Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Alles mögliche...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.06.2004, 18:49   #1
C_C
 
Alles mögliche... - Standard

Alles mögliche...



Hoi, ich bins, CC... bei meinem alten account funktioniert das passwort irgendwie nichtmehr ?! naja, werde mich später drum kümmern.

Folgendes Problem:
Ich habe windows grad gestern neu installiert und heute noch einmal (allerdings auch aus dem grund weil ich windows woanders drauf haben wollte). Etwa 20min nach erstellen der internetverbindung hab ich einen virus... SP1 hab ich, ebenso den Blaster Patch. Im Taskmanager seh ich immer neue namen wie:
cgqvoaus.exe
C4.temp.exe
wuamgrd.exe

AntiVir erkennt die dann und beseitigt die - nach dem neustart sind die wieder da. Ich habe im abgesicherten modus gescannt und registry einträge gelöscht, sodass eigentlich wirklich nichts mehr da sein sollte. Dann habe ich es mal soweit gebracht, dass direkt nach dem start von windows nichts gefunden wurde. Nach 10min waren dann myteriöse dateien wieder da, und wenn diese laufen, habe ich keinen zugriff aufs internet mehr. Das nervt mich echt ungeheuerlich...
Dann habe ich was über tftp.exe herausgefunden, nämlich dass es ein file von windows sein soll. Ok, ich habe das zwar in den letzten 2 jahren noch nie im taskmanager gesehen, aber was solls. Ich hab die datei dann umbenannt (in tftp-orig.inal oder sowas in der richtung). Denkste, gerade eben habe ich diese datei wieder im Taskmanager gefunden Und bei erstellt am: steht wie bei den anderen windows dateien 2001. Als ob nicht gewesen wäre.
Was auch sehr komisch ist: Die Dateien kommen aus heiterem Himmel. Ich mache rein gar nichts und die erstellen sich irgenswie selbst...

Hat jemand ne idee ?
Danke euch..

CC


edit, wichtig: Anscheinend wird da massig was an dateien rumgeschaufelt, das netzwerksymbol unten leuchtet fast immer, auch wenn ich nichts im netz mache...

Alt 30.06.2004, 19:15   #2
C_C
 
Alles mögliche... - Standard

Alles mögliche...



Weiter gehts:
Es scheit Worm/Rbot zu sein, vorher noch gemischt mit sasser, aber den bin ich jetzt los. Der Wurm kommt aber immer wieder... Wenn ich netstat -a mache, sind da ungefähr 10 Verbindungen hergestellt, das is ja wohl nicht normal bei einfachem surfen. Wie bekomm ich das teil los ?


edit:

HiJackThis LOG:

Logfile of HijackThis v1.98.0
Scan saved at 20:39:36, on 30.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\TCAUDIAG.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Opera75\opera.exe
C:\Programme\ICQ\Icq.exe
D:\kram\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe



tftp.exe kommt DEFINITIV immer wieder ! Ich kann die datei umbenennen, löschen, was auch immer, es gibt wieder eine neue, die auch sofort aktiv ist...
__________________


Geändert von C_C (30.06.2004 um 19:41 Uhr)

Alt 30.06.2004, 20:37   #3
C_C
 
Alles mögliche... - Standard

Alles mögliche...



Kann mir denn keiner helfen ?
Es gibt neue infos:

Irgendwas ist da mit der tftp.exe nich in ordnung.
Wenn ich sie lösche, ist sie nach 3sek wieder da ! Jedesmal mit 17KB. Lustig auch folgendes: Ich habe die tftp.exe gelöscht und ganz schnell eine textdatei in tftp.exe umbennant. Die Datei verändert (!) sich sofort wieder zur 17KB großen originaldatei...
Nebenbei habe ich festgestellt, dass das Virus Dateien mit namen "TFTPxxxx" erstellt, ebenfalls im ordner system32. x steht dabei für eine zahl... Die Dateien haben keine dateiendung und sind mal 91, mal 85KB groß und laut antivir mit RBot/AX befallen...

Ich weiss langsam nicht mehr weiter

PS:
Diese TFTP Dateien sind anscheinend der auslöser für verschiedene .exe Dateien. Eben war ein Prozess mit namen "cmd.exe" aktiv, nachdem Antivir Guard ein TFTP File entdeckt und in quarantäne gestellt hatte (RBot.AA) war der prozess auf einmal weg. Suchen nach "cmd.exe" bringt einmal das windows eigene cmd und "CMD.EXE-087B4001.pf" (72KB) im ordner "Prefetch". Was hat es damit auf sich ?

PPS: Rbot.94208 wird auch gefunden... irgendwie hab ich bald alle Rbots durch
__________________

Alt 30.06.2004, 20:43   #4
Lutz
 

Alles mögliche... - Pfeil

Alles mögliche...



Scan mal mit eScan Deinen Rechner im abgesicherten Modus den ganzen Rechner und poste, ob und ggf. was gefunden wurde.
eScan (incl. Kurzanleitung) findest Du in meiner Signatur.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 30.06.2004, 21:20   #5
C_C
 
Alles mögliche... - Standard

Alles mögliche...



Öff....

File C:\WINDOWS\system32\Explorer.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\MSU32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\11120_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\13099_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\30348_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\31939_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\32367_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\NAVSCAN64.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\winservicess.exe infected by "Backdoor.SdBot.ni" Virus. Action Taken: File Renamed.

File C:\Programme\AVPersonal\INFECTED\DC3.EXE.VIR infected by "Worm.Win32.Padobot.n" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\mrhci.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\mrhci.VIR00 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\mrhci.VIR01 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\msconfg.VIR infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\msconfg.VIR00 infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\msconfg.VIR01 infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\SKYNET.CPL.001 infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\SKYNET.CPL.VIR infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\TFTP1468.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP184.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP2452.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP2800.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TFTP412.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wserv32.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wserver.VIR infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\wuam.VIR infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wuam.VIR00 infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\wuam.VIR01 infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004443.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004444.exe infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004445.exe infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004446.exe infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004450.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004454.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0005443.exe infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0005447.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006446.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006454.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006496.exe infected by "Worm.Win32.Padobot.n" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007518.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007519.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007520.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007521.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007522.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007523.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007524.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007525.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007526.exe infected by "Backdoor.SdBot.ni" Virus. Action Taken: File Renamed.



schöne plantage


Alt 30.06.2004, 21:49   #6
Lutz
 

Alles mögliche... - Standard

Alles mögliche...



Ich würde da nicht lange fakeln.
XP nochmal neu drau, XP-Firewall vor den ersten Gang ins Internet aktivieren. Nach Möglichkeit Updates und Patches von CD[1] installieren. Natürlich auch ohne vorherigen Gang ins Internet. Die meisten dieser CD's haben imho einen Patchstand von Febr./März 04. Also danach ein Besuch bei Windowsupdate und erst dann 'normal' surfen.


[1] Gibt es immer wieder in diversen Computer-Zeitschriften als Beilage
__________________
--> Alles mögliche...

Alt 01.07.2004, 14:04   #7
C_C
 
Alles mögliche... - Standard

Alles mögliche...



Also, das nochmal neu installieren seh ich als letzten ausweg, ich habe folgendes gemacht:

1. Systemwiederherstellung deaktiviert
2. in abgesicherten modus gegangen
3. eScan laufen lassen (2 gefundene dateien wurden umbenannt)
4. die gefundenen dateien gelöscht
5. AntiVir drüberlaufen lassen (nichts mehr gefunden)
6. HijackThis laufen lassen (einen komischen eintrag noch entfernt)
7. Selber die registry und starteinträge durchsucht
8. alle einträge entfernt
8a. tftp.exe gelöscht, neue tftp.exe erstellt und schreibgeschützt
9. erneut blaster patch eingespielt
10. wieder normal hochgefahren
11. mit eScan gescannt - nix
12. Registry durchgeschaut - nix neues drin
13. online gegangen

Bis jetzt ist mir nichts aufgefallen, sollte der kram wieder kommen, bin ich wirklich ratlos und werde ums neu formatieren nicht drumrumkommen....
Sonst noch ideen was ich noch machen kann ?

Antwort

Themen zu Alles mögliche...
abgesicherten, abgesicherten modus, blaster, dateien, direkt nach dem start, erstellt, file, funktioniert, gelöscht, internetverbindung, jahre, meinem, min, modus, namen, neu, neue, neustart, nichts, passwort, problem, registry, start von windows, taskmanager, träge, verbindung, virus..., wichtig, windows, zugriff



Ähnliche Themen: Alles mögliche...


  1. Mögliche Spyware/Viren
    Plagegeister aller Art und deren Bekämpfung - 10.10.2014 (7)
  2. Mögliche Folgen von Neugier
    Überwachung, Datenschutz und Spam - 31.01.2014 (3)
  3. mögliche Infektion
    Netzwerk und Hardware - 18.08.2013 (1)
  4. Mögliche Infektion mit ZeroAccess
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (11)
  5. Mögliche Infektion mit ZeroAccess
    Plagegeister aller Art und deren Bekämpfung - 13.01.2013 (1)
  6. Virus vernichtet Antivir-Programm und lässt nichts neues Installieren, alles mögliche erfordert immer Neustart des Pc's
    Log-Analyse und Auswertung - 21.09.2012 (3)
  7. mögliche virusinfektion?
    Plagegeister aller Art und deren Bekämpfung - 29.01.2012 (17)
  8. Mögliche Infektion des PC und Bluescreen
    Log-Analyse und Auswertung - 10.01.2011 (8)
  9. Mögliche Infektion ?
    Log-Analyse und Auswertung - 31.03.2010 (1)
  10. Antivir meldet alles mögliche
    Plagegeister aller Art und deren Bekämpfung - 28.01.2009 (1)
  11. Gmer Log: Mögliche Rootkits
    Plagegeister aller Art und deren Bekämpfung - 03.01.2009 (0)
  12. Mögliche infection
    Mülltonne - 26.11.2008 (0)
  13. Mögliche Infektion / Viele Verbindungen
    Plagegeister aller Art und deren Bekämpfung - 07.06.2008 (3)
  14. Antivir hat alles mögliche gefunden aber kommt wieder zurück
    Log-Analyse und Auswertung - 27.10.2005 (1)
  15. Ich habe alles (mir mögliche) probiert!
    Log-Analyse und Auswertung - 05.01.2005 (5)
  16. alles mögliche an sdbots und würmern usw..
    Plagegeister aller Art und deren Bekämpfung - 27.10.2004 (2)
  17. WPA und Passwortlänge und mögliche zeichen...
    Netzwerk und Hardware - 02.07.2004 (3)

Zum Thema Alles mögliche... - Hoi, ich bins, CC... bei meinem alten account funktioniert das passwort irgendwie nichtmehr ?! naja, werde mich später drum kümmern. Folgendes Problem: Ich habe windows grad gestern neu installiert und - Alles mögliche......
Archiv
Du betrachtest: Alles mögliche... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.