Forum
Tipps
News
Menu-Icon

Win XP: Infiziert mit win32.backdoor.ciadoor

Ahoi!!

Glaub ich hab mir da ein Trojaner eingefangen..!!

Also wenn ich versuche im Taskmanager reinzukommen steht da dann "der Taskmanager wurde vom Administrator deaktiviert" hab dann versuch mit Ad-aware das dingen zu löschen was auch ging und dann kam ich auch wieder im Taskmanager rein,doch wo ich mein Rechner neugestartet hab,hatte ich das gleiche Problem...

Hab dann versucht dat mit Hijackthis zu Korriegieren,aber das klappte auch nich so ganz ,mir wird zwar angezeigt das ich 2 sachen unbedingt Fixen soll,aber nach ein neustart sind die wieder da.. Hmm..

Kennt jemand ne lösung??

Hier nochma ein LOG Dazu
Logfile of HijackThis v1.99.1
Scan saved at 15:03:13, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\internet explorer\iexplore.exe
F:\PROGRA~1\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Progamme\adobe\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Progamme\adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E82F299-A42E-41FA-903B-F00C8E7C62E9}: NameServer = 195.247.247.195 62.27.27.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{E05DB28F-FB89-4FB7-8E11-F3877CCAA34B}: NameServer = 192.168.178.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - F:\Progamme\power cinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - F:\Progamme\power cinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




Antworten zu Win XP: Infiziert mit win32.backdoor.ciadoor:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Mit F8 in den abgesicherten Modus
Systemwiederherstellung deaktivieren
(Über Systemsteuerung - System - Reiter Systemwiederherstellung)
Dann das System säubern
Erst nach Neustart die Systewiederherstellung wieder einschalten.

Einem einmal verseuchtem System würde ich aber kein 100% vertrauen mehr schenken, falls vertrauliche Aktionen damit stattfinden (Banking ebay etc.)
Eigene Daten absichern / exportieren und besser neu sauber aufsetzen

Hallo,

dazu von Sophos :
 

Zitat
Troj/Ciadoor-G ist ein Backdoortrojaner für die Windows-Plattform.

Troj/Ciadoor-G kopiert sich mit dem Dateinamen scvhost.exe sowie als zufällig benannte INI-Datei in den Windows-Systemordner.

Troj/Ciadoor-G erstellt außerdem eine SYS-Datei im Windows-Systemordner mit dem Dateinamen wsock32.sys und die Datei ckl009.dat, die gerade aktualisierte Trojaner-Startinformationen enthält.

Troj/Ciadoor-G läuft im Hintergrund und wartet auf Verbindungen über einen vorkonfigurierten TCP-Port durch den Eindringling.
 
Desweiteren klaut er Passwörter für MSN  und Schlüssel für Spiele.
Er installiert einen FTP-Server der selbstständig Verbindung zum Angreifer aufnimmt...
Du hast verloren !!!
Schleunigst den Rechner vom Netz trennen und neu aufsetzen.Sämtliche Passwörter ändern, nicht vergessen
Frage am Rande :
Wieso postest du eigentlich in "Windows-Fragen" ??
Sir Reklov

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Weil er es vor lauter Panik vermutlich nicht besser wußte Betrifft ja schließlich auch Windows, neben der Sicherheit



Die Logfiles kann man hier automatisch auswerten lassen
http://www.hijackthis.de/

Alles wichtige auf extra Medium abspeichern. Nach der Neuinstall zur Sicherheit mit aktuellem Virenscanner (Signaturen) vor dem Rückspeichern der Daten diese aber ebenfalls abscannen.

Ähem *hüstel*

 

Zitat
Hab dann versucht dat mit Hijackthis zu Korriegieren,aber das klappte auch nich so ganz ,mir wird zwar angezeigt das ich 2 sachen unbedingt Fixen soll,aber nach ein neustart sind die wieder da..  

 ::);D

Hab noch ein wenig gegraben.....
Ganz scharf ist der Backdoor ebenfalls auf EBay Passwörter,je nach Variante.Es wird von Usern berichtet,das sie alles oberhalb von 10000 Euro bestellt haben sollen....
Ebenso sucht er nach Passwörter/Schlüssel ,der aktuellen neuen Spiele.
Auch von Intresse für Bankdaten wird berichtet.
Experten gehen davon aus ,das der Hersteller des Backdoor,die infizierten Compis vermietet.So das sich ein jeder nehmen kann was er braucht oder sucht... :o
Der SuperGAU
Denn schlimmer geht`s nimmer... :'(
Sir Reklov

« Win XP: Taskmanager wird nicht mehr richtig angezeigtIhre Frage: »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Administrator
Auf einem Windows-PC kann man Benutzer mit verschiedenen Rechten anlegen. Der Administrator (kurz "Admin" oder unter Linux "root" oder Superuser) hat gegenüber ander...

Multiprozessor Rechner
Multiprozessorsysteme oder Multiprozessor-Rechner sind Computer, die mehr als einen Hauptprozessor (CPU) zur Ausführung von Aufgaben verwenden. Sie ermöglichen ...