Backdoor-Probleme?

dali · 03.04.2005, 19:53

Hallo Ihr ,
bräuchte dringend Hilfe.
Habe mit Antivir schon zwei Versionen eines RBot-Worms löschen können, bin mir aber nicht sicher ob wirklich alles eliminiert wurde.
Habe Probleme mit dem Windows-Explorer und dem Internet-Explorer -- der Zugriff auf Ordner bzw. das Eingeben von neuen Adressen dauert unglaublich lange. Wäre echt nett

, wenn sich jemand mal das Logfile auf irgendwelche Besonderheiten (vielleicht ist der Wurm ja noch aktiv) anschauen könnte.

Logfile of HijackThis v1.99.1
Scan saved at 22:10:58, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kath.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Dynamic Dns Binary] cmd16.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://tdserver.bitstream.com/tdserver.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F897F0A-C031-4648-AD35-C3DF4C0B4AAF}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F897F0A-C031-4648-AD35-C3DF4C0B4AAF}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Viele Grüße
dali

cronos · 03.04.2005, 20:06

Wo hat Antivir genau welchen Rbot gefunden?
Wäre wichtig zu wissen, ob er schon aktiv war.

Cidre · 03.04.2005, 20:18

@ cronos

Aktiv waren die beiden Rbot's und auch andere, wie Blaster und Co., ja schon.

@ dali

Darum lautet meine Empfehlung -> siehe meine Signatur.

Gigamail · 03.04.2005, 20:20

@ dali

ich glaube Du musst Dein System Neuaufsetzen da unter anderem dieser hier schon mal aktiv war --->

Zitat:

O4 - HKLM\..\Run: [Dynamic Dns Binary] cmd16.exe

das bedeutet du bist Kompromittert hier eine Hilfe fürs Neuaufsetzen

Edit: da waren wir wieder mal etwas langsam

dali · 05.04.2005, 21:07

Vielen Dank für die Super-Beratung! Hätte noch ewig im Internet nach ner Erklärung für die Probleme gesucht. Hatte allerdings die leise Hoffnung es würde auch ohne Neuaufsetzen funktionieren

Was meist Du eigentlich mit da waren wir wieder mal etwas langsam ???

Viele Grüße
Dali

03.04.2005, 20:18	#3
Cidre Administrator, a.D.	Backdoor-Probleme? @ cronos Aktiv waren die beiden Rbot's und auch andere, wie Blaster und Co., ja schon. @ dali Darum lautet meine Empfehlung -> siehe meine Signatur. __________________ __________________

Backdoor-Probleme?

Log-Analyse und Auswertung: Backdoor-Probleme?