|
backdoor.win32/poebot.b hi habe scheinbar den im titel genannten backdoor aufm rechner. problem is nur ich finde ihn nicht wirklich.. habe als AV-software kaspersky AV. wenn ich den durchlaufen lasse findet er nichts. nur der realtime scan findet hin und wieder eine datei die angeblich mit dem backdoor infiziert is. die datei kann laut kasperksy nicht gelöscht werden, ist aber nach der meldung trotzdem weg. spybot s&d findet auch nichts und der trendmicro online scan (housecall) hat nur ne spyware gefunden und entfernt. nun weiss ich leider nicht was ich sonst noch machen sollte. irgendwie is der backdoor da aber irgendwie nicht... hab mal hijackthis durchlaufen lassen. hier die log: C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\KeirNet\K9\K9.exe C:\Programme\ICQ\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Lance1\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1126359328296 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126359314296 O17 - HKLM\System\CCS\Services\Tcpip\..\{A9612B13-E5E5-4A7D-8018-74C5C5657A2C}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe vielleicht kann mir ja einer von euch weiterhelfen. |
Hallo ! Das Logfile hat so nicht viel sinn, es fehlen die Systeminformationen und die Version von Hijackthis, ebenso ein paar Zeilen der aktiven Prozesse, also zurück an den Start. |
poste bitte das ganze logfile,sonst kann man dir hier nicht helfen lg heli und falls du wirklich diesen schädling in deinem system hast,setz dein system gleich neu auf hier eine anleitung www.trojaner-board.de/showthread.php?t=12154 |
Logfile of HijackThis v1.99.1 Scan saved at 10:25:45, on 10.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\KeirNet\K9\K9.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ICQ\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Lance1\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1126359328296 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126359314296 O17 - HKLM\System\CCS\Services\Tcpip\..\{A9612B13-E5E5-4A7D-8018-74C5C5657A2C}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe so das is nu alles was inner logfile steht. ich glaub ich werd aber trotzdem neu aufsetzen.. hab ich zwar gestern gemacht und den schädling bekommen aber jetz hab ich die aktuellen updates. |
@damike Zitat:
Zitat:
BTW: Der Log sieht sauber aus. Kannst du die Virus-Meldung von KAV genau aufschreiben (mit dem Pfad und Virusnamen)? |
hab die logfiles vom kaspersky nichtmehr. hab grad neu formatiert. jedenfalls wars immer ein andrer name von einer exe. keine richtige bezeichnung sondern nur irgendwelche buchstaben. die datei war immer im ordner win/system32. bei der kaspersky meldung hab ich dann auf "datei löschen" geklickt aber das ging laut kaspersky nicht weil ich die rechte dazu net habe (war aber als admin eingeloggt). die "schädlingsdatei" war aber trotzdem weg. naja jedenfalls is das sys jetz wieder neu und momentan is nix von nem schädling zu erkennen. falls sich doch noch was ändert meld ich mich wieder. |
Ich hoffe, dass du dir die o.g. Anleitung um Neuaufsetzen zu Herzen genommen hast. |
ne.. habs mir net durchgelesen. hab aber bis jetz keine probs und auch keine fehlermeldungen. das sys scheint wieder clean zu sein. |
SP2 würde ich dir noch empfehlen,sonst sehen wir uns hier bald wieder lg heli |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:04 Uhr. |
Copyright ©2000-2024, Trojaner-Board