Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: RBot? System kompromittiert?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.12.2006, 20:16   #1
daspawn
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



Hallo zusammen.
ich meinte eigentlich relativ sicher zu sein. Surfe über Router (relativ strikt konfiguriert), Zonalarm läuft, Antivir läuft - regelmäßig Scan mit Spybot und Hijackthis. Surfen nur mit Firefox - Mail nur mit Thunderbird... Denkste ....

Habe heute morgen eine Virenwarnmeldung bekommen:

In der Datei 'C:\Programme\Tweak-XP Pro 4\tweak-xp.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.1922177' [WORM/Rbot.1922177] gefunden.

Das Virus konnte gelöscht werden.

HJackThis gab mir aber eine Warnmeldung aus:
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe
wurde als unsicher eingestuft - Hinweise andere User -Virus - Trojaner.

Ansonsten war das Log clean. Habe noch Spybot drüber laufen lassen und Spohos Antir-Rootkit. Spybot: 0 Fehler / Probleme - Sophos ne ganze Menge einträge- die kann ich aber nicht einnorden.

Hat jemand einen ähnlichen Fall gehabt? Bzw. hat eine Idee, ob die server.exe wirklich gefährlich ist?

Geändert von daspawn (24.12.2006 um 20:21 Uhr)

Alt 24.12.2006, 22:17   #2
TeZwo
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



ich fände es lieber, wenn du hier deinen komplette logfile von HijackThis posten würdest.. und dies hier beachtest
__________________


Alt 25.12.2006, 08:03   #3
nochdigger
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



mOIn

Zitat:
Hat jemand einen ähnlichen Fall gehabt? Bzw. hat eine Idee, ob die server.exe wirklich gefährlich ist?
Ich fürchte sogar sehr

Mache alle Dateien und Ordner sichtbar :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

Lasse die Datei beiden Dateien
C:\WINDOWS\system32\server.exe
C:\Programme\Tweak-XP Pro 4\tweak-xp.exe
mal hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG
__________________

Alt 25.12.2006, 08:16   #4
daspawn
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



Vielen Dank für die Antwort - hier das komplette Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:37:36, on 25.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Security\AntiVir PersonalEdition Classic\sched.exe
C:\Security\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Security\AntiVir PersonalEdition Classic\avgnt.exe
C:\Security\ZoneAlarm\zlclient.exe
C:\Hardware\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Web\Firefox\firefox.exe
C:\Helpers\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://****/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Accessibility Toolbar - {11352A67-0178-46B1-8855-D50B2F81C054} - C:\Programme\WAT_DE\Accessibility_Toolbar.dll
O4 - HKLM\..\Run: [nForce Tray Options] REM sstray.exe /r
O4 - HKLM\..\Run: [avgnt] "C:\Security\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Security\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] REM "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Easy-PrintToolBox] REM C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: JAP.lnk = I:\Programme\Jap\jap.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B386EEBF-4CE2-474A-856E-94E118354E10}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{F651BEAE-B53C-440D-8162-5FD7855F0001}: NameServer = ***
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Security\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Security\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 25.12.2006, 08:25   #5
daspawn
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



Hallo nochdigger,
danke für die Tipps. Die Odner und Dateien waren bei mir so eingestellt wie du beschrieben hast.

Das verrückte: Die Server.exe ist bei mir nirgends zu finden....Die Tweaksoftware habe ich gestern deinstalliert.. diese Datei gibt es also auch nicht mehr...

Ich bin noch etwas unentschlossen, ob das System noch vertrauenswürdig ist und ich nur noch den Key aus der Registry nehmen soll... oder neu aufbauen



Alt 25.12.2006, 08:50   #6
nochdigger
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



mOIn

Zitat:
Ich bin noch etwas unentschlossen, ob das System noch vertrauenswürdig ist
im zweifelsfalle würde ich neu aufsetzen, es hat sich, auch wenn die Datei nun nicht mehr zu finden ist, mit sehr großer Wahrscheinlichkeit um Troj/Bifrose-B gehandelt.
Da es sich hier sehr wahrscheinlich um den o.g. Backdoortrojaner handelt, rate ich dir zum Neuaufsetzen mit anschließender Absicherung nach dieser Anleitung.

Es bleibt aber deine Entscheidung.

MFG

Alt 27.12.2006, 14:57   #7
Fischkopp
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



Hi,
Habe auch die Meldung von Antivir bekommen, daß mein Tweak-XP nen wurm haben soll.

[edit]
eröffne bitte für dein problem einen eigenen beitrag

danke
GUA
[/edit]
Miniaturansicht angehängter Grafiken
RBot? System kompromittiert?-virustotal_log.jpg  

Geändert von Fischkopp (27.12.2006 um 15:05 Uhr)

Alt 27.12.2006, 17:00   #8
Fischkopp
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



??
Aber es ist doch genau dasselbe, wie im Start des Thread. Warum dafür extra ein weiteres Thema, das hier ist doch nicht erledigt und vielleicht trägt mein Scan der, möglicherweise identischen Datei, zur Fehlersuche bei!

(ist nämlich EXAKT der gleiche Fund bei EXAKT der gleichen Datei!
Und das klingt doch schon ziemlich nach gleichem Thread! )

Aber bitte..ist unübersichtlicher aber wenn es gewünscht ist, fasse ich es gerne nochmal zusammen obwohl obsolet.

Geändert von Fischkopp (27.12.2006 um 17:23 Uhr)

Alt 27.12.2006, 17:41   #9
nochdigger
 
RBot? System kompromittiert? - Standard

RBot? System kompromittiert?



Hallo Fischkopp

natürlich ist es schöner wenn zu einem Problem auch ein Beitrag erstellt wird (wegen der Übersicht).

Ich denke aber, hier liegt der Fall klar, die Datei ist leider relativ eindeutig von mehreren Scannern als Bot (Backdoor) identifiziert worden, darum solltest auch du der oben verlinkten Anleitung zum Neuaufsetzen folgen.

MFG

Antwort

Themen zu RBot? System kompromittiert?
antivir, c:\windows, datei, fehler, firefox, gefährlich, gelöscht, hijack, log, mail, probleme, programme, router, scan, server.exe, sophos, spybot, surfen, system, system32, unerwünschtes programm, virus, warnmeldung, windows



Ähnliche Themen: RBot? System kompromittiert?


  1. WIN 7: TR/ADH.PA hat mein System kompromittiert
    Plagegeister aller Art und deren Bekämpfung - 30.06.2015 (13)
  2. vdeck.exe unbekannte Bedrohung! Ist mein System kompromittiert?
    Plagegeister aller Art und deren Bekämpfung - 07.08.2014 (6)
  3. System kompromittiert ? Falschmeldung? Alarme zu HPSLPSVC und SVKP.sys
    Log-Analyse und Auswertung - 09.07.2013 (13)
  4. Bundespolizei-Trojaner eingefangen - System kompromittiert- Formatierung?
    Plagegeister aller Art und deren Bekämpfung - 10.09.2012 (1)
  5. Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert!
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (19)
  6. Spam Mails+Anhang,system kompromittiert?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2010 (5)
  7. HTML-Virus bei Website-Aufruf ... System kompromittiert?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2010 (7)
  8. System kompromittiert?
    Log-Analyse und Auswertung - 10.08.2009 (16)
  9. Habe ich mein System kompromittiert?
    Log-Analyse und Auswertung - 30.12.2008 (35)
  10. Habe ich mein System kompromittiert?
    Mülltonne - 07.12.2008 (0)
  11. Antivirus 2009 - System kompromittiert?
    Log-Analyse und Auswertung - 07.11.2008 (13)
  12. System kompromittiert?
    Log-Analyse und Auswertung - 15.10.2008 (1)
  13. System kompromittiert??
    Log-Analyse und Auswertung - 05.02.2006 (3)
  14. Ist mein System kompromittiert?
    Plagegeister aller Art und deren Bekämpfung - 09.10.2005 (4)
  15. System kompromittiert? Bitte um Hilfe
    Log-Analyse und Auswertung - 14.09.2005 (65)
  16. System kompromittiert
    Alles rund um Windows - 14.03.2005 (1)
  17. Wann gilt ein System als kompromittiert?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2004 (22)

Zum Thema RBot? System kompromittiert? - Hallo zusammen. ich meinte eigentlich relativ sicher zu sein. Surfe über Router (relativ strikt konfiguriert), Zonalarm läuft, Antivir läuft - regelmäßig Scan mit Spybot und Hijackthis. Surfen nur mit Firefox - RBot? System kompromittiert?...
Archiv
Du betrachtest: RBot? System kompromittiert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.