Anwendung Realplay.exe versucht Verbindungsaufbau
 

Hallo Leute.

Ich habe folgendes Problem:

Meine Agnitum Firewall muß ständig folgende Applikation unterbinden:
"Blockiere Aktivität für Applikation REALPLAY.EXE REALPLAY.EXE proto.tytayty.biz n/a Unbekannt TCP"

Meine Antivirus Programme (antivir, spybot, ad aware und bitdefender) haben bis auf bitdefener nichts gefunden. Bitdefender scheint das Problem allerdings nicht lösen zu können.

Log von Bitdefender:

Zusammenfassung:

C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 33)=>[Subject: information][Date: Tue, 20 Apr 2004 10:51:56 +0200]=>(MIME part)=>document.htm.scr Infiziert Win32.Netsky.B@mm
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 33)=>[Subject: information][Date: Tue, 20 Apr 2004 10:51:56 +0200]=>(MIME part)=>document.htm.scr Gelöscht
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 33)=>[Subject: information][Date: Tue, 20 Apr 2004 10:51:56 +0200]=>(MIME part) Update
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 33) Update
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox Update fehlgeschlagen

[...] muss leider kürzen, sonst passt es nicht ins Forum.....

C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 357)=>[Subject: Re: Hello][Date: Fri, 29 Oct 2004 16:10:27 +0100]=>(MIME part)=>Price.com Infiziert Win32.Bagle.AX@mm
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 357)=>[Subject: Re: Hello][Date: Fri, 29 Oct 2004 16:10:27 +0100]=>(MIME part)=>Price.com Gelöscht
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 357)=>[Subject: Re: Hello][Date: Fri, 29 Oct 2004 16:10:27 +0100]=>(MIME part) Update
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox=>(message 357) Update
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox Update fehlgeschlagen
C:\WINDOWS\system32\realplay.exe=>(Morphine 2.0)=>(Upx) Infiziert Backdoor.SDBot.Gen
C:\WINDOWS\system32\realplay.exe=>(Morphine 2.0)=>(Upx) Gelöscht
Geprüfte Dateien

HiJackThis liefert mir folgendes Ergebnis:
Logfile of HijackThis v1.98.2
Scan saved at 14:52:02, on 01.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\realplay.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Mozilla1.6\mozilla.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{214A57EF-CB59-45B6-B8CB-8315993124F6}: NameServer = 145.253.2.196 145.253.2.203

Wie bekomme ich den dauernden Versuch eines Verbindungsaufbaus in den Griff?

Besten Dank im Voraus.

Gruß
Mediävist

Hallo Mediävist,

es sieht nicht gut aus. Es kann sein, dass Du Dein System formatieren musst.

Versuche bitte Folgendes, damiit wir Gewissheit haben: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Wenn's geht, in normaler Schriftgrösse).

SD

Hallo nochmal,

vielen Dank schon mal für die bisherigen Tipps Shadowdance…….

Habe alles gemäß deinen Anweisungen durchgeführt.

Das Ergebnis des Scans:

Kurzfassung:

File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox infected by "I-Worm.NetSky.b" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Nicole\utilities 97\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Nicole\utilities 97\TUSetup710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP103\A0030799.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

mwav.log sagt dazu genaueres:

Mon Nov 01 16:56:07 2004 => File C:\WINDOWS\system32\realplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Mon Nov 01 16:56:07 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\system32\realplay.exe (which is infected)!
Mon Nov 01 16:56:07 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Realplayer One deleted because it is infected by a Virus
Mon Nov 01 16:56:07 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Mon Nov 01 16:56:07 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Mon Nov 01 16:56:07 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Mon Nov 01 16:56:07 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices has RunningProcess defined as C:\WINDOWS\system32\realplay.exe.mwt (which is infected)!
Mon Nov 01 16:56:07 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Realplayer One deleted because it is infected by a Virus

Mon Nov 01 17:18:21 2004 => File C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Profiles\default\pb8vo9n8.slt\Mail\pop.mail.yahoo.de\Inbox infected by "I-Worm.NetSky.b" Virus. Action Taken: File Deleted.

Mon Nov 01 17:21:32 2004 => File C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Nicole\utilities 97\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon Nov 01 17:21:32 2004 => Scanning File C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Nicole\utilities 97\TUSetup710.zip
Mon Nov 01 17:21:33 2004 => File C:\Dokumente und Einstellungen\Frank\Eigene Dateien\Nicole\utilities 97\TUSetup710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon Nov 01 17:47:29 2004 => File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP103\A0030799.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

Wenn mir noch jemand sagen kann, wie ich jetzt weiter vorgehen soll, wäre ich überaus dankbar.

Grüße
Mediävist

Der Rbot ist meiner Meinung nach schon ein Grund um formatieren zu müssen.
Funktionen unter anderem: http://www.sophos.de/virusinfo/analyses/w32rbotlt.html

Wenn du formatierst wird dir diese Anleitung nützlich sein. Wenn du dich an das dort Beschriebene hältst wirst du so schnell keine Probleme mit deinem PC bekommen (zumindest was Malware betrifft).
Viel Glück :)

Sorry, mediävist,
aber wenn ich das alles lese....
ich würde mich an cidre halten und mein System neu aufsetzen.
Aber wie gesagt, nur meine Meinung.
cacatoa

Hallo!

Neuinstallation finde ich naturgemäß natürlich nicht so prickelnd..... :headbang:

Die Firewall vermeldet jetzt allerdings nach der "eScan"-Behandlung keine weiteren Einwahlversuche. Aber auf der sicheren Seite bin ich wohl damit nicht??

Schläft jetzt dieser hinterhältige Wurm nur und kann mir passieren, dass er mich weiterhin ausspioniert? Ich nehme an, dass er durch die Umbenennung von eScan jetzt einfach nur nicht aktiviert wird? (bin Leie, und habe keine Ahnung....)

Danke Jungs (und Mädels?). Bin auf jeden Fall dankbar, dass es dieses Forum gibt und man nicht völlig mit Bill Gates allein gelassen wird.....

Tod den Schädlingen

Mediävist

Naja durch den Backdoortrojaner ist dein System kompromittiert, d.h. nicht mehr vertrauenswürdig. Alle Daten könnten verändert sein. Fremde können unbegrenzten Zugriff auf dein System gehabt haben. Les mal auf der verlinkent Seite zum erneuten Aufsetzen was Malware alles kann.

Hallo Leute,

da mein System kompromittiert ist, möchte ich es neu aufsetzten. :schmoll:

Dazu meine Fragen:

-Muß ich auf meiner partitionierten Festplatte die Laufwerke C und D formatieren? Ist nach einer Formatierung die Partionierung eigentlich aufgehoben?

-Können nach einer Formatierung noch Risiken bestehen, da ich gehört habe, dass es Malware gibt, die sogar gegen das Formatieren resistent ist. Sprich: Muss ich mit einem speziellen Löschprogramm nochmal "drübergehen"?

-Für danach: Ich habe immer Schwierigkeiten bei der Konfiguration meiner Firewall: Ich weiß immer nicht genau, welche Verbindungen ich bei der SVCHOST.exe bzw. LSASS.exe erlauben darf oder verbieten soll. Gibt es da irgendwo Hilfestellung.

Dank im Voraus an euch.

Grüße
Mediävist

Danke

@ Mediävist

C: musst Du formatieren. D: nur, wenn dort Viren gefunden worden sind. Die Partionierung ist - meines Wissens - nach dem formatieren nicht aufgehoben. Näheres dazu siehe: Festplatte Formatieren - Schritt für Schritt

- nein, ausser Du speicherst verseuchte Dateien auf CD/Diskette und liest sie neu ein.

Verwende die System eigene Firewall und lies Dich hier durch:

- Cidre: ein umfassender Rat
- Vorbeugende Maßnahmen: www.trojaner-info.de

SD

Hallo!

Ich habe 1 Woche nach einer Neuinstallation von Windows XP (wegen Rbot) wieder Probleme mit dem Backdoor-Trojaner: Rbot.LN, was mir nicht erklärbar ist, da ich wie gesagt neu installiert (und damit formatiert) habe und auch die sonstigen mir vorgeschlagenen Anweisungen eingehalten habe (auch mein Surfverhalten habe ich geändert).

Antivir hat den Rbot entdeckt (in windows/system32!) und angeblich entfernt. Nach einem Scan mit eScan im abgesicherten Modus, konnte dieser nichts feststellen.

Hier mein HiJackThis Log:

Logfile of HijackThis v1.98.2
Scan saved at 11:27:51, on 12.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\atiptaxx.exe
D:\Programme\ahead\InCD\InCD.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Microsoft Office\Office\1031\msoffice.exe
D:\Programme\Logitech\iTouch\kbdtray.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\NICOLE~1\LOKALE~1\Temp\Rar$EX01.189\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [BDNewsAgent] d:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE

Frage: Kann der Rbot.LN die Formatierung überlebt haben? Ich kann´s mir sonst nicht erklären..... :confused:

Die Neuinstallation wurde über die Windows-XP CD durchgeführt, damit auch die Formatierung. Wäre es sicherer auf die DOS Ebene zu gehen und "Format C:" einzugeben? Seltsamerweise musste ich nämlich nicht die Aktivierung durchführen.... Die scheint noch irgendwie auf der Festplatte gewesen zu sein?

Danke im Voraus. Ich weiß bald nicht mehr, was ich machen soll.....

Hi

Du solltest dein system erstmal updaten! -> Sp 2 installieren!

wenn du das nicht machst brauchst du dich nicht wundern wenn du dir immer wieder was einfängst!

Wirklich?

Formatier noch mal!

Und vor der ersten Online-Verbindung aktivierst Du die Windows-Firewall für die Online-Verbindung. Die erste Seite, die Du dann aufrufst, ist http://www.windowsupdate.com . Zur Zeit ist Dein System null gepatcht! (Die Anweisung von Cidre enthält diesen Punkt an dritter Stelle!)

Gruß :daumenhoc
Yopie

Eure Kritik ist berechtigt.

Das SP2 ist halt so ein Gigant, den kann ich mit meiner Leitung nicht herunterladen..... Dann muss ich ihn mir wo anders besorgen.

O.K. Ich formatier nochmal.

Aber wie? Ist das Einlagen der Windows XP CD mit Neuinstallation und Formatierung in Ordnung oder muss ich auf DOS-Ebene und den Formatbefehl anwenden?

Danke und Gruß

Du kannst das ruhig mit der windows cd machen!

du kannst dir sp2 auch von microsoft kostenlos schicken lassen!

Oder du schaust in welcher PC zeitschrift er dabei ist und kaufst die.

Stimmt, das Paket ist wirklich groß. Also mal Freunde / Nachbarn / Kollegen mit DSL-Anschluß anhauen und sie bitten, das SP2 von dieser Seite runterzuladen und auf CD zu brennen. Oder bei MS bestellen.

Das mit dem "eignet sich nicht für Heimanwender" muss man nicht so wörtlich sehen. ;)

Ne, das ist schon ok, meine ich.

Gruß :daumenhoc
Yopie