Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: keine Ahnung was los ist

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.09.2004, 12:21   #1
carsten75
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



Hallo erstmal.Großes Lob an alle die hier helfen und sich Gedanken machen.RESPEKT.

Ich habe seid heute morgen folgendes Problem.Gestern habe ich mir den Trailer zu Battlefield 2 runtergeladen.Wollte ihn mit dem Media Player öffnen, ging aber nicht.Also zog ich mir den Quicktime Player,womit es ging. Soweit so gut.
Seid heute morgen hängen sich meine Internetseiten auf.Wenn ich eine schließen will, per x,geht die Seite weg, bleibt aber in der Taskleiste weiterhin stehen.Das selbe mit dem Taskmanager. Wenn ich den öffnen will,geht er auf aber nur unten rechts in der Taskbar,von wo ich ihn aber auch nicht öffnen kann.Habe den Spybot laufen lassen,welcher einige Sachen gefunden hat
.Sorry das so groß.
Bin ein Noob in Sachen Viren.usw. Bitte um Hilfe

Alt 12.09.2004, 13:02   #2
rock
 
keine Ahnung was los ist - Idee

keine Ahnung was los ist



ist zwar aus eienm anderen forum, aber die antwort passt:

http://www.rokop-security.de/board/i...ndpost&p=50069

rock
__________________


Alt 12.09.2004, 13:37   #3
carsten75
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



also ich habe jetzt 1.3 runtergeladen und habe das Prg durchlaufen lassen. Er hat auch wieder 6 Sachen gefunden und angeblich behoben.Leider ist dem aber nicht so.Ich kann ca.5 min surfen,dann kann ich die Seiten wieder nicht schließen.
Und wenn ich den Regcleaner öffne steht da immer was von wuampd.exe und zwar 3 mal.
Hilfe ich will nicht formatieren
__________________

Alt 12.09.2004, 13:42   #4
Shadowdance
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



Hallo carsten75,

erstelle bitte ein Logfile mit Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Alt 12.09.2004, 13:51   #5
Cidre
Administrator, a.D.
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



Das DSO Exploit ist zunächst mal sekundar, dein Hauptaugenmerk sollte sich an diese wuampd.exe (Malware) richten.
Überprüfe deshalb diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis, sowie das HJT Log-File.

__________________
Gruß, Cidre


Alt 12.09.2004, 13:55   #6
carsten75
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



LOG

Logfile of HijackThis v1.98.2
Scan saved at 14:51:18, on 12.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuampd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Carsten1\Desktop\Neuer Ordner (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cgi6.ebay.de/ws/eBayISAPI.dll...&since=-1&rd=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093370548058
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCCAF97D-435C-450D-B104-752CD222E03B}: NameServer = 217.237.151.225 217.237.150.225

Alt 12.09.2004, 14:02   #7
carsten75
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



wuampd.exe

wuampd.exe - packed with PE_Patch.Morphine
wuampd.exe - packed with Morphine
wuampd.exe - packed with UPX
wuampd.exe Infiziert: Backdoor.Rbot.gen


Statistiken:
Bekannte Viren: 98981 Updated: 12-09-2004
Größe der Datei (Kb): 96 Viren-Korpus: 1
Datei: 4 Warnungen: 0
Archive: 0 Verdächtigt: 0

Und nu ????

Alt 12.09.2004, 14:13   #8
Shadowdance
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



@ carsten75,

downloade nun bitte den eScan, erstelle einen Ordner (=Verzeichnis) c:\bases, entpacke den Inhalt in dieses Verzeichnis, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083

Teile uns bitte, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren mit:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:

Erstelle dann ein neues Logfile und poste es.

SD

[edit]
Zitat:
Zitat von Cidre
Backdoor.Rbot.gen =>

Quelle: http://www3.ca.com/securityadvisor/v....aspx?id=39437
Eine Bereinigung durch AV Scanner ist imho nicht sinnvoll!
Leider ... ich sehe es genauso. Auch ich bin der Ansicht, dass es bei "Backdoor.Rbot.gen" nur eine Lösung gibt: formatieren + neuaufsetzen. Alles andere ist in diesem Fall sinnlos.

Geändert von Shadowdance (12.09.2004 um 14:32 Uhr)

Alt 12.09.2004, 14:22   #9
Cidre
Administrator, a.D.
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



@ carsten75

Backdoor.Rbot.gen =>
Zitat:
Backdoor Functionality

Rbot's main function is to act as an IRC controlled backdoor. It attempts to connect to a predefined IRC server and join a specific channel so that the victim's computer can be controlled. The IRC server, port number, channel and password differ with each variant.

Rbot also listens on TCP port 113 to provide ident services, which are required by some IRC servers.

Once the victim's computer is under control, the overseer is able to instruct Win32.Rbot to attempt to perform malicious operations such as spreading via administrative shares with weak passwords or the DCOM RPC exploit. The backdoor can also be instructed to:

* download and execute files from the Internet
* retrieve system information such as Operating System details
* retrieve CD keys for certain computer games, if present
* start a SOCKS proxy
* perform denial of service (DoS) attacks
* start several other servers: rlogin, http, tftp. The ports used for these are configurable.
* log keystrokes
* capture video from a webcam, if present
* send e-mail

Process Termination

Win32.Rbot can also be configured to terminate certain processes. These processes are usually related to anti-virus and other security software, but also include processes used by other malware. For example:

regedit.exe
msconfig.exe
netstat.exe
msblast.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
taskmon.exe
PandaAVEngine.exe
sysinfo.exe
mscvb32.exe
MSBLAST.exe
teekids.exe
Penis32.exe
bbeagle.exe
SysMonXP.exe
winupd.exe
winsys.exe
ssate.exe
rate.exe
d3dupdate.exe
irun4.exe
i11r54n4.exe
Quelle: http://www3.ca.com/securityadvisor/v....aspx?id=39437

Eine Bereinigung durch AV Scanner ist imho nicht sinnvoll!
http://oschad.de/wiki/index.php/Virenscanner

Die sicherste Lösung wäre ein Neuaufsetzen deines Systems, um wieder einen vertrauenswürdigen Zustand herzustellen.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html
__________________
Gruß, Cidre


Geändert von Cidre (12.09.2004 um 14:31 Uhr)

Alt 12.09.2004, 15:09   #10
carsten75
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



escan,und er schrieb immer was von action renamend




[0x0000035c] 12/09/2004 15:30:43:328 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com
[0x0000035c] 12/09/2004 15:30:43:343 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]TimeOut : ffffffff
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Priority : NORMAL
[0x0000035c] 12/09/2004 15:30:46:593 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12
[0x0000040c] 12/09/2004 15:31:32:562 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:31:33:218 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:43:41:343 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e
[0x0000040c] 12/09/2004 15:43:41:359 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e
[0x0000040c] 12/09/2004 15:44:34:281 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:44:34:328 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:15:593 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:16:250 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:29:109 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:29:781 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:58:42:906 :[msvLclnt.dll][00000001] File D:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP81\A0010840.exe infected by not-a-virus:Tool.Win32.Reboot
[0x0000040c] 12/09/2004 16:01:08:578 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12
[0x0000035c] 12/09/2004 16:03:42:140 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12

Alt 12.09.2004, 15:12   #11
carsten75
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



@ cidre

das was Du da gepostet hast auf english sieht nicht gut aus.
Habe aber kein Bock zu formatieren,da ich auch noch einen Netzwerkrechner an meinem hängen habe.Habe kein Bock auf eine neue Netzwerkeinrichtung.
Ich hoffe ich bekomme das ohne formatieren in Griff.

Alt 12.09.2004, 15:16   #12
Cidre
Administrator, a.D.
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



Zitat:
Habe aber kein Bock zu formatieren,da ich auch noch einen Netzwerkrechner an meinem hängen habe.Habe kein Bock auf eine neue Netzwerkeinrichtung.
Sorry, aber dein Bock ist nicht relevant.

Bedenke, du bist ein Teil eines riesigen Netzwerkes (I-net) und stellst mit deinem System (Virenschleuder) ein Gefahr für andere I-net User dar.
Wenn du es nicht für dich machst, dann mach es wenigstens für andere.

btw:
Trenne dein kompromittiertes System schnellstmöglich vom Netz.

Hier noch eine deutsche Erklärung dazu:

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29
__________________
Gruß, Cidre


Alt 12.09.2004, 15:20   #13
carsten75
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



es bleibt mir ja nix anderes übrig.
Vielen dank für Eure hilfe.Werde nun format c:

Alt 14.09.2004, 08:28   #14
digihunter
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



Hallo Leute,

ich als ziemlicher Computer-Laie benötige bitte Eure Hilfe.
Beim Windows-Update habe ich für kurze Zeit die Norton
Personal Firewall deaktiviert und habe dann nach einem
Neustart des Systems bemerkt, dass die "wuampd.exe" auf
das Internet zugreifen möchte.
Das habe ich dann sofort mit der Firewall unterdrückt!
Durch Norton Antivirus wurde keine Infektion erkannt.
Auf "Kaspersky.Com" wurde die "wuampd.exe" jedoch als
mit "backdoor.Rbot.gen" infiziert gemeldet.
Da "wuampd.exe" im Taskmanager als aktiver Prozess angegeben wurde,
habe ich diesen unter "msconfig>systemstart" deaktiviert.
Nun wird er auch nicht mehr mitgestartet.
Kann es sein, daß durch das sofortige Sperren per Firewall dieser
Schädling noch keine Verbindung mit dem Internet aufgebaut hat und
daher sein "Unwesen" auf dem Rechner noch nicht treiben konnte?
Kann ich - wenn ich den Systemrestore abgeschaltet und den PC im
abgesicherten Modus gestartet habe - die "wuampd.exe" sowie zwei
gleichlautende Registrierungseinträge bedenkenlos löschen? Oder
kann es sich hier doch um wichtige Systemdateien - die zwar infiziert sind -
handeln, die man daher nicht löschen darf?

Kann ich den Schädling ggf. mit dieser Vorgehensweise "im Schach" halten?

Danke für Eure Antworten!

Gruß
digihunter

Alt 14.09.2004, 08:49   #15
MountainKing
 
keine Ahnung was los ist - Standard

keine Ahnung was los ist



Erstelle bitte ein Log mit

http://www.trojaner-board.de/51130-a...ijackthis.html

und poste den Inhalt hier. Es handelt sich nicht um Systemdateien, sondern um neu angelegte. Du musst auch an deinem Sicherheitskonzept arbeiten, der entscheidende Schritt, die Verhinderung einer Infizierung, ist bei dir schon mal fehlgeschlagen, dann bleibt als letzte Hilfe noch die Hoffnung auf Zusatzsoftware wie Firewall und Antivirenscanner und die ist trügerisch.

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html

Aber poste bitte erst mal das Log.

Antwort

Themen zu keine Ahnung was los ist
ahnung, askbar, bat, bitte um hilfe, folge, folgendes, helfen, heute, hängen, interne, internetseite, keine ahnung, laufen, media, media player, morgen, nicht öffnen, noob, player, quick, rechts, sache, sachen, schließe, schließen, seite, seiten, spybot, taskleiste, öffnen



Ähnliche Themen: keine Ahnung was los ist


  1. keine ahnung
    Log-Analyse und Auswertung - 05.06.2011 (1)
  2. Keine Ahnung, was ich hab?!?!
    Mülltonne - 27.10.2009 (4)
  3. Keine Ahnung
    Plagegeister aller Art und deren Bekämpfung - 21.06.2009 (1)
  4. Überhaupt keine Ahnung.
    Netzwerk und Hardware - 05.04.2009 (2)
  5. Keine ahnung was das ist
    Mülltonne - 16.03.2008 (1)
  6. Keine Ahnung was los ist
    Plagegeister aller Art und deren Bekämpfung - 05.07.2006 (10)
  7. Keine Ahnung was los ist...
    Plagegeister aller Art und deren Bekämpfung - 20.04.2006 (4)
  8. Spyware, keine ahnung wo sie sein soll, pc hat keine anzeichen von spyware
    Plagegeister aller Art und deren Bekämpfung - 07.12.2005 (6)
  9. Hilfe, hab keine Ahnung!
    Log-Analyse und Auswertung - 06.10.2005 (4)
  10. Keine Ahnung was los ist :(
    Plagegeister aller Art und deren Bekämpfung - 02.06.2005 (18)
  11. keine ahnung was ist
    Log-Analyse und Auswertung - 16.02.2005 (5)
  12. keine ahnung was ist
    Log-Analyse und Auswertung - 15.02.2005 (1)
  13. log + keine Ahnung was los is
    Log-Analyse und Auswertung - 13.01.2005 (2)
  14. Please Help .. hab keine Ahnung
    Plagegeister aller Art und deren Bekämpfung - 17.12.2004 (1)
  15. log - hab keine ahnung davon...
    Log-Analyse und Auswertung - 01.10.2004 (5)
  16. keine ahnung was das ist
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (10)
  17. neu und keine ahnung
    Plagegeister aller Art und deren Bekämpfung - 02.04.2004 (2)

Zum Thema keine Ahnung was los ist - Hallo erstmal.Großes Lob an alle die hier helfen und sich Gedanken machen.RESPEKT. Ich habe seid heute morgen folgendes Problem.Gestern habe ich mir den Trailer zu Battlefield 2 runtergeladen.Wollte ihn mit - keine Ahnung was los ist...
Archiv
Du betrachtest: keine Ahnung was los ist auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.