Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.Win32.rbot.bnb aufgetreten (https://www.trojaner-board.de/33262-backdoor-win32-rbot-bnb-aufgetreten.html)

pr3d4t0r 01.11.2006 16:14
Backdoor.Win32.rbot.bnb aufgetreten
 
Kaspersky zeigt mir auf einmal die Meldung an, den trojaner gefunden haben! Da es ne Systemdatei is, lässt sich die infizierte svchost.exe nicht löschen! Kann man da was machen?

hier der hijackthis log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 15:25:17, on 01.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.********.de
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Warndienst (Alerter) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Anwendungsverwaltung (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Audio (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Computerbrowser (Browser) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Kryptografiedienste (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: DHCP-Client (Dhcp) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Verwaltung logischer Datenträger (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: DNS-Client (Dnscache) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: COM+-Ereignissystem (EventSystem) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Kompatibilität für schnelle Benutzerumschaltung (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Hilfe und Support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Server (lanmanserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Arbeitsstationsdienst (lanmanworkstation) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: TCP/IP-NetBIOS-Hilfsprogramm (LmHosts) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Netzwerkverbindungen (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Wechselmedien (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Verwaltung für automatische RAS-Verbindung (RasAuto) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: RAS-Verbindungsverwaltung (RasMan) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remoteprozeduraufruf (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Sekundäre Anmeldung (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Systemereignisbenachrichtigung (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Shellhardwareerkennung (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Systemwiederherstellungsdienst (srservice) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: SSDP-Suchdienst (SSDPSRV) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Windows-Bilderfassung (WIA) (stisvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Telefonie (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Terminaldienste (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Designs (Themes) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Überwachung verteilter Verknüpfungen (Client) (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: Upload-Manager (uploadmgr) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Messenger Sharing USN Journal Reader-Service (usnsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webclient (WebClient) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Windows-Verwaltungsinstrumentation (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Dienst für Seriennummern der tragbaren Medien (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Treibererweiterungen für Windows-Verwaltungsinstrumentation (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Konfigurationsfreie drahtlose Verbindung (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe

warsti 01.11.2006 17:52
moin, habe gerade die lösung gefunden, musst ad-aware runterladen, kostenlos bei freeent. dann installieren, durchlaufen lassen und weg ist dass problem
gruss
warsti

TRYTOHELPYOU 02.11.2006 02:39
Hmm, keine Ahnung ob es bei dir Funktioniert hat, wie oben beschrieben. Aber ansonsten mache einfach es so wie in meiner beschriebenen Anleitung.

Hi mache bitte diese Schritte im AbgesichertenModus (F8 drücken bei Hochbooten, bevor das Windoof zeichen erscheint. )


Diese hartnäckige Datei hat ihren Hintergrund in einem Javascript-Befehl in einer Internet-Datei, der über eine einfache DOS-Batch-Datei im Hintergrund aufgerufen wird. Dadurch wird diese Datei immer wieder erneuert, egal, was man macht.....!!!!!

Anleitung:

1. Explorer "suchen" nach Dateien mit dem Begriff "navprotect" im Inhalt,
2. dabei tauchen Dateien: "asa.bat" und "asa.dbx" auf.
3. die "asa.bat" ist eine DOS-Batch. In ihr sind alle Einzelbefehle eingetragen, welche Dateien aufgerufen werden, um über mehrere Umwege die "navprotect.exe" neu anzulegen.
4. Alle in den Befehlen eingetragenen Dateien lassen sich löschen!!! Insbesondere die "update43.htm" und "update65.htm", die den genannten Javascript enthalten.
5. Alle Cookies und die temporären Internetfiles löschen.
Nun ist das System sauber.....
MFG

pr3d4t0r 02.11.2006 16:14
alles klar, danke euch beiden!


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131