Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rbot.LN mit hijackthis fixen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.12.2004, 20:05   #1
Macke0815
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Moin,
ich hab ja schon ein wenig darüber erfahren, was ich machen muss, um das Übel Worm/Rbot.LN loszuwerden. Dazu muss ich, soweit ich weiß, mein system neu raufspielen
Aber davor soll ich wohl noch in HijackThis ein paar einträge fixen. Aber ich weiß natürlich nicht welche. Deshalb hier meine logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AV\AVGNT.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AV\AVGUARD.EXE
C:\Programme\AV\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\hpzstatn.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Macke\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AV\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{30BF5A4C-0267-4453-97A7-11C037646BA3}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS3\Services\Tcpip\..\{30BF5A4C-0267-4453-97A7-11C037646BA3}: NameServer = 62.72.64.237 62.72.64.241


bitte, bitte helft mir!!!!

Alt 14.12.2004, 20:12   #2
Cidre
Administrator, a.D.
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Hallo,

Zitat:
Aber davor soll ich wohl noch in HijackThis ein paar einträge fixen.
Warum?

Zitat:
um das Übel Worm/Rbot.LN loszuwerden.
Poste mal den Pfad zum Rbot.LN, den dir AntiVir ausgegeben hat.
__________________

__________________

Alt 14.12.2004, 20:13   #3
Yopie
Moderator, a.D.
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Zitat:
Zitat von Macke0815
Moin,
ich hab ja schon ein wenig darüber erfahren, was ich machen muss, um das Übel Worm/Rbot.LN loszuwerden. Dazu muss ich, soweit ich weiß, mein system neu raufspielen
Aber davor soll ich wohl noch in HijackThis ein paar einträge fixen.
Da Du ja sowieso "format c:" machst, kannst Du Dir das fixen sparen.

Gruß
Yopie
__________________

Alt 16.12.2004, 21:15   #4
Macke0815
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



@yopie
also der pfad ging nach c:\windows\systen32\ glaube ich (muss nochmal genau nachgucken, weil ich nicht mehr mit meinem compi ins internet gehe. hab mir dadurch neue viren eingefangen)
Und außerdem wollte ich format c eigentlich vermeiden, backup wird trotzdem gemacht.

oder gibts dazu keine alternative?

danke für die meldung

Alt 16.12.2004, 21:42   #5
Yopie
Moderator, a.D.
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Zitat:
Zitat von Macke0815
also der pfad ging nach c:\windows\systen32\ glaube ich
[...]
Und außerdem wollte ich format c eigentlich vermeiden, backup wird trotzdem gemacht.

oder gibts dazu keine alternative?
Nein.

Backup vom verseuchten Rechner? Was soll das bringen?

Gruß
Yopie


Alt 17.12.2004, 13:12   #6
Macke0815
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Zitat:
Zitat von Yopie
Nein.

Backup vom verseuchten Rechner? Was soll das bringen?
soweit ich weiß, werden nur ausführbare dateien verseucht (.exe .bat .com etc)
und eigentlich würde ich ja schon gerne meine fotos und meine musikdateien, dokumente und so weiter retten wollen.

ok, ich mache es so:
erst mache ich datenrettung für sogenannte "nicht-ausführbare" dateien.
Dann kommt der nicht gern ausgeführte Befehl format c.
ja und der rest ist natürlich genauso mühsam .
aber dann ist hoffentlich alles sauber.

to be continued

das hat mein av-wächter(ich nutze av-personal) mal gesagt gehabt:
[WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.LN!
C:\WINDOWS\SYSTEM32\TFTP336
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

allerdings meldet er keine neuen infektionen.
Jedoch fragt mich meine fire-wall um die erlaubnis eines zugriffes eines "trivial file transfer" protokolls, was ich natürlich immer wieder blocke. aber der wurm scheint ja noch lange nicht "weg" zu sein.

Alt 17.12.2004, 13:26   #7
Yopie
Moderator, a.D.
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Zitat:
Zitat von Macke0815
soweit ich weiß, werden nur ausführbare dateien verseucht (.exe .bat .com etc)
und eigentlich würde ich ja schon gerne meine fotos und meine musikdateien, dokumente und so weiter retten wollen.

ok, ich mache es so:
erst mache ich datenrettung für sogenannte "nicht-ausführbare" dateien.
Dann kommt der nicht gern ausgeführte Befehl format c.
ja und der rest ist natürlich genauso mühsam .
aber dann ist hoffentlich alles sauber.
Ja, das ist ok. Du solltest aber auch die reinen Daten-Dateien nach der Sicherung scannen, auf einem sauberen Rechner.
Zitat:
Zitat von Macke0815
Jedoch fragt mich meine fire-wall um die erlaubnis eines zugriffes eines "trivial file transfer" protokolls, was ich natürlich immer wieder blocke. aber der wurm scheint ja noch lange nicht "weg" zu sein.
Das ist ja das tückische bei Backdoors. Jemand hatte Vollzugriff auf Deinen Rechner und konnte Dir Schadprogramme unterjubeln, die von Virenscannern nicht erkannt werden.

Achte darauf, dass vor dem Onlinegehen nach Neuaufsetzen alle Updates installiert sind, Du keine Dienste ins Internet anbietest (welches Betriebssystem?) und Du (bei XP) die Firewall aktiviert hast. Für die Updates bietet es sich an, die winboard-org-UpdatePacks von einem sauberen Rechner runterzuladen. So hast Du zumindest schon mal die meisten.
Zum sicheren Browser brauch ich ja nix sagen, Du benutzt den Firefox ja schon.
Ach so, noch was: Java ist in der Version "_06" aktuell!

Und zum Schluß noch mein Lieblingslink. Durchlesen und verinnerlichen!

Gruß
Yopie

Alt 02.01.2005, 14:22   #8
Macke0815
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



erstmal ein gesundes neues an alle.

und nun zur schlechten nachricht. der kandidat worm/agobot.136218 hat mindestens die beiden dateien MSlti64.exe und winhlpp32.exe infiziert.(erstere kann nur nach reboot gelöscht werden, zweitere wurde vom antiviren-prog schon gelöscht, war vielleicht etwas voreilig von mir )

meine hijackthis-log:

Logfile of HijackThis v1.99.0
Scan saved at 14:06:38, on 02.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\hpzstatn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\Sygate\SPF\smc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\DOKUME~1\Icke\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{54286AC8-31D6-48DB-AEEE-D13C89212975}: NameServer = 217.9.42.98 217.9.47.254
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Printer Status Server - Hewlett-Packard Company - C:\WINDOWS\System32\spool\drivers\w32x86\hpzstatn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

ich hab ja schon ein paar kandidaten, aber wollte erst noch ne versierte meinung einholen, bevor alles wieder futsch is

der virus (wenn es denn der und nicht ein anderer war; ist ja möglich) trat, kurz nachdem ich die WindowsXP- eigene firewall deaktiviert habe, auf. seine aktion ist ein, immer wieder in sehr unregelmäßigen abständen, selbständiges herunterfahren des rechners. also es öffnet sich ein nicht schließbares fenster, wo ein countdown von ner minute runtergezählt wird. die begründung der herunterfahr-aktion wird im fenster als "...RPC [irgendeine remoteprozedur] beendet" angegeben.
der befehl "shutdown -a" bringt leider nix. ich kann nur zugucken und warten.

Alt 02.01.2005, 14:43   #9
Cidre
Administrator, a.D.
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Zitat:
worm/agobot.136218 hat mindestens die beiden dateien MSlti64.exe und winhlpp32.exe infiziert.
Er hat die Dateien nicht infiziert, sondern das sind die Dateien der Malware (Agobot).
Info zu den beiden Dateien wird Google mit Sicherheit liefern.

Lange Rede kurzer Sinn und erneut dies ausführen:
http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:
kurz nachdem ich die WindowsXP- eigene firewall deaktiviert habe
Darum sollte ja auch ein System voll gepatcht sein, damit man sich eben nicht auf die Scheinsicherheitssoftware "Desktop Firewall", in deinem Fall die Windows eigene XP Internetverbindungsfirewall, verlassen muss.

Les dir diesmal alle Links meiner Empfehlung durch und handle wenigstens jetzt danach!

btw:
Ein Image von deinem frisch aufgesetzten Windows XP hast du doch nicht erstellt, oder?
Wozu auch?!
__________________
Gruß, Cidre


Alt 02.01.2005, 14:49   #10
Macke0815
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



hm... das ist alles, was dazu zu sagen war? gibt es denn keine möglichkeit ihn anders loszuwerden?

Alt 02.01.2005, 15:08   #11
HerrKautz
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Kurz und knapp;Nein!

Dazu auch: http://oschad.de/wiki/index.php/Kompromittierung

Alt 02.01.2005, 15:15   #12
MountainKing
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



Agobot hat dieselbe Gefährlichkeitsstufe wie der Rbot, daher dieselben Konsequenzen. Allerdings musst du dich dann diesmal auch genau an das halten, was gesagt wurde, denn auch der neue Wurm muss irgendwoher gekommen sein, entweder aus Backups von deinem alten Rechner (was genau hast du gesichert und wiederverwendet) oder durch nicht gepatchte Sicherheitslücken (du hast nicht alle Patches installiert) oder durch wieder neu heruntergeladene infizierte Dateien. Von dem alten System sollten wirklich NUR, wenn überhaupt, reine Daten also doc, mp3, gesichert werden, Zip-Dateien, die Programme enthalten, sind genauso gefährlich wie exe-Dateien.

Alt 02.01.2005, 22:25   #13
Macke0815
 
Rbot.LN mit hijackthis fixen? - Standard

Rbot.LN mit hijackthis fixen?



@mountainKing
danke für die Antwort. ich hab bei meinen backups darauf geachtet, KEINE ausführbaren Dateien, sowie gepackte Dateien, auf scheibe zu sichern.

ich hoffe, eigene bilddateien (*.jpg) sind auch unproblematisch.

Antwort

Themen zu Rbot.LN mit hijackthis fixen?
.inf, avg, bho, check, cs3, dateien, desktop, drivers, einstellungen, excel, firefox, hijack, hijackthis, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, neu, nvcpl.dll, programme, rundll, rundll32.exe, software, system, system neu, system32, tcpip, teamspeak, träge, windows, windows\system32\drivers



Ähnliche Themen: Rbot.LN mit hijackthis fixen?


  1. Windows 8.1: Hijackthis fixen funktioniert nicht
    Log-Analyse und Auswertung - 13.07.2014 (7)
  2. O13 - gopher Prefix: missing Art Sofort fixen! Grundsätzlich fixen!
    Log-Analyse und Auswertung - 03.07.2012 (1)
  3. HijackThis: Dateien nach fixen immernoch vorhanden
    Log-Analyse und Auswertung - 20.05.2010 (1)
  4. nach msa.exe weitere Viren, z.B. "False Alerts",HijackThis fordert manuelles Fixen.
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (3)
  5. taskmang.exe (file missing) - Ich kann es nicht mit HiJackThis fixen
    Log-Analyse und Auswertung - 06.11.2009 (1)
  6. Eintrag in Hijackthis lässt sich nicht fixen
    Log-Analyse und Auswertung - 14.06.2009 (4)
  7. Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw
    Plagegeister aller Art und deren Bekämpfung - 03.12.2007 (6)
  8. HiJackThis-Einträge lassen sich nicht fixen
    Log-Analyse und Auswertung - 29.09.2006 (2)
  9. SPR/REG.Zapchast und WORM/Rbot.148992.11 -- REMOVE mit HiJackThis??
    Log-Analyse und Auswertung - 15.06.2006 (2)
  10. HiJackThis Log Worm/Rbot.67393
    Log-Analyse und Auswertung - 18.11.2005 (4)
  11. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  12. Brauche mal Hilfe beim fixen mit HiJackThis
    Log-Analyse und Auswertung - 20.08.2005 (6)
  13. Vermutlich Trojaner: Fixen mit Hijackthis oder XP neu installieren?
    Log-Analyse und Auswertung - 10.03.2005 (4)
  14. Was ist den fixen?
    Log-Analyse und Auswertung - 14.02.2005 (1)
  15. nach hijackthis fixen ist kein land in Sicht...
    Log-Analyse und Auswertung - 27.01.2005 (19)
  16. Hilfe!? rbot kann sich jemand mal das Hijackthis anschauen?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2004 (1)
  17. Brauche hilfe beim Fixen mit Hijackthis
    Log-Analyse und Auswertung - 30.07.2004 (6)

Zum Thema Rbot.LN mit hijackthis fixen? - Moin, ich hab ja schon ein wenig darüber erfahren, was ich machen muss, um das Übel Worm/Rbot.LN loszuwerden. Dazu muss ich, soweit ich weiß, mein system neu raufspielen Aber davor - Rbot.LN mit hijackthis fixen?...
Archiv
Du betrachtest: Rbot.LN mit hijackthis fixen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.