BDS/Backdoor.Gen

Hallo,

habe heute mein System über AntiVir prüfen lassen und 4 Warnungen erhalten vom oben genannten Virus.

In welchen Dateien befindet sich denn der Virus...habe gelsen dass man Passwörter etc. alles ändern soll bzw. neu aufsetzen...möchte aber nicht unbdingt nun neu aufsetzen!
Wie kam der virus überhaupt rauf???
Was kann ich denn tun!

HILFEEE dringend

Danke!
grüße

 

Da findest Du infos

http://www.avira.com/de/threats/section/details/id_vir/4075/bds_backdoor.gen.html

sorry aber Windows ist nicht meine Baustelle

Gruß
neppo

 

dafür meine xD


@ TO: welche Dateien sind befallen? (Pfad- vom Avira log)
lade die Dateien mal auf virustotal hoch und lass sie online checken, Bereicht hier posten

ferner:
klick mal aufs Bild...
>> <<

 

Hallo!

Danke für die vielen Rückmeldungen...
Ich kopier erstmal die Dateien rein wo die Meldungen kamen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WTK2.5.1\bin\emulator.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492d69ad.qua' verschoben!
C:\WTK2.5.1\bin\mekeytool.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492369b2.qua' verschoben!
C:\WTK2.5.1\bin\prefs.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491d69c5.qua' verschoben!
C:\WTK2.5.1\bin\utils.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492169db.qua' verschoben!

Hab versucht die über Virus total hochzuladen, aber das funktioniert nicht...vielleicht weil die im Quarantäneverzeichnis liegen??? Bin da leider total planlos!

Jedenfalls versuchs ich zwischenzeitlich mal ber HijackThisLogs.

Grüße

 

...so hab die Dateien nun über VJottis checken lassen, da war alles ok...bei Virus Total gabs folgendes Ergebnis:

Antivirus Version Last Update Result
AntiVir 7.8.1.23 2008.08.29 -
AVG 8.0.0.161 2008.08.29 -
BitDefender 7.2 2008.08.30 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.30 -
DrWeb 4.44.0.09170 2008.08.30 -
eSafe 7.0.17.0 2008.08.28 -
Ewido 4.0 2008.08.30 -
F-Secure 7.60.13501.0 2008.08.30 Suspicious:W32/Clearlog.c!Gemini
GData 19 2008.08.30 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.30 -
PCTools 4.4.2.0 2008.08.29 -
Prevx1 V2 2008.08.30 -
Symantec 10 2008.08.30 -
VBA32 3.12.8.4 2008.08.29 -
Webwasher-Gateway 6.6.2 2008.08.29 -
Additional information
File size: 32768 bytes
MD5...: a6f42854f8e633160025087b8de49d1c
SHA1..: 8543e9a94aea9ac84de196d16b19777cb74c8bf2
SHA256: 00ae0aa8340afd53ab70184270839ac9507dd9b2a0a2c110eb609ee4baef9c58
SHA512: 6be9f0cfec29a837a403bcf1cd4771107cd36fec0d8f3573bffe15738cbf0f9c
9443fe3a06b289c5fea26b52e4803bd249d683ba8665d6a6e228235f5ca9d40d
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401ae8
timedatestamp.....: 0x464c6dfc (Thu May 17 15:00:12 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4cf8 0x5000 6.48 22106249414c8c03a408c681a51a02a0
.rdata 0x6000 0x8c0 0x1000 3.46 07daa722fa93935639023f1a6e298f41
.data 0x7000 0x1ebc 0x1000 1.56 161ed5c6616c0b1aadd98604efb1be9a

( 2 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: HeapDestroy, GetStringTypeW, GetModuleFileNameA, CreateProcessA, ExitProcess, TerminateProcess, GetCurrentProcess, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, HeapFree, GetLastError, CloseHandle, ReadFile, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapCreate, VirtualFree, RtlUnwind, WriteFile, HeapAlloc, VirtualAlloc, HeapReAlloc, SetStdHandle, FlushFileBuffers, SetFilePointer, CreateFileA, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetEndOfFile, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA

( 0 exports )

Also eine Meldung! Was bedeutet denn das?

 

sptd.sys :Hast du Daemon Tools installiert? Das benutzt eine Art Rootkitfunktion und kann Kopierschutz umgehen, weshalb es umstritten ist. Hier wird es nicht gerne gesehen und Antivir stuft es offensichtlich als schädlich ein.
http://de.wikipedia.org/wiki/Daemon_Tools
WTK2.51: http://java.sun.com/products/sjwtoolkit/download-2_5_1.html

 

Hi
danke für die Info...also ich weiss nicht
Es ist so, dass dieses WTK doch eigentlich dieses Wireless Toolkit ist?? oder, wir mussten das für die Schule runterladen, weil wir da was programmiert hatten.
Kann es sein, dass dieses Daemon, dann automatisch mitruntergeladen wurde??? Wenn es etwas ist, was Kopierschutz etc. illegal ist, dann dürfte es wohl nicht der fall sein, weil wir ja dieses WTK wie gesagt fürs Studium geladen haben???

Wo befindet sich dieses Daemon denn, damit ich das deinstalliere...konnte es unter Software nicht finden....

 

Daemon Tools wird nicht aus Versehen installiert, sondern mit einer bestimmten Absicht.
Und jetzt mach mal das HJT-Log. Vielleicht gehört sptd.sys auch zu einem anderen Tool eines hoffnungsfrohen Script Kiddies vielleicht?

 

daemon ist ein laufwerkemulator....