Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: backdoor.win32/poebot.b

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.09.2005, 00:07   #1
damike
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



hi

habe scheinbar den im titel genannten backdoor aufm rechner. problem is nur ich finde ihn nicht wirklich.. habe als AV-software kaspersky AV. wenn ich den durchlaufen lasse findet er nichts. nur der realtime scan findet hin und wieder eine datei die angeblich mit dem backdoor infiziert is. die datei kann laut kasperksy nicht gelöscht werden, ist aber nach der meldung trotzdem weg.

spybot s&d findet auch nichts und der trendmicro online scan (housecall) hat nur ne spyware gefunden und entfernt.

nun weiss ich leider nicht was ich sonst noch machen sollte. irgendwie is der backdoor da aber irgendwie nicht...

hab mal HijackThis durchlaufen lassen. hier die log:

C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lance1\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1126359328296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126359314296
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9612B13-E5E5-4A7D-8018-74C5C5657A2C}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

vielleicht kann mir ja einer von euch weiterhelfen.

Alt 11.09.2005, 01:18   #2
_TB_
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



Hallo !

Das Logfile hat so nicht viel sinn, es fehlen die Systeminformationen und die Version von Hijackthis, ebenso ein paar Zeilen der aktiven Prozesse, also zurück an den Start.
__________________

__________________

Alt 11.09.2005, 01:41   #3
heli2005
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



poste bitte das ganze logfile,sonst kann man dir hier nicht helfen
lg heli
und falls du wirklich diesen schädling in deinem system hast,setz dein system gleich neu auf hier eine anleitung
www.trojaner-board.de/showthread.php?t=12154
__________________

Alt 11.09.2005, 10:29   #4
damike
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



Logfile of HijackThis v1.99.1
Scan saved at 10:25:45, on 10.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KeirNet\K9\K9.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lance1\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1126359328296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126359314296
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9612B13-E5E5-4A7D-8018-74C5C5657A2C}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

so das is nu alles was inner logfile steht. ich glaub ich werd aber trotzdem neu aufsetzen.. hab ich zwar gestern gemacht und den schädling bekommen aber jetz hab ich die aktuellen updates.

Alt 11.09.2005, 10:58   #5
Rene-gad
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



@damike
Zitat:
. hab ich zwar gestern gemacht und den schädling bekommen aber jetz hab ich die aktuellen updates.
Aus deinem Log ist es kaum zu sehen:
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
SP2 wäre aktuell.
BTW: Der Log sieht sauber aus. Kannst du die Virus-Meldung von KAV genau aufschreiben (mit dem Pfad und Virusnamen)?


Alt 11.09.2005, 12:14   #6
damike
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



hab die logfiles vom kaspersky nichtmehr. hab grad neu formatiert. jedenfalls wars immer ein andrer name von einer exe. keine richtige bezeichnung sondern nur irgendwelche buchstaben. die datei war immer im ordner win/system32.
bei der kaspersky meldung hab ich dann auf "datei löschen" geklickt aber das ging laut kaspersky nicht weil ich die rechte dazu net habe (war aber als admin eingeloggt). die "schädlingsdatei" war aber trotzdem weg.

naja jedenfalls is das sys jetz wieder neu und momentan is nix von nem schädling zu erkennen. falls sich doch noch was ändert meld ich mich wieder.

Alt 11.09.2005, 12:17   #7
cronos
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



Ich hoffe, dass du dir die o.g. Anleitung um Neuaufsetzen zu Herzen genommen hast.
__________________
Only cronos endures

Alt 11.09.2005, 16:54   #8
damike
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



ne.. habs mir net durchgelesen. hab aber bis jetz keine probs und auch keine fehlermeldungen. das sys scheint wieder clean zu sein.

Alt 11.09.2005, 19:24   #9
heli2005
 
backdoor.win32/poebot.b - Standard

backdoor.win32/poebot.b



SP2 würde ich dir noch empfehlen,sonst sehen wir uns hier bald wieder
lg heli

Antwort

Themen zu backdoor.win32/poebot.b
av-software, backdoor, bho, dateien, desktop, einstellungen, file, firefox, firewall, gelöscht, hijack, hijackthis, icq, infiziert, kaspersky, launch, log, mozilla, mozilla firefox, nvidia, problem, programme, rundll, scan, spyware, system, system32, windows



Ähnliche Themen: backdoor.win32/poebot.b


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  4. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  5. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  6. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  7. Backdoor.Win32.Rbot!IK und Win32.SuspectCrc!IK 1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  8. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  9. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  10. Backdoor.Win32.VB.bco
    Plagegeister aller Art und deren Bekämpfung - 30.07.2007 (12)
  11. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  12. Poebot.c.115
    Plagegeister aller Art und deren Bekämpfung - 03.04.2006 (1)
  13. Win32 Poebot-c immer noch da!
    Plagegeister aller Art und deren Bekämpfung - 04.11.2005 (7)
  14. Hilfe Win32:Poebot-C [Trj]
    Plagegeister aller Art und deren Bekämpfung - 18.10.2005 (10)
  15. poebot
    Log-Analyse und Auswertung - 04.09.2005 (4)
  16. Trojan-Clicker.Win32.Agent.ac / Bachdoor.Win32.PoeBot.a etc
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (1)
  17. Backdoor.Win32.PoeBot.a
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (9)

Zum Thema backdoor.win32/poebot.b - hi habe scheinbar den im titel genannten backdoor aufm rechner. problem is nur ich finde ihn nicht wirklich.. habe als AV-software kaspersky AV. wenn ich den durchlaufen lasse findet er - backdoor.win32/poebot.b...
Archiv
Du betrachtest: backdoor.win32/poebot.b auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.