Darkmoon Backdoor Trojaner Einstellungen

[SebastianS]

Hallo liebe Forummitglieder,
ich habe ein Problem mit einem Backdoor Trojaner "Darkmoon"
Ich habe Antivir, Spybot search & destroy, und SpywareDoctor.
SpywareDoctor hat mir die Meldung angezeigt, die Anderen Programme nicht. das Programm hat mir auch den Pfad angegeben, aber da kann ich keinen Eintrag feststellen.

HKCU\Software\ksdev\themeengine Hoch Backdoor.Darkmoon
HKCU\Software\ksdev\themeengine## Hoch Backdoor.Darkmoon HKCU\Software\ksdev\themeengine\4.0 Hoch Backdoor.Darkmoon HKCU\Software\ksdev\themeengine\4.0## Hoch Backdoor.Darkmoon HKCU\Software\ksdev\themeengine\4.0\dialogs Hoch Backdoor.Darkmoon

Wenn ich die Registry reingehen und in die Ordner sehe, steht da nichts drin?? Kann ich nicht verstehen.

Vielleicht kann jemand was dazu sagen, ich weis auch das es ein keylogger ist und ich den Trojaner gerne los sein möchte.

Gruß
SebastianS

[Gast_rock_*]

wenn du das programm "KSDV" zuordnen kannst dann check diese themenengine datei online:

Software\ksdev\themeengine 4.0, dialogs,.. etc.

www.virustotal.com



Der Beitrag wurde von rock bearbeitet: 10.02.2007, 11:49

[SebastianS]

Hallo rock,
ich habe XP prof. habe mal versucht, aber ich kann den Ordner nicht finden, den ich bei Virustotal beim Suchen hochladen soll. Ich finde nur Software distribution.

[Gast_Xeon_*]

Poste mal ein Hijack This Log.

[Gast_rock_*]

themenengine ist ein programm von ksdev (weist du (nicht) ob du sowas installiert hast???)

http://www.softpedia.com/get/Programming/C...emeEngine.shtml

du solltest die anwendung checken (exe) aber sieht man in dem log leider nicht... nur registry pfade... (blöderweise)....

sieht aber wie ein fehlalarm aus.


poste aber trotzdem bei bedarf einen hj log...kann ja nebenbei eventuell was anderes nicht in ordnung sein...

(eigene anmerkung: trojancheck, antivir, spybot, spywaredoctor... das arme system!!)



Der Beitrag wurde von rock bearbeitet: 10.02.2007, 12:59

[SebastianS]

Ich habe nochmal in der reg. die Ordner angesehen,
Ordner: ksdev ab(Standard) REG SZ wert nicht gesezt

Unterordner:themeenging
steht das gleiche drin

unterordener 4.0
steht das gleiche drin

unterordner:dialogs
gibt mir den Pfad zum Desktop an

[Gast_rock_*]

da drinnen wirst du nichts finden. die anwendung ist unter programme - wo der ordner vom programm theme engine von Ksdev angeführt ist.

[SebastianS]

Meinst Du
HKCU windows software? da war ich drin. Ordner Programme finde ich nicht.

[Gast_Xeon_*]

Am einfachsten wäre es wohl,wenn man ein Hijack This Log hätte.

[SebastianS]

@xeon
Ich kenne mich nur etwas aus.
Vielleicht kannst Du mir sagen wie ich das machen soll. Das habe ich noch nicht gemacht.

[Gast_Xeon_*]

@xeon
Ich kenne mich nur etwas aus.
Vielleicht kannst Du mir sagen wie ich das machen soll. Das habe ich noch nicht gemacht.

Anleitung und Download

[Gast_Eazi_*]

Hallo SebastianS!

Hier eine, wie ich finde, gute Anleitung für das HijackThis-Log:

http://www.trojaner-board.de/17493-anleitung-hijackthis.html

EDIT: Ups, da war wohl der Xeon schneller:-)


Liebe Grüße,
B.

Der Beitrag wurde von Eazi bearbeitet: 10.02.2007, 15:26

[SebastianS]

Hier mein Log file:
Logfile of HijackThis v1.99.1
Scan saved at 15:37:10, on 10.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\csrss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS.1\system32\nvsvc32.exe
C:\WINDOWS.1\system32\oodag.exe
E:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\-editiert-\-editiert-\-editiert-\-editiert-Service.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS.1\system32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\WINDOWS.1\System32\alg.exe
C:\WINDOWS.1\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\WINDOWS.1\SOUNDMAN.EXE
C:\WINDOWS.1\system32\wbem\wmiprvse.exe
C:\WINDOWS.1\system32\RUNDLL32.EXE
C:\WINDOWS.1\gtwatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
E:\Programme\Wisterer HX\WistererHX.exe
E:\Programme\Spyware Doctor\swdoctor.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS.1\twain_32\S6U12K\WATCH.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trojancheck 6\tc6.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS.1\regedit.exe
C:\WINDOWS.1\system32\wbem\wmiprvse.exe
D:\My Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~3\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~3\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\PROGRA~3\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.1\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.1\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS.1\gtwatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WistererHX] "E:\Programme\Wisterer HX\WistererHX.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "E:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS.1\twain_32\S6U12K\WATCH.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~3\SPYWAR~1\tools\iesdpb.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows.1\system32\nvappfilter.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.1\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.1\system32\oodag.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: -editiert- iSCSI Service (-editiert-Service) - Rocket Division Software - C:\Programme\-editiert-\-editiert-\-editiert-\-editiert-Service.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

[Gast_rock_*]

Meinst Du
HKCU windows software? da war ich drin. Ordner Programme finde ich nicht.

nö.... ich gebs auf...

nur nochmal eine frage:
themenengine ist ein programm von ksdev (weist du (nicht) ob du sowas installiert hast???)

[SebastianS]

Hallo rock,
themenengine ist ein programm von ksdev (weist du (nicht) ob du sowas installiert hast???)

Also bewusst habe ich davon nichts installiert, habe aber im Forum gelesen dass es etwas mit Darstellungen zu tun hat, ich nehme an dass es mit irgendeinem Programm mit installiert ist.

Ich habe mal das Log file reingesetzt, kannst Du bitte mal das Anschauen, Danke.

[Gast_rock_*]

am log is nix.... keine malware. und teilweise bereits editiert/ausgebessert.

[SebastianS]

Danke rock,
ich frage mich, warum AV, und spybot.... mir keine Meldung machen.
Nur der SpywareDoctor, ist denn kein Verlass auf diese Programme, ich meine man wird in Sicherheit gewiegt aber es könnte doch ein Trojaner im System sein.
Wenn mir das Pr. das nicht gemeldet hätte, oder ist es ein Fehlalarm: Nur als Hinweis für andere User.

schönen Tag noch

SebastianS

[Gast_Eazi_*]

Hallo!

Du wirst bei jedem AV- / oder AS-Programm feststellen müssen, dass keines 100% findet und finden wird. Auch FalsePositives (Fehlalarme) wird es leider immer geben. Was der eine erkennt, erkennt ein anderer wiederum nicht und umgekehrt.
All diese Programme können helfen, aber nicht Deinen PC abriegeln/ vollständig immunisieren und vor allen Bedrohungen im Internet schützen.
Ebenso sind sie häufig nicht in der Lage, infizierte Systeme zu desinfizieren oder schädliche Dateien zu löschen.
Spätestens dann, wenn Du einen Blick ins Trojaner-Board wirfst (http://www.trojaner-board.de/) und siehst, wieviele User trotz Nutzung der weltweit "besten" AV´s (Kaspersky/NOD/Avira/Symantec etc.) sich Schädlinge einfangen, die nur durch ein komplettes Neuaufsetzen des Systems von der Festplatte zu bereinigen sind, wird Dir bewusst, dass eben diese Programme nur einen Teil einer langen Sicherheitskette darstellen.


Liebe Grüße,
B.

[SebastianS]

Ich habe noch eine Frage an die Experten hier,
Ist es irgendwie möglich das System XP SP2 Firewall windows, so einzustellen, dass man eine Info bekommt wenn ein Hackerangriff auf den PC erfolgt, bzw. wenn irgendwelche Daten vom System ins Netz abgerufen werden.
Oder gibt es ein Programm was das Überwachen kann?

Habe gerade was gelesen von den Keyloggern die Videos anfertigen, und dann von der Eingabe an einer virtuellen Tastatur per Video aufzeichnen und zu den Hacker schickt. (Wird von den Geldinstituten als sehr sicher eingestuft.
Ich meine auch, das derjenige sich das Konto ansehen kann, aber ich glaube nicht, dass der ohne die TAN Liste wirklich Geld vom Konto abbuchen kann, oder?
Kann mir denn jemand sagen wie das ist bei einem Onlinebanking Verfahren mit der Einzugsermächtigung, könnte da jemand etwas Abbuchen? (Wenn er natürlich keine besitzt).

Das Thema ist vielleicht für Einige sehr interessant.

Ich möchte mich bei den Jungens hier bedanken, das sie so spontan geantwortet haben, und mich etwas beruhigt haben.
Ich finde das zeichnet ein gutes Forum aus

Gruß
SebastianS

[Gast_Xeon_*]

Ich habe noch eine Frage an die Experten hier,
Ist es irgendwie möglich das System XP SP2 Firewall windows, so einzustellen, dass man eine Info bekommt wenn ein Hackerangriff auf den PC erfolgt, bzw. wenn irgendwelche Daten vom System ins Netz abgerufen werden.

Ein Hackerangriff wird auf dein System nicht erfolgen,da mach dir mal keine Sorgen.
Hacker haben andere Ziele als Privatnutzer anzugreifen.

Was du vermutlich meinst ist,wenn du dich mit Malware infiziert hast und Daten von deinem PC nach außen geschickt werden.Ja,sowas ist natürlich möglich,aber wenn der Schädling erst mal auf dem System ist,ist der Fehler schon passiert und genau das soll verhindert werden.Und um das zu verhindern,tragen der Virenscanner,die Firewall und vor allem du selbst den größten Teil dazu bei,indem du nicht auf alles klickst und vor allem mit Brain arbeitest.
Auch Schutzsoftware,wie eine Internet Security kann dich nicht vor allem schützen,egal von welchem Hersteller das Produkt ist !

Die Windows Firewall überwacht übrigens nur eingehenden Datenverkehr.Wenn du willst das der ausgehende auch überwacht bzw.protokolliert wird,mußt du eine Personal Firewall einsetzen.

Habe gerade was gelesen von den Keyloggern die Videos anfertigen, und dann von der Eingabe an einer virtuellen Tastatur per Video aufzeichnen und zu den Hacker schickt. (Wird von den Geldinstituten als sehr sicher eingestuft.
Ich meine auch, das derjenige sich das Konto ansehen kann, aber ich glaube nicht, dass der ohne die TAN Liste wirklich Geld vom Konto abbuchen kann,

Ja das ist durchaus möglich,es gab sogar schon Fälle in denen eine Lücke in der Banksoftware selbst ausgenutzt und dem Kontoinhaber so das Geld aus der Tasche gezogen wurde.Das ist aber keinesfalls die Regel und die Bank mußte natürlich für den Schaden aufkommen,aber sowas kann natürlich auch wieder passieren.
In der Regler kann der Cracker (Hacker sind eigentlich die guten Jungs )ohne Pin,Tan und was es sonst noch so alles gibt nicht an dein Konto ran,solange du keine dieser Daten weitergibst.
Die Cracker werden aber immer gerissener,deshalb ist bei Onlinebanking immer Vorsicht geboten.

Kann mir denn jemand sagen wie das ist bei einem Onlinebanking Verfahren mit der Einzugsermächtigung, könnte da jemand etwas Abbuchen?(Wenn er natürlich keine besitzt).

Da bin ich mir nicht so sicher,wie das beim Onlinebanking aussieht.
Du kannst aber nicht gewollte Abbuchungen im Normalfall rückgänig machen.