| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.BotGet.FtpA.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
30.09.2004, 19:52
| #1 |
| |  Backdoor.BotGet.FtpA.Gen Ich habe seit langem ein Problem mit diesem Virus, weiss aber nicht wie man ihn bekämpft! Was kann ich da tun? |
|
30.09.2004, 20:07
| #2 |
  |  Backdoor.BotGet.FtpA.Gen @Marilyn Manson
__________________wo würde diesen backdoor gefunden, und durch was? mach mal ein scan mit Hijackthis, damit wir wissen um was es sich handelt http://www.trojaner-board.de/51130-a...ijackthis.html poste ein log hier im board chaosman
__________________ |
|
30.09.2004, 20:12
| #3 |
| | Backdoor.BotGet.FtpA.Gen Logfile of HijackThis v1.98.2
__________________Scan saved at 21:10:35, on 30.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\Explorer.EXE C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\winsysi.exe C:\WINDOWS\System32\MSupdate32.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Opera\opera.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\Run: [msconfig service] MSupdate32.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\RunServices: [msconfig service] MSupdate32.exe O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O17 - HKLM\System\CCS\Services\Tcpip\..\{8A1CD327-2549-4B89-9D1D-1B1B54D30A36}: NameServer = 217.237.149.161 217.237.151.225 ich kann auch mal den log von meinem antivir programm schreiben: Statistik Pfad : C:\ D:\ Ordner : 1507 Dateien : 114201 Archive : 6186 Komprimierte Dateien : 7761 Erkannte Viren : 1 Infizierte Dateien : 2 Warnungen : 0 Verdächtige Dateien : 3 Desinfizierte Dateien : 0 Gelöschte Dateien : 2 Kopierte Dateien : 0 Verschobene Dateien : 3 Umbenannte Dateien : 0 I/O Fehler : 25 Prüfzeit : 00:17:41 Prüfgeschwindigkeit (Dateien/Sekunde) : 107 Virusdefinitionen : 91362 Scan Plug-Ins : 12 Archiv Plug-Ins : 37 Archiv Plug-Ins : 4 E-Mail Plug-Ins : 6 System Plug-Ins : 1 Scan Optionen Erkennung [X] Boot-Sektoren prüfen [X] Archive prüfen [X] Komprimierte Dateien prüfen [X] E-Mails prüfen Dateimaske [ ] Programme [X] Alle Dateien [ ] Benutzerdefinierte Erweiterungen: [ ] Ausgeschlossene Erweiterungen: ; Aktion Infizierte Objekte [ ] Ignorieren [X] Desinfizieren [ ] Löschen [ ] In die Quarantäne kopieren [ ] In die Quarantäne verschieben [ ] Umbenennen [ ] Benutzer abfragen Zweite Aktion [ ] Ignorieren [ ] Löschen [ ] In die Quarantäne kopieren [X] In die Quarantäne verschieben [ ] Umbenennen [ ] Benutzer abfragen Scan Optionen [X] Warnungen aktiviert [X] Heuritik aktiviert [ ] Alle Dateien im Bericht anzeigen [X] Berichtsdatei: vscan.log [ ] Zum bestehenden Bericht hinzufügen Zusammenfassung: C:\WINDOWS\system32\.pif Verdächtig Backdoor.BotGet.FtpB.Gen C:\WINDOWS\system32\.pif Desinfizieren fehlgeschlagen C:\WINDOWS\system32\.pif Verschoben C:\WINDOWS\system32\c.bat Verdächtig Backdoor.BotGet.FtpA.Gen C:\WINDOWS\system32\c.bat Desinfizieren fehlgeschlagen C:\WINDOWS\system32\c.bat Verschoben C:\WINDOWS\system32\MSupdate32.exe=>(Upx) Infiziert mit: Backdoor.SDBot.Gen C:\WINDOWS\system32\MSupdate32.exe=>(Upx) Gelöscht C:\WINDOWS\system32\o Verdächtig Backdoor.BotGet.FtpB.Gen C:\WINDOWS\system32\o Desinfizieren fehlgeschlagen C:\WINDOWS\system32\o Verschoben C:\WINDOWS\system32\winsysi.exe=>(exe32pack 1.38) Infiziert mit: Backdoor.SDBot.Gen C:\WINDOWS\system32\winsysi.exe=>(exe32pack 1.38) Gelöscht Geprüfte Dateien |
|
30.09.2004, 20:38
| #4 |
| | Backdoor.BotGet.FtpA.Gen @Marilyn Manson der hier ist im system http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.WE wechsle in den abgesicherten modus, fixe O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm beende mit taskmanager C:\WINDOWS\System32\winsysi.exe (Dein trojaner) C:\Programme\Messenger Plus! 3\MsgPlus.exe (enthält spyware) danach programme löschen. ldownloade escan, mache es genauso wie hier beschrieben, poste (nur)das ergebnis , und poste ein neues log von HJT chaosman
__________________ Bonus vir semper tiro |
|
30.09.2004, 21:01
| #5 |
| | Backdoor.BotGet.FtpA.Gen Ok, hier der bericht aus dem abgesicherten modus: Logfile of HijackThis v1.98.2 Scan saved at 21:51:54, on 30.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\unzipped\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\Run: [msconfig service] MSupdate32.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\RunServices: [msconfig service] MSupdate32.exe O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com und dann nochmal danach: Logfile of HijackThis v1.98.2 Scan saved at 21:59:39, on 30.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\OPERA\OPERA.EXE C:\unzipped\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\Run: [msconfig service] MSupdate32.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\RunServices: [msconfig service] MSupdate32.exe O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O17 - HKLM\System\CCS\Services\Tcpip\..\{8A1CD327-2549-4B89-9D1D-1B1B54D30A36}: NameServer = 217.237.149.161 217.237.151.225 und ich habe noch etwas entdeckt:  |
|
30.09.2004, 21:14
| #6 |
| | Backdoor.BotGet.FtpA.Gen @Marilyn Manson lsass.exe , lese hier http://www.neuber.com/taskmanager/de...lsass.exe.html ansonsten gilt alles noch von mein voriges posting mache es bitte wie ich es beschrieben habe chaosman
__________________ --> Backdoor.BotGet.FtpA.Gen |
|
| Themen zu Backdoor.BotGet.FtpA.Gen |
| bekämpft, problem, virus |
Hybrid-Darstellung
