Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.10.2004, 21:14   #1
zazou
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



hallo!
nachdem AVK bei mir „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ gefunden hat und nicht desinfizieren konnte, habe ich es mit escan wie empfohlen versucht. Das Ergebnis war folgendes: „Sassdor“ wurde gefunden sowie zwei weitere von ihm infizierte Dateien. Diese wurden umbenannt (trotzdem hat AVK danach erneut eine sassdor-infizierte Datei gemeldet). „Backdoor“ wurde nicht gefunden, auch sonst konnte ich im Internet nichts darüber finden. Die automatische Auswertung mit HighjackThis hat mich auch nicht weiter gebracht. Kann mir jemand weiterhelfen?


Logfile of HijackThis v1.98.2
Scan saved at 21:25:38, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Mozilla1.6\Mozilla.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\internet\Eigene Dateien\Eigene Downloads\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.6\Mozilla.exe" -turbo
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de

Alt 19.10.2004, 21:37   #2
cacatoa
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



Hallo, zazou,
würde mal folgendes tun: Systemwiederherstellung deaktivieren... dann im abgesicherten Modus starten und erneut mit dem Scanner versuchen den Virus zu entfernen. Geht immer wieder mal.
cacatoa
__________________

__________________

Alt 19.10.2004, 21:43   #3
Passat2002
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



hi

wo wurde den die schadsoftware gefunden ?
in den temp. ordnern? oder im restor-archiv?

ansonsten ist dein logfile sauber
diese datei C:\Programme\Classic PhoneTools\CapFax.EXE solltest du keine verbindung dazu herstellen können, mit Kaspersky onlinscan überprüfen
__________________
__________________

Alt 19.10.2004, 21:48   #4
zazou
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



danke erstmal für eure infos, ich probiere es nochmal mit systemwiederherstellung deaktivieren!

Alt 19.10.2004, 21:59   #5
zazou
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



Hallo nochmal,
beide Viren befinden sich in C:/windows/system32, weitere infizierte Dateien in C:/System Volume Information/_restore...


Alt 20.10.2004, 06:08   #6
Shadowdance
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



@ zazou

Backdoor.BotGet.FtpB.Gen

Lade den eScan (Anleitung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen" Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Alt 20.10.2004, 08:55   #7
zazou
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



@ shadowdance

danke für die info zu "backdoor..."!!! - werde sie gleich eingehender studieren.


hier nochmal das ergebnis von escan.

Mon Oct 18 21:21:28 2004 => File C:\WINDOWS\system32\lsass32.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed.

Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP22\A0010964.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed.

Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP24\A0011147.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed.

Mon Oct 18 22:27:24 2004 => Total Number of Disinfected Files: 0

cacatoa hatte mir geraten, den escan nochmal mit deaktivierter systemherstellung zu versuchen. Habe mich aber noch nicht getraut, da damit alle Wiederherstellungspunkte gelöscht werden. zazou

Alt 20.10.2004, 09:27   #8
Shadowdance
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



@ zazou

wenn Du den "Backdoor.BotGet.FtpB.Gen" auf dem System hast, muss Dein System als kompromittiert angesehen werden: 'Usually, if such a file is found on a computer in a LAN, it is very possible that other systems may have been compromised as well." --> Ansteckungsgefahr bei Computern in einer LAN-Verbindung.

Das hat dann dies zur Folge: formatieren+neuaufsetzen

Zitat:
Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
... aber führe erst den eScan durch, damit wir sicher sein können, was Du auf dem System hast.

SD

Alt 20.10.2004, 09:39   #9
zazou
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



@ shadowdance

...sowas hatte ich befürchtet...
Ich habe es mit dem eingeschränkten benutzerkonto nicht so genau genommen und das hat offenbar schon gereicht...

die ergebnisse vom escan stehen in meiner letzten antwort - braucht ihr mehr infos? "Backdoor..." hat escan im Gegensatz zu AVK nicht gefunden.
zazou

Alt 20.10.2004, 09:50   #10
Shadowdance
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



@ zazou,

überprüfe die betroffene Datei bei verschiedenen Online-Scannern: Auswahl und wenn das auch nichts ergibt, sende Die Datei passwortgeschützt an diese beiden Mailadressen: partytime-germany.ice@web.de - detections@spybot.info mit Hinweis auf diesen Thread und der Info unter Betreff, dass es sich um den "Backdoor.BotGet.FtpB.Gen" handeln könnte.

SD

Alt 20.10.2004, 09:59   #11
zazou
 
„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - Standard

„Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“



@ shadowdance

das werde ich versuchen - danke dir erstmal für deine hilfe!!!
zazou

Antwort

Themen zu „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“
.inf, adobe, auswertung, bho, button, desinfizieren, dll, einstellungen, escan, explorer, file missing, g data, highjackthis, hijack, hijackthis, infizierte, internet, internet explorer, launch, messenger, microsoft, mozilla, nicht gefunden, programme, rundll, rundll32.exe, software, system, system32, windows, windows messenger, windows xp



Ähnliche Themen: „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Backdoor.Win32.ZAccess.eqwk / .epsi und HEUR:Exploit.Java.Generic auf meinem Rechner
    Log-Analyse und Auswertung - 26.11.2013 (17)
  3. Rogue:Win32/Winwebsec, PWS:Win32/Fareit, Exploit:Java/CVE-2013-2423 gefunden und entfernt. Was nun?
    Log-Analyse und Auswertung - 09.06.2013 (19)
  4. 25 verschiedene Trojaner bzw. Malware,Exploit und backdoor server!
    Log-Analyse und Auswertung - 15.01.2013 (21)
  5. 25 Viren trojaner,exploit,backdoor server und andere
    Mülltonne - 15.11.2012 (0)
  6. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  7. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  8. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  9. Exploit.PDF-JS.Gen,Trojan.Win32.GenericBT&Win32.BackdoorPoison entdeckt und entfernt - Logfile
    Log-Analyse und Auswertung - 20.09.2010 (11)
  10. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  11. Bitte um Hilfe: backdoor.botget.ftpa.gen (& das Logfile)
    Log-Analyse und Auswertung - 11.04.2007 (3)
  12. Backdoor.BotGet.FtpB.Gen
    Log-Analyse und Auswertung - 11.07.2006 (4)
  13. Backdoor.BotGet.FtpB.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.06.2006 (28)
  14. TR/PSW.Banker.II.7 und Backdoor.BotGet.FtpB.Gen
    Plagegeister aller Art und deren Bekämpfung - 01.03.2006 (1)
  15. Backdoor.BotGet.FtpB.Gen, Anmeldemeldung usw.
    Log-Analyse und Auswertung - 14.12.2005 (10)
  16. Backdoor.BotGet.FtpA.Gen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2005 (7)
  17. backdoor.Botget.FtpB.gen
    Plagegeister aller Art und deren Bekämpfung - 12.01.2005 (2)

Zum Thema „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ - hallo! nachdem AVK bei mir „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ gefunden hat und nicht desinfizieren konnte, habe ich es mit escan wie empfohlen versucht. Das Ergebnis war folgendes: „Sassdor“ wurde gefunden sowie - „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“...
Archiv
Du betrachtest: „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.