|
Plagegeister aller Art und deren Bekämpfung: trojaner oder irgendwasWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
|
10.09.2004, 10:49 | #1 |
| trojaner oder irgendwas hallo miteinander! in unserem netzwerk trat am dienstag eine meldung des nachrichtendienstes auf, dass mcafee eine datei namens ntsvc.exe mit dem virus W32.gaobot.worm.gen.f nicht säubern konnte. die firewall brachte ein paar zugansversucher, die ich ablehnte. die datei ntsvc.exe hat 0 KB. alle anzeichen auf diesen wurm sind ausgeblieben (dateien in der regedit, sperren der Antivirenseiten ...). das removal tool von symantec hat auch nichts gefunden, und das programm spybot 1.3 hat etwas namens alexa und main pean gefunden. jetzt hab ich auf unserem letzten rechner eine geänderte hosts datei mit gesperrten webseiten gefunden (ein programm hat dort einen trojaner entdeckt) und ntsvc.exe gefunden - was macht die? ist sie wichtig? kann ich sie löschen? hier das log: Logfile of HijackThis v1.98.2 Scan saved at 11:17:41, on 10.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\W2K\System32\smss.exe C:\W2K\system32\winlogon.exe C:\W2K\system32\services.exe C:\W2K\system32\lsass.exe C:\W2K\System32\termsrv.exe C:\W2K\system32\svchost.exe C:\W2K\system32\spoolsv.exe C:\W2K\System32\msdtc.exe C:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe E:\Von_C\ComputerAssociates\ARCserve\DBENG.exe E:\Von_C\ComputerAssociates\ARCserve\jobeng.exe E:\Von_C\ComputerAssociates\ARCserve\RDS.EXE E:\Von_C\ComputerAssociates\ARCserve\msgeng.exe E:\Von_C\ComputerAssociates\ARCserve\tapeeng.exe E:\Von_C\ComputerAssociates\ARCserve\casmrtbk.exe C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\W2K\System32\tcpsvcs.exe C:\W2K\System32\svchost.exe E:\Von_C\ComputerAssociates\InocuLAN\INOJOBSV.EXE C:\W2K\System32\llssrv.exe C:\W2K\LogWatNT.exe C:\W2K\System32\sfmprint.exe C:\Programme\Network Associates\NetShield 2000\Mcshield.exe C:\Programme\Network Associates\NetShield 2000\VsTskMgr.exe C:\W2K\system32\ntsvc.exe C:\W2K\system32\regsvc.exe C:\W2K\system32\MSTask.exe C:\W2K\System32\snmp.exe C:\W2K\system32\stisvc.exe C:\W2K\System32\WBEM\WinMgmt.exe C:\W2K\System32\wins.exe C:\W2K\system32\svchost.exe C:\W2K\system32\Dfssvc.exe C:\W2K\System32\dns.exe C:\W2K\System32\inetsrv\inetinfo.exe C:\W2K\System32\mqsvc.exe C:\Programme\ComputerAssociates\ARCserveITDS\asdscsvc.exe C:\Programme\ComputerAssociates\ARCserveITDS\Liccheck.exe C:\W2K\System32\svchost.exe C:\W2K\System32\locator.exe C:\W2K\Explorer.EXE C:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE C:\W2K\system32\internat.exe E:\Von_C\Adobe\Acrobat 5.0\Distillr\AcroTray.exe E:\Von_C\ComputerAssociates\InocuLAN\realmon.exe E:\Von_C\FRITZ!\IWatch.exe C:\W2K\explorer.exe G:\Wartung\virenentfernung\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 190.100.100.1:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\von_c\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Von_C\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\W2K\System32\msdxm.ocx O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [NT Services] ntsvc.exe O4 - HKLM\..\RunServices: [NT Services] ntsvc.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Acrobat Assistant.lnk = E:\Von_C\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InoculateIT Realtime Monitor.LNK = E:\Von_C\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: ISDNWatch.lnk = E:\Von_C\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = E:\Von_C\MS Office 2000 Premium\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W2K\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W2K\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{66C951BD-8CE7-489D-84CA-0BFA2E39B1A1}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A6B96BC9-66C4-4FE2-A081-62516429088C}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{CC5D4A50-BAEF-4295-B509-813C3E6276FD}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{EB78CE71-E943-4CCE-9093-C7E45F90274A}: NameServer = 194.25.2.129,195.20.224.234 kann mir jemand weiterhelfen? danke im voraus. |
10.09.2004, 11:07 | #2 |
| trojaner oder irgendwas ich habs gefunden:
__________________Zu überprüfende Datei: ntsvc.exe ntsvc.exe - packed with Morphinentsvc.exe - packed with UPXntsvc.exe Infiziert: Backdoor.Agobot.gen Statistiken:Bekannte Viren: 98853 Updated: 10-09-2004 Größe der Datei (Kb): 108 Viren-Korpus: 1 Datei: 3 Warnungen: 0 Archive: 0 was mache ich jetzt? kann sich sowas übers lokale netzwerk verbreiten? |
10.09.2004, 12:00 | #3 |
| trojaner oder irgendwas Agobot erlaubt einem Angreifer, weitreichend in dein System einzugreifen, es ist kompromittiert bzw. nicht mehr vertrauenswürdig:
__________________http://www.viruslist.com/eng/viruslist.html?id=723245 http://oschad.de/wiki/index.php/Kompromittierung Um sicher zu sein, müsstest du das System neu aufsetzen, kein Virenscanner kann wirklich garantieren, dass nicht bspw. Systemdateien manipuliert wurden. Ansonsten lass mal dieses Programm im abgesicherten Modus durchlaufen (nach Update): http://www.trojaner-board.de/42731-escan-anleitung.html und erstelle danach ein neues Logfile im normalen Modus und schreib dazu, was E-Scan evtl. noch entdeckt hat. |
10.09.2004, 12:06 | #4 |
| trojaner oder irgendwas ok, danke schon mal. das werd ich machen. |
13.09.2004, 07:45 | #5 |
| trojaner oder irgendwas hier die log des e-scan: [0x000001e8] 13/09/2004 08:07:56:328 :[msvLclnt.dll]ModuleName = C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com [0x000001e8] 13/09/2004 08:07:56:328 :[msvLclnt.dll]WARNING!!! "Autokey" Not Found [0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400): [0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]TimeOut : ffffffff [0x000001e8] 13/09/2004 08:07:58:852 :[msvLclnt.dll]Priority : NORMAL [0x000001e8] 13/09/2004 08:07:59:623 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08 [0x00000224] 13/09/2004 08:09:17:064 :[msvLclnt.dll][00000001] File C:\W2K\system32\demm386.exe infected by Backdoor.Rbot.gen [0x00000224] 13/09/2004 08:09:17:856 :[msvLclnt.dll][00000001] File C:\W2K\system32\demm386.exe infected by Backdoor.Rbot.gen [0x00000224] 13/09/2004 08:09:30:814 :[msvLclnt.dll][00000001] File C:\W2K\system32\ethernet32m.exe infected by Backdoor.Win32.SdBot.sd [0x00000224] 13/09/2004 08:09:33:528 :[msvLclnt.dll][00000001] File C:\W2K\system32\ethernet32m.exe infected by Backdoor.Win32.SdBot.sd [0x00000224] 13/09/2004 08:11:21:073 :[msvLclnt.dll][00000001] File C:\W2K\system32\TFTP1788.vir infected by Backdoor.Rbot.gen [0x00000224] 13/09/2004 08:11:22:365 :[msvLclnt.dll][00000001] File C:\W2K\system32\TFTP1788.vir infected by Backdoor.Rbot.gen [0x00000224] 13/09/2004 08:11:36:905 :[msvLclnt.dll][00000001] File C:\W2K\system32\winservicess.exe infected by Backdoor.SdBot.ni [0x00000224] 13/09/2004 08:11:36:935 :[msvLclnt.dll][00000001] File C:\W2K\system32\winservicess.exe infected by Backdoor.SdBot.ni [0x00000224] 13/09/2004 08:11:42:363 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08 [0x000001e8] 13/09/2004 08:12:45:114 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08 wer kann mir was dazu sagen? ist der virus nach e-scan noch auf dem rechner? oder wird er einfach nur umbenannt? ist er dann noch aktiv? danke im voraus! |
13.09.2004, 09:30 | #6 |
| trojaner oder irgendwas Hm, so ein Logfile kenne ich gar nicht von E-Scan, wo hast du das rauskopiert? Normalerweise steht in dem Log auch drin, was er gemacht hat, also ob umbenannt oder gelöscht. Hast du auch diese Version oder eine andere: http://www.mwti.net/antivirus/free_utilities.asp Nachdem aber nun auch offenbar noch mehrere andere Backdoorprogramme auf dem Rechner sind, kann ich nur die Empfehlung der Neuinstallation wiederholen. |
Themen zu trojaner oder irgendwas |
adobe, alert, bho, dateien, explorer, firewall, fritz!, hijack, hijackthis, internet, internet explorer, log, logfile, löschen, microsoft, netzwerk, programm, programme, seiten, software, symantec, system, tcpip, trojaner, virus, windows, wurm |