Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Backdoor_IRCBot_FP (https://www.trojaner-board.de/35283-backdoor_ircbot_fp.html)

lilli25 13.01.2007 13:01
Backdoor_IRCBot_FP
 
guten tag

spyware doctor zeigt einen backdoor_ircbot_fp eintrag an.
ad-aware und spybot melden nichts.
jetzt bin ich unsicher was nun tasächlich los ist.
betriebssystem ist win xp-professional sp2.

vielleicht kann mir jemand dabei helfen.
vielen dank im vorraus.

hier das hijackthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 12:10:00, on 13.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\hin-und-her\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Sunny 13.01.2007 13:18
Hallo.

Wo wird denn der oben genannte Schädling gefunden, genaue Dateiangabe ist hier von Vorteil!
(sollte im letzten Report vom AV-Scanner stehen.)

Aus deinem Hijacklog könnte folgender Eintrag mit dem IRC.Bot in Verbindung stehen:

Zitat:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\system\smss.exe
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

lilli25 13.01.2007 14:01
Zitat:
Zitat von [Gc]Sunny (Beitrag 248681)
Hallo.

Wo wird denn der oben genannte Schädling gefunden, genaue Dateiangabe ist hier von Vorteil!
(sollte im letzten Report vom AV-Scanner stehen.)

Aus deinem Hijacklog könnte folgender Eintrag mit dem IRC.Bot in Verbindung stehen:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)



* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny
danke sunny

virustotal hatte folgendes ergebniss:

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 TR/Proxy.Horst.Gen
Authentium 4.93.8 01.12.2007 W32/Methodbod.gen2
Avast 4.7.936.0 01.12.2007 no virus found
AVG 386 01.12.2007 Proxy.25.AY
BitDefender 7.2 01.13.2007 DeepScan:Generic.Horst.6E908659
CAT-QuickHeal 9.00 01.12.2007 Trojan.Horst.pp
ClamAV devel-20060426 01.13.2007 Trojan.Medbot-98
DrWeb 4.33 01.13.2007 no virus found
eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 Win32/Boxed!generic
Ewido 4.0 01.12.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 no virus found
F-Prot 3.16f 01.12.2007 W32/Methodbod.gen2
F-Prot4 4.2.1.29 01.12.2007 W32/Methodbod.gen2
Ikarus T3.1.0.27 01.09.2007 Trojan-Proxy.Win32.Horst.py
Kaspersky 4.0.2.24 01.13.2007 Trojan-Proxy.Win32.Horst.pp
McAfee 4938 01.12.2007 BackDoor-CMQ.gen
Microsoft 1.1904 01.13.2007 no virus found
NOD32v2 1976 01.13.2007 probably a variant of Win32/Medbot.DC
Norman 5.80.02 01.12.2007 W32/Horst.gen14
Panda 9.0.0.4 01.13.2007 Suspicious file
Prevx1 V2 01.13.2007 no virus found
Sophos 4.13.0 01.11.2007 Mal/Behav-080
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.12.2007 MalwareScope.Trojan-Proxy.Horst.1
VirusBuster 4.3.19:9 01.12.2007 Worm.Medbot.Gen!Pac11

Aditional Information
File size: 38400 bytes
MD5: a05841ab4e0d2ca71328801b4c349a39
SHA1: 920970b76644ae81ce5967c3a4575d85d450f0f8
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Sunny 13.01.2007 14:04
Da haben wir den Schädling, jedoch werden wir eine einfache Bereinigung nicht mehr durchführen können, da du selbst nicht mehr Besitzer deines Systems/Rechners bist!

Bei Backdoorbefall ist nur noch eine Bereinigung wirksam ->

Neuinstallation des Betriebssystems + zukünftige Absicherung

Gruß
Sunny

lilli25 13.01.2007 14:09
vielen Dank sunny für die schnelle hilfe.
tja, damit hab ich nun nicht gerechnet (Neuinstallation).

schöne grüsse


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131