Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antivir hat TR/PoeBot.AR angezeigt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.07.2006, 21:48   #1
Oschgaaar
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Hallo.
Antivir hat mir TR/PoeBot.AR angezeigt. Ich bin dann auf löschen gegangen. Das wurde auch anscheinend durchgeführt.
Bisher ist alles ruhig geblieben.
In dem Forum hier hab ich zu TR/PoeBot.AR nichts gefunden.

Muß ich mein System jetzt neu aufsetzen?
Ist TR/PoeBot.AR sehr gefährlich und was ist das?

Danke für die Antwort schon im voraus.

Gruß

Alt 11.07.2006, 21:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Ja, der PoeBot hat Backdoorfunktionen. Die Frage aber ist, wo der gefunden wurde. Poste mal ein Hijckthis-Log.
__________________

__________________

Alt 11.07.2006, 22:06   #3
Oschgaaar
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Wie gewünscht:
Logfile of HijackThis v1.99.1
Scan saved at 22:59:32, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\NETGEAR\WPN111 Konfigurationsprogramm\wpn111.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\My Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.klamm.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: ppctlcab -
O16 - DPF: {00000075-0000-0010-8000-00AA00389B71} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://h**p://scan.safety.live.com/r...scbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://acs.pandasoftware.com/...ree/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Die vorletzte betroffene Datei war laut Antivir:
C:\Program Files\kmd und noch was. Das konnte ich nicht mehr lesen, weil gerade eine zweite Meldung von Antivir kam: Diese Datei soll die letzte betroffene Datei sein:
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP17\A0009943.exe
Bin wieder auf löschen gegangen.

Ich hab bei sophos gelesen, daß der sich in der Registrierung installiert. Ich hab Spybot-SD laufen. Wie geht das denn dann?

Ach menno
__________________

Geändert von Oschgaaar (11.07.2006 um 22:24 Uhr)

Alt 12.07.2006, 08:35   #4
Oschgaaar
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Ich hab einige Sachen zu dem PoeBot gelesen. Habe erst gedacht meiner wäre was anderes, weil er ja TR/PoeBot.AR heißt.
Habe eigentlich immer gelesen, daß man das System neu aufsetzen soll.

Aber cosinus hat geschrieben, daß erst die Frage geklärt werden muß, wo er gefunden worden ist.

Was ist mit meinen käuflich erworbenen MP3´s und Filme. Sind die verseucht? Das wäre tragisch, denn ich habe keine Sicherung.

Ihr werdet mir schon helfen.

Gruß

Alt 12.07.2006, 08:46   #5
Wildone
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Hallo,
Zitat:
Was ist mit meinen käuflich erworbenen MP3´s und Filme. Sind die verseucht? Das wäre tragisch, denn ich habe keine Sicherung.
Die kannst du ohne Risiko auf das neue System übernehmen.
Zitat:
Aber cosinus hat geschrieben, daß erst die Frage geklärt werden muß, wo er gefunden worden ist.
Das ist richtig, wenn er z.B. nur in einem Mailanhang war, gäbe es keinen Grund für eine Neuinstallation, da er nicht aktiv gewesen wäre. Schau doch mal in der Repportdatei von Antivir nach, dort müßte es stehen.



Grüße Wildone


Alt 12.07.2006, 09:12   #6
Oschgaaar
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



In der Reportdatei steht zum PoeBot folgendes:
11.07.2006,21:45:53 [WARNUNG] Ist das Trojanische Pferd TR/PoeBot.AR!
C:\Program Files\kmd_esfrde.exe
[INFO] Die Datei wird gelöscht!
11.07.2006,23:02:07 [WARNUNG] Ist das Trojanische Pferd TR/PoeBot.AR!
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP17\A0009943.exe
[INFO] Die Datei wird gelöscht!

Das ist aber seltsam, denn ich habe die erste Meldung, daß ich den PoeBot habe, ein paar Stunden früher bekommen (glaub ich doch zu wissen).
Ich war auf der Suche nach Smilies und hab über google eine Seite gefunden. Als ich auf der Seite war, kam die Antivir-Meldung. Ich habe keine Software gestartet.

Alt 12.07.2006, 09:29   #7
Wildone
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Hallo,
zum ersten Phänomen, das ist normal, die "System Volume Information" ist die Systemwiederherstellung, dort ist diegelöscht Datei natürlich gelandet und von Antivir nochmal moniert worden.

Insgesammt eine grenzwertige Geschichte, ob der Poebot jetzt aktiv war oder nicht kann ich nicht mit Bestimmtheit sagen, immerhin hat er sich selbstständig heruntergeladen. Ich tendiere dazu das er nicht aktiv war, aber wenn du auf Nummer Sicher gehen willst machst du dein System neu. Anleitung dazu gibt es hier.


Grüße Wildone

Alt 12.07.2006, 10:31   #8
Oschgaaar
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Okay, vielen Dank.
Ich wollte sowieso demnächst mein System neu aufsetzen, da ich einen Zlob hatte.
Internet-Banking mach ich sowieso nicht und meine E-mails, falls mein E-mail Passwort gemopst wurde, kann irgendjemand ruhig lesen. Da gibts nix streng geheimes.
Das wird ja immer schlimmer mit der Malware. Ich surf jetzt ca. 2 Monate und hab mir schon 2 Trojaner eingefangen. Und ich bin eher vorsichtig. In den letzten Jahren hab ich nie was gehabt.

Gruß und nochmal Merci

Alt 12.07.2006, 16:21   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Zitat:
Zitat von Oschgaaar
und meine E-mails, falls mein E-mail Passwort gemopst wurde, kann irgendjemand ruhig lesen. Da gibts nix streng geheimes.
Diese Einstellung solltest Du mal überdenken. Wenn jmd. Dein E-Mail-Passwort hat, kann er auch über Dein Konto E-Mails versenden.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.07.2006, 16:36   #10
Yopie
Moderator, a.D.
 
Antivir hat TR/PoeBot.AR angezeigt - Standard

Antivir hat TR/PoeBot.AR angezeigt



Zitat:
Zitat von cosinus
Diese Einstellung solltest Du mal überdenken. Wenn jmd. Dein E-Mail-Passwort hat, kann er auch über Dein Konto E-Mails versenden.
Und Passwörter von anderen Webdiensten (z.B. eBay) anfordern.

Gruß
Yopie

Antwort

Themen zu Antivir hat TR/PoeBot.AR angezeigt
angezeigt, antivir, antwort, aufsetzen, forum, gefunde, gefährlich, löschen, neu, neu aufsetzen, nichts, schei, system



Ähnliche Themen: Antivir hat TR/PoeBot.AR angezeigt


  1. Nach Antivir-Run Partitionen nicht mehr angezeigt
    Antiviren-, Firewall- und andere Schutzprogramme - 21.06.2012 (1)
  2. W32/murofet.a wird mir durch avira antivir angezeigt
    Plagegeister aller Art und deren Bekämpfung - 13.05.2011 (1)
  3. aspimgr wird über AntiVir angezeigt
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (13)
  4. DR\Delphi.Gen wird von Antivir angezeigt wie kann ich das Löschen ?
    Log-Analyse und Auswertung - 24.04.2010 (5)
  5. TR/Crypt.XPACK.GEN und TR/Spy.68608.8 wird von AntiVir immer angezeigt!!!
    Plagegeister aller Art und deren Bekämpfung - 17.07.2009 (5)
  6. TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (2)
  7. TR/Crypt.XPACK.Gen wird angezeigt von AntiVir...
    Log-Analyse und Auswertung - 18.09.2008 (1)
  8. Antivir hat 117 Viren/Malware angezeigt :o(
    Log-Analyse und Auswertung - 08.08.2008 (1)
  9. TR/Monderb.33664 wird immer von Avira AntiVir angezeigt und kann nicht gelöscht werde
    Log-Analyse und Auswertung - 17.07.2008 (3)
  10. Hijackthis Log File nachdem AntiVir ZLOB angezeigt hat
    Log-Analyse und Auswertung - 24.11.2007 (0)
  11. Poebot.C.268 in lsass.exe
    Plagegeister aller Art und deren Bekämpfung - 10.04.2007 (14)
  12. Poebot.c.115
    Plagegeister aller Art und deren Bekämpfung - 03.04.2006 (1)
  13. Antivir-Scan hat Warnungen angezeigt - konnte diese nicht löschen - Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 03.03.2006 (1)
  14. Poebot C1 Hilfe?!?!?!
    Log-Analyse und Auswertung - 13.10.2005 (3)
  15. poebot
    Log-Analyse und Auswertung - 04.09.2005 (4)
  16. Mein Antivir Programm wird nicht angezeigt
    Antiviren-, Firewall- und andere Schutzprogramme - 14.08.2005 (6)
  17. Meldung AntiVir Worm/PoeBot.21504
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (27)

Zum Thema Antivir hat TR/PoeBot.AR angezeigt - Hallo. Antivir hat mir TR/PoeBot.AR angezeigt. Ich bin dann auf löschen gegangen. Das wurde auch anscheinend durchgeführt. Bisher ist alles ruhig geblieben. In dem Forum hier hab ich zu TR/PoeBot.AR - Antivir hat TR/PoeBot.AR angezeigt...
Archiv
Du betrachtest: Antivir hat TR/PoeBot.AR angezeigt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.