zeigt keine verdächtigen Aktionen auf dem PC.
Als letztes könnt ihr noch Bitdefender Free-Edition 8 und ewido anti-malware installieren. Anschließend die Programmen aktualisieren und jeweils einen Scan auf dem PC durchführen.
Sollte auch dies ohne Befund bleiben, so ist von einen Fehlalarm durch Acronis auszugehen, der hoffentlich bald mit einen der nächsten Updates der Definitionsdateien korrigiert wird.

Guten Rutsch!

Das habe ich gemacht und es ist nichts zu finden. dann ist es wohl ein Fehlalarm. Vielen Dank für die Hilfe!!!

Hallo zusammen
Ich hatte dasselbe Problem und habe den Acronis-Support danach befragt.
Heute am 11. Januar habe ich den Build 791 erhalten und gemäss ihren Weisungen installiert; und siehe da, es wird kein Turkojan gemeldet.
Ich hoffe, ich habe helfen können.

Hallo zusammen
Nach der Installation des Build 791 (erhalten vom Acronis-Support)
taucht der Turkojan nicht mehr auf.
Ich hoffe, ich habe helfen können.

ihr .....en, nooobs > ich gott   ich hab 254 victims mit turkojan.  
es gibt einen neuen   zumindest eine neue undetectet serversoftware ^^^

das ihr ihn nichtmehr findet ist wohl eher normal wenn er sich installiert hat ^^  muhahah    was nen antivir programm ?  schonmal was von einer kill-list gehört^^

so das wars auch schon :D   have Phun

da könntest du recht haben g...

Du kleiner bastard...
pass gut auf das die polizei dich nicht erwischt..

hacken ist verbooooten!


« Fremdeingeloggt!? - sehr bekannter Onlineshop!Heise Meldung : Tricksereien mit Google-Desktop »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Update
Als Update bezeichnet man eine aktualisierte Version einer bereits besessenen Software, die registrierte Anwender meist zu einem Bruchteil des Preises des ursprüngli...

Spyware
Als Spyware bezeichnet man Programme, Dateien und Funktionen, die Daten über das Surfverhalten an den Hersteller der Spyware verschicken. Meistens kommen diese Anh&a...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...