[Major König]

Moin,

Als ich gerade aufgestanden bin, da habe ich gesehen, dass mein AVK2004 angeschlagen hat. Ich lasse meinen Rechner 24/7 laufen.

Er gab folgende Meldung raus:

Es wurde versucht auf eine infizierte Datei zuzugreifen.
Datei: !ReadMe.exe
Verzeichnis: Dokumente und Einstellungen\All Users\Dokumente
Engine: BD-Engine
Virus: Backdoor.Gabot.A

und einmal

Es wurde versucht auf eine infizierte Datei zuzugreifen.
Datei: !ReadMe.exe
F:\Test
Engine: BD-Engine
Virus: Backdoor.Gabot.A

Test ist mein freigegebender Ordner für das Netzwerk

Das hat er in den letzten Monaten schon 4-5 mal gemacht immer der selbe Virus und immer in den selben Verzeichnissen.

Wie kommt es, dass sich ein Backdoor auf meinen Rechner kopiert? Ich lasse mindestens 1 mal die Woche AVK drüber laufen und da findet er nix. Diese Backdoor Meldung kommt immer nachts nie am Tag. Muss ich mir Sorgen machen?

[seppl2]

lass doch mal HijackThis drüber laufen und guck dir das Ergebnis genauer an.

[Major König]

Das habe ich schon mehrmals aber laut der Auswertung ist alles OK

Logfile of HijackThis v1.98.2
Scan saved at 13:24:18, on 28.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_06\bin\javaw.exe
C:\WINDOWS\explorer.exe
C:\Programme\GSpot\GSpot.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1091053888531
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BCAAF2A-3040-4157-9590-B73F53C5DB7D}: NameServer = 62.72.64.237 62.72.64.241

[Matze]

Die GSpot.exe liegt aber beim Wurm nicht in C:\Programme\GSpot

Hast du eine Creative Soundkarte installiert?
Du UpdReg.exe gehört normalerweise zu einer.
http://www.hijackthis.de/filedb.php?keywor...g*&action=suche

[Major König]

Ja, habe ne Soundblaster Live 5.1 installiert.

[Major König]

Ne, habe nicht neu formatiert. Sollte ich wirklich was "unbekanntes" draufhaben, dann weiß ich doch garnicht wo sich das unbekannte befindet. Habe soviele Sachen die ich nicht einfach so löschen kann, ausserdem würde das so lange dauern, ich mache zwar 1 mal in der Woche nen backup, aber da müsste ja dann auch im Backup das unbekannte sein.
Ich habe den Virus jetzt mal in Quarantäne gepackt, kann da jemand gucken was der macht?

Dieser Beitrag wurde von Major König bearbeitet: 28. November 2004 - 17:03

[hans_maulwurf]

Schick den mir bitte mal per Email. ( hans.maulwurf@dashierentfernen|gmail.com)
Mal gucken was der unter wine macht

[Major König]

So, sollte hoffentlich bei dir ankommen.

Schöne Grüße an die Nachbarstadt Oberhausen.