Ein Bekannter hat sich scheinbar nen Wurm eingefangen. Normaler Desktophintergrund wird nichtmehr angezeigt, sondern eine Internetseite mit rotem Hintergrund und der Schrift
"You're downloading illegal mp3s [tut er gar nicht!] ...bla bla bla... You're Data is logged ... bla bla bla ... FBI knows everything about you ... bla bla bla ... Click here to remove all trackings".

AdAware, AntiVir, Spybot und CWShredder waren erfolglos. Ich dachte an den Look2Me, aber das Removing Tool hat nichts gefunden. Hier mal das HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 00:00:24, on 24.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\fe8b14bdbb0.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Tim\Homepage\Server\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\fe8b14bdbb0.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Labtec\Wireless Mouse\MulMouse.exe
C:\WINDOWS\System32\fe8b14bdbb0.exe
C:\WINDOWS\explorer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Dokumente und Einstellungen\lklhlrlh lklghll\Desktop\Musik\gfhjk\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int
ernet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int
ernet Settings,ProxyOverride = *.t-online.de;localhost;;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV0
2.EXE
O4 - Global Startup: Labtec Maus Software 2.0.lnk = C:\Programme\Labtec\Wireless Mouse\MulMouse.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{35175E58-4B60-46A5-ADC1-C0FEFEF3CBC6}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: WindowInstallSystem (fe8b14bdbb0svr) - Unknown owner - C:\WINDOWS\fe8b14bdbb0.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - C:\Tim\Homepage\Server\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Ideas, anyone?

C:\WINDOWS\fe8b14bdbb0.exe
C:\WINDOWS\System32\fe8b14bdbb0.exe
C:\WINDOWS\System32\fe8b14bdbb0.exe

O4 - HKLM\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe
O4 - HKCU\..\Run: [fe8b14bdbb0] C:\WINDOWS\System32\fe8b14bdbb0.exe
O23 - Service: WindowInstallSystem (fe8b14bdbb0svr) - Unknown owner - C:\WINDOWS\fe8b14bdbb0.exemmm...

Die Datei scheint mir sehr merkwürdig zu sein.
Lad die Datei mal auf einen der beiden Seiten hoch, um zu sehen, ob sie bekannt ist.
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html
Wenn die Datei sich als böse entpuppt und Antivir sie immernoch nicht kennt, kannst du die Datei mal bei denen hochladen, damit die in Zukunft erkannt wird ... http://www.antivir.de/de/support/verdaechtige_dateien/index.html ...

Das Log kannst du ansonsten nochmal auf der Seite von HijackThis selber auswerten lassen, ich hab beim schnellen drübergucken nichts weiter gefunden ...

Sieht mir nach 'nem Volltreffer aus!
Zu der Datei gibts übrigens noch ne gleichnamige .ini und .sys

File: fe8b14bdbb0.exe
Status: INFECTED/MALWARE
MD5 aa72fe62bc984b199c653d5117022d59
Packers detected:
-
Scanner results

AntiVir
Found Backdoor-Server/HacDef.BJ backdoor

ArcaVir
Found Trojan.Small.A09.A4

Avast
Found nothing

AVG Antivirus
Found BackDoor.Generic.MTB

BitDefender
Found Backdoor.Hacdef.BJ

ClamAV
Found nothing

Dr.Web
Found BackDoor.HackDef.117

F-Prot Antivirus
Found W32/Hackdef.FD

Fortinet
Found W32/HacDef.BJ-bdr

Kaspersky Anti-Virus
Found Backdoor.Win32.HacDef.bj

NOD32
Found Win32/HacDef

Norman Virus Control
Found W32/Hacdef.AP

UNA
Found Backdoor.Hacdef

VBA32
Found Backdoor.Win32.HacDef.bj

Das heißt, EIGENTLICH sollte AntiVir den Wurm beseitigen können.

Da der Schädling nun gefunden ist, solltet ihr euch jetzt mal Gedanken drüber machen wie der Kram überhaupt auf den Rechner gekommen ist. Irgendwo ist eine Lücke im Sicherheitskonzept. Evtl. hat jemand auch einfach sein Hirn nicht genutzt und wollte Nacktbilder von der ultrageilen Nachbarin sehen, die dann aber *.jpg.exe hießen oder aber die Malwareschleuder ed2k hat anstatt der neusten ultraleeten Raubkopien dieses nette Programm gebracht.

Ist mir JETZT eigentlich Hupe, erstmal gehts darum, das Vieh loszuwerden. Wenns runter ist, können wir uns darüber Gedanken machen.

http://www.f-secure.de/v-desk/hacdef.shtml#disinf

Das ist er. Aber Blacklight hat nichts gebracht. Gibt es ähnliche Programme, die gegen hacDef. helfen?

Das heißt, EIGENTLICH sollte AntiVir den Wurm beseitigen können.mmm...

Signaturen aktualisieren und schauen, ob Antivir das Teil dann entfernen kann.

Allerdings würde ich bei dem Teil lieber überlegen, das System neu aufzuspielen, sprich zu formatieren. Das Teil ist ein Rootkit und wird wohl einige Sachen verbogen haben. Bei "normaler" Malware reicht es eigentlich, die Dateien von dem Teil zu löschen und gut ist. Bei Rootkits kann aber einiges mehr verändert worden sein ...

Stimmt, ist ein RootKit, war aber ursprünglich eher als "Proof-of-concept-RootKit" gedacht. Leider is da halt der Quellcode mit dabei der einen bösen aber fähigen Programmierer sicher auf dumme Ideen bringt... :mad:
2006 wird das Jahr der RootKits, das kann ja heiter werden... ;(
Ich sehe schon viele Knoppix-basierende Offline-Scanner auf uns zukommen... :rolleyes:

MfG
Rooter