Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: RBot & TR/Dldr.IstBar.A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.03.2005, 13:07   #1
slyght
 
RBot & TR/Dldr.IstBar.A - Frage

RBot & TR/Dldr.IstBar.A



Hi allerseits

Hab auf dem Rechner meiner Eltern den Wurm RBot und den Trojaner TR/Dldr.IstBar.A sowie den HTML-Scriptvirus HTML/Exploit.Mhtml gefunden. Bin leider erst jetzt dazu gekommen SP2 und entsprechende Updates zu installieren. Hab mit AntiVir im abgesicherten Modus versucht diese zu löschen aber zumindest der Trojaner taucht beim Surfen im Internet immer wieder auf.
Nachdem ich hier ein wenig im Forum gelesen habe, hab ich mich an Hijack This probiert und zwei verdächtige Dateien gelöscht, die im Zusammenhang mit dem Trojaner schon mal aufgetaucht sind.

Wollte jetzt fragen, ob das nun reicht oder ob ich das System wirklich neu Aufsetzen muss. Ich poste mal das letzte aktuelle HijackThis Log - falls euch dort nichts mehr auffällt sollte das System doch bereinigt sein, oder?

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 1:53:05 PM, on 3/30/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112118103076
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3631EF-BB53-49C9-BE95-1B405312C073}: NameServer = 62.53.167.19 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
         
Mistrauische Grüße,

slyght

Alt 30.03.2005, 13:49   #2
Gigamail
 
RBot & TR/Dldr.IstBar.A - Standard

RBot & TR/Dldr.IstBar.A



Hi,

lade als erstes den eScan und update wie unten beschrieben, aber noch nicht scannen!!
--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe

suche auf dem Rechner nach den Dateien (Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK")und wenn vorhanden löschen

Scanne jetzt Dein System mit eScan
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________

__________________

Alt 30.03.2005, 17:36   #3
slyght
 
RBot & TR/Dldr.IstBar.A - Standard

RBot & TR/Dldr.IstBar.A



Danke für die Hinweise!

Hab sie befolgt und das Log von escan spuckte folgendes aus:

Code:
ATTFilter
Wed Mar 30 17:04:11 2005 => Scanning HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wed Mar 30 17:04:11 2005 => Scanning File C:\WINDOWS\System32\CTFMON.EXE
Wed Mar 30 17:04:11 2005 => Scanning File C:\WINDOWS\system32\winhost.exe
Wed Mar 30 17:04:17 2005 => File C:\WINDOWS\system32\winhost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wed Mar 30 17:14:42 2005 => Scanning File C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\Spiele\DX Ball\dxball19.exe
Wed Mar 30 17:14:43 2005 => File C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\Spiele\DX Ball\dxball19.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
         
Daraufhin habe ich die Datei C:\WINDOWS\system32\winhost.exe gelöscht. (Allerdings nicht im abgesicherten Modus, da ich sie dort nicht gesehen habe.) Habe vorher geschaut, ob sie im Taskmanager unter Prozesse zu finden ist, aber dem war nicht so. Bin mir nicht sicher, ob die Datei nicht vielleicht doch noch vorher ausgeführt wurde...

Die zweite Meldung kann man ignorieren oder? Das ist nur ein altes Freeware Spiel.

HiJackThis bringt nun folgendes Log:
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 6:25:44 PM, on 3/30/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112118103076
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
         
Sind dort immer noch verdächtige Dateien?

Meine Eingangsfrage kann man auch mit dem Wissen, um welche Malware es sich gehandelt hat, pauschal nicht beantworten, oder?


Fragende Grüße,

slyght
__________________

Alt 30.03.2005, 17:42   #4
Haui45
 
RBot & TR/Dldr.IstBar.A - Standard

RBot & TR/Dldr.IstBar.A



Zitat:
Wed Mar 30 17:04:17 2005 => File C:\WINDOWS\system32\winhost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung absichern".


Infos zum RBot.gen:
http://www.sophos.de/virusinfo/analyses/w32rbotot.html
Zitat:
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Verändert Kennwörter
# Speichert Tastenfolgen


http://www.antiviruslab.com/descript...176952&lang=de
Zitat:
Backdoor Eigenschaften
Durch bestimmte Keywords können folgende Aktionen ausgelöst werden:


* Das infizierte System zum HTTP oder SOCKS4 Proxy-Server umkonfigurieren
* DNS Einträge löschen
* IP/Hostnames als DNS Einträge auflösen
* Ports umleiten
* Den IRC-Server wechseln
* Verbindungen zu einem IRC Server aufbauen
* Verbindungen zu einem IRC Server beenden
* einem IRC Kanal beitreten
* einen IRC Kanal verlassen
* in IRC den Modus wechseln
* eine Nachricht zu einem IRC Server schicken
* eine Nachricht zu einem privaten Nutzer schicken
* Netzwerkfreigaben deaktivieren
* Systeminformationen anzeigen (CPU Geschwindigkeit, Größe des Speichers, ID für Betriebssystem und Hardware, Benutzername, Uptime)
* Eine Datei öffnen
* Eine .EXE Datei ausführen
* Dateien von einer Webseite laden, aktualisieren und ausführen
* Dateien via FTP laden, aktualisieren und ausführen
* Tastatureingaben aufzeichnen
* Den Status von Backdoor.Rbot.gen prüfen
* Backdoor.Rbot.gen deinstallieren
* Backdoor.Rbot.gen updaten

Alt 30.03.2005, 17:55   #5
slyght
 
RBot & TR/Dldr.IstBar.A - Standard

RBot & TR/Dldr.IstBar.A



Auch auf die Gefahr hin, dass die Frage schon an anderer Stelle beantwortet wurde:

Warum reicht nicht das Entfernen des Backdoor Wurms? Wenn dieser vom System entfernt wurde, wie kann er dann noch aktiv werden?

Zudem sind inzwischen SP2 und alle aktuellen Patches installiert, Win Firewall läuft, AntiVir ist auf dem neuesten Stand im läuft ebenfalls im Hintergrund. Als Browser wird ausschließlich die letzte stable Version von Opera benutzt.

Auf dem Rechner sind außer den Windows Passwörtern keine weiteren gespeichert, da meine Eltern den Rechner nur ab und zu für MS Office brauchen und nie ins Internet gehen (lediglich ich gehe ab und zu Call by Call ins Netz, wenn ich mal ein paar Tage zu Hause bin).


Alt 30.03.2005, 17:56   #6
Haui45
 
RBot & TR/Dldr.IstBar.A - Standard

RBot & TR/Dldr.IstBar.A



Zitat:
Auch auf die Gefahr hin, dass die Frage schon an anderer Stelle beantwortet wurde:
Wurde sie schon, in dem Link zum Neuaufsetzen

Zitat:
Q: Warum ist eine Bereinigung des kompromittierten Systems
durch Removal-Tools und AV Scanner nicht sinnvoll?

Antwort

Themen zu RBot & TR/Dldr.IstBar.A
abgesicherten modus, adobe, antivir, antivir update, bho, dateien gelöscht, einstellungen, excel, explorer, frage, hijack, hijack this, hijackthis, hijackthis log, html/exploit.mhtml, immer wieder, internet, internet explorer, logfile, löschen, neu aufsetzen, opera, programme, registry, sun java, surfen, system, trojaner, updates, virus, windows, windows messenger, windows xp, wurm



Ähnliche Themen: RBot & TR/Dldr.IstBar.A


  1. TR/Dldr.IstBar
    Plagegeister aller Art und deren Bekämpfung - 02.12.2005 (4)
  2. TR/Dldr.Istbar.OK.2 Logfile
    Log-Analyse und Auswertung - 23.05.2005 (1)
  3. TR/Lowzones.A und TR/Dldr.istBar.A
    Plagegeister aller Art und deren Bekämpfung - 29.03.2005 (5)
  4. TR/Dldr.IstBar.A
    Log-Analyse und Auswertung - 08.03.2005 (1)
  5. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  6. Schädlinge aller Art (ISTBar, Rbot...)
    Plagegeister aller Art und deren Bekämpfung - 05.03.2005 (1)
  7. TR/Dldr.IstBar.A Hilfe !!!
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (4)
  8. TR/Dldr.IstBar.A
    Log-Analyse und Auswertung - 03.02.2005 (1)
  9. Dldr.IstBar.A
    Plagegeister aller Art und deren Bekämpfung - 17.01.2005 (3)
  10. TR/Dldr.IstBar.A
    Log-Analyse und Auswertung - 11.01.2005 (5)
  11. TR/Dldr.INService.I und TR/Dldr.IstBar.A
    Log-Analyse und Auswertung - 03.01.2005 (2)
  12. Trojaner TR/DLdr.IstBar.A
    Plagegeister aller Art und deren Bekämpfung - 30.12.2004 (3)
  13. TR/Dldr.IstBar.A
    Plagegeister aller Art und deren Bekämpfung - 27.12.2004 (7)
  14. verdacht auf Dldr.IstBar.A
    Log-Analyse und Auswertung - 18.12.2004 (1)
  15. hm... TR|DLDR.IstBar.A
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (2)
  16. Trojaner TR/Dldr.IstBar.A und Wurm Worm/Rbot.SZ.3
    Log-Analyse und Auswertung - 05.12.2004 (2)
  17. TR/Dldr.IstBAR.PT hilfe
    Plagegeister aller Art und deren Bekämpfung - 05.11.2004 (6)

Zum Thema RBot & TR/Dldr.IstBar.A - Hi allerseits Hab auf dem Rechner meiner Eltern den Wurm RBot und den Trojaner TR/Dldr.IstBar.A sowie den HTML-Scriptvirus HTML/Exploit.Mhtml gefunden. Bin leider erst jetzt dazu gekommen SP2 und entsprechende Updates - RBot & TR/Dldr.IstBar.A...
Archiv
Du betrachtest: RBot & TR/Dldr.IstBar.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.