|
Ich präsentiere: mein neues Haustier, der Backdoor.Win32.Rbot.rc. Wie schon im Titel versehen habe ich seit neustem ein schickes Untier auf dem Rechner und bin recht ratlos bei ihm. Da ich gerade nichts Besseres weiß um mein Problem zu verdeutlichen, schreib ich einfach mal auf, was wann, wie, womit passiert. Beim Hochfahren = Kaspersky meldet sich und zeigt mir an, dass der Backdoor.Win32.Rbot.rc. irgendwelche Auswirkungen auf die Datei C:\xz.exe hätte. Okay, da dachte ich noch, dass ich ihn einfach löschen könnte... Nunja, wie dem auch sei, ich hab ihn gelöscht und da ich erfahrungsgemäß weiß, dass bei einem gefundenen Virus meist noch mehr bei ad-aware anzutreffen ist, bin ich dort hineingegangen und hab die restlichen gefundenen Files gelöscht. Bei ad-aware zeigte er mir dann den Win3e2.P2P-Worm.Alcan.a an. Nun dachte ich mir nichts Böses mehr und hab ein paar weitere Dinge am PC gemacht (einer Meinung nach recht unwichtig für dieses Thema...) und habe ihn nach kurzer Zeit auch wieder hinuntergefahren. Da mir recht früh in den Sinn kam, was vergessen zu haben, startete ich den PC erneut und die Meldung kam wieder. Okay, ich gebe zu, ab diesem Moment hat mich das Teil schon gehörig genervt... Ich lösch also wieder alles, starte neu, geh' in den gesicherten Modus, lass ad-aware durchlaufen, hier findet er dann mittlerweile schon, dachte ich zumindest, die auslösende Datei. Schließlich fand er zwei weitere zum Wurm gehörige Files. Ich fahr also wieder runter und starte erneute den Computer hoch... Siehe da er findet nichts. Ich freu mich wie ein Schneekönig... Da vergaß ich vor lauter Freude wieder was ich wollte und ließ meinen Rechner wieder hinunterfahren. Dann fiel mir wieder urplötzlich ein, dass ich ja noch was machen wollte, starte hoch und schon wieder ist des Teil da... Okay, leichte Glaubenkrise bei mir und ich ruf einen Freund an, der mir sagt, ich solle mal HiJackThis und CWShredder durchlaufen lassen... Nachdem ich die beiden Programme gezogen hatte, ließ ich sie auch durchlaufen. Ergebnis war dann, dass bei CWS nichts schlimmes gefunden wurde und HiJack versteh ich so rein gar nicht... Und genau an diesem Punkt steh ich jetzt... Da ich mittlerweile ja bemerkt habe, dass hier so einige die Logfiles on HiJack deuten können, stell ich die einfach mal zum Rest hinein. Logfile of HijackThis v1.99.1 Scan saved at 18:07:46, on 05.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe D:\Programme\ahead\InCD\InCDsrv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe D:\Programme\QuickTime\qttask.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe D:\Programme\HP\HP Software Update\HPWuSchd2.exe D:\Programme\ahead\InCD\InCD.exe D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINNT\system32\HPZipm12.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE D:\PROGRA~1\WINZIP~1.1\winzip32.exe C:\Dokumente und Einstellungen\Romeiko1\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.web.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.web.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.web.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Mirate Sp 2 Information] miratesp2.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto O4 - HKLM\..\RunServices: [Go And Start] svdll32.exe O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe O4 - HKLM\..\RunServices: [Mirate Sp 2 Information] miratesp2.exe O4 - HKCU\..\Run: [RSPC Driver] rspc.exe O4 - HKCU\..\Run: [Go And Start] svdll32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{413EEE79-8FB9-4CF1-BA1A-72AB5AC9F75F}: NameServer = 213.20.88.4 193.189.244.205 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - D:\Programme\ahead\InCD\InCDsrv.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe Kann mir möglicherweise jemand helfen? |
Leider hast du u.a. folgenden auf dem Rechner: http://www.sophos.de/virusinfo/analyses/w32rbotqb.html Da es sich hier um einen aktiven Backdoor handelt,kann man dir hier nur zu einem Neuaufsetzen, gemäß folgender Anleitung raten, um ähnliches in Zukunft zu vermeiden: http://www.trojaner-board.de/showthread.php?t=12154 Warum eine Breinigung hier nicht zum Erfolg führen kann: http://www.mathematik.uni-marburg.de...al.html#sec2.1 Lies dir auch mal den 2ten Link in meiner Signatur durch. |
*sigh* Okay, und wieder muss ich zugeben, mir ist schlecht. Aber danke für deine schnelle Hilfe. :) *mich dann mal mite dem Neuanaufsetezen beschäftigen werde* Aber mal ja nebenher ne Frage. *Angst* Was hieße in diesem Fall "u.a.". :dummguck: |
"u.a." heißt in diesem Fall, dass diese Einträge auf 'Bots' hindeuten Zitat:
Zitat:
|
Aha. ^^ Danke nochmal. Lieb von euch. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:05 Uhr. |
Copyright ©2000-2024, Trojaner-Board