Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Log nach entfernen von einem Rbot.nt.. (https://www.trojaner-board.de/17670-log-entfernen-rbot-nt.html)

seyko 10.05.2005 20:10
Log nach entfernen von einem Rbot.nt..
 
hab mir gestern nen rbot eingefangen (trotz xpsp2, aktueller nav corporate und hardwarefirewall) und konnte mit mühe noch manuell alles was mit msmsn7.exe und aehnlichem zu tun hatte deleten....

wollte mal nen hijack log posten und euch fragen ob soweit alles in ordnung scheint :)

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 21:08:26, on 10.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NavNT\defwatch.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Trillian\trillian.exe
C:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113845120265
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
thx ;)

chaosman 10.05.2005 20:12
@seyko
welchen rbot war es genau?

chaosman

felix1 10.05.2005 20:15
Das HJT ist eigentlich nur begrenzt aussagefähig :dummguck:
Ich rate eigentlich bei so etwas dazu:
http://www.trojaner-board.de/42731-escan-anleitung.html

seyko 10.05.2005 20:15
nen onlinescan der datei bei kaspersky ergab

Zitat:
Scanned file: MSMSN7.exe MSMSN7.exe - infected by Backdoor.Win32.Rbot.nt

seyko 10.05.2005 20:18
Zitat:
Zitat von felix1
Das HJT ist eigentlich nur begrenzt aussagefähig :dummguck:
Ich rate eigentlich bei so etwas dazu:
http://www.trojaner-board.de/42731-escan-anleitung.html

hmm der download von mwav auf der seite tut leider nicht :(

felix1 10.05.2005 20:20
Zitat:
Zitat von seyko
hmm der download von mwav auf der seite tut leider nicht :(
Das sagt eigentlich nur, dass das System nicht sauber ist. :o

seyko 10.05.2005 20:23
Zitat:
Zitat von felix1
Das sagt eigentlich nur, dass das System nicht sauber ist. :o
hm, aber auf symantec.com / kaspersky.com komm ich?!

btw: benutze Mozilla 1.8b2 als browser

chaosman 10.05.2005 20:24
@seyko
scanne dein system mit escan
bereite dich geistig vor auf format c
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


chaosman

seyko 10.05.2005 21:42
Zitat:
Tue May 10 21:49:39 2005 => File C:\Downloads\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
Tue May 10 21:53:07 2005 => File C:\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
mehr fand der auch nicht... nen format kann ich mir in diesem zustand nicht leisten da das sys seit 3 jahren ohne probs laeuft und ich keinerlei backupmöglichkeiten von 200 gig habe :/ glaube aber dass soweit alles wieder sauber ist... (bazooka spyware scanner, spybot s&d, nav corporate, eScan und bitdefender online scan finden naemlich nichts mehr)...

Yopie 10.05.2005 21:47
Zitat:
Zitat von seyko
glaube aber dass soweit alles wieder sauber ist...
Das nützt Dir nicht viel, wenn Du die Ursache des Befalls nicht kennst.

"hab mir gestern nen rbot eingefangen (trotz xpsp2, aktueller nav corporate und hardwarefirewall)" klingt für mich nicht glaubwürdig.

Gruß :daumenhoc
Yopie

seyko 10.05.2005 22:14
tja ursache weiss ich nicht, aber mein vater hat gemeint dass er gestern für ungefaehr ne stunde den rechner innen DMZ modus vom router gestellt hatte weil er ProEvolutionSoccer4 nicht als Client im net zocken konnte, von mehr weiss ich aber auch nicht :/

felix1 11.05.2005 08:52
Zitat:
Zitat von seyko
tja ursache weiss ich nicht, aber mein vater hat gemeint dass er gestern für ungefaehr ne stunde den rechner innen DMZ modus vom router gestellt hatte weil er ProEvolutionSoccer4 nicht als Client im net zocken konnte, von mehr weiss ich aber auch nicht :/
Und genau das ist das Problem. Damit setzt man die nützlichen Eigenschaften eines Routers ausser Kraft, hat diesen Schutz nicht mehr und fängt sich solchen Schrott ein :kloppen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:48 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28