Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Worm/Rbot.KT (https://www.trojaner-board.de/7338-worm-rbot-kt.html)

scirocco 05.09.2004 00:54
Worm/Rbot.KT
 
hallo ihr

das habe ich heut gefunden was für viecherle ist das ????Worm/Rbot.KT


loc dat C:\System Volume Information\_restore{D80967B8-E480-46AE-AE5C-E5E075DFC0E8}\RP81
A0007295.exe
[FUND!] Enthält Signatur des Wurmes Worm/Rbot.KT
WURDE GELÖSCHT!

vielen dank schon mal im vorraus

mfg sciri

MountainKing 05.09.2004 01:29
Offenbar ein neuer Sproß dieser Familie:

http://www.sophos.de/virusinfo/analyses/w32rbotx.html


Das sind sehr gefährliche Backdoors, wenn der bei dir aktiv war/ist, solltest du dich schon mal gedanklich auf eine Neuinstallation vorbereiten. Mit welchem Virenscanner wurde das denn gefunden?

Befolge mal dies:


http://www.trojaner-board.de/42731-escan-anleitung.html

teile uns die Ergebnisse mit und poste ein Log von HJT:

http://www.trojaner-board.de/51130-a...ijackthis.html

Shadowdance 05.09.2004 01:34
Hallo scirocco,

das Viecherl ist zwar bekannt, aber es zu finden ist nicht ganz einfach. Man findet ihn in der Liste unter "NOD32 - v.1.837 (10.08.2004)". Er gehört zur Familie W32/Rbot-.., einigen Aufschluss bietet das Sophos Virenlexikon. Es scheint sich bei diesem Viecherl um einen Wurm mit Backdoor-Eigenschaften zu handeln.

@ scirocco,

poste bitte ein logfile entsprechend dieser Anleitung http://www.trojaner-board.de/51130-a...ijackthis.html

SD

[edit] http://www.trojaner-board.de/images/smilies/party.gif @ MountainKing ... warst mal wieder schneller.

scirocco 06.09.2004 00:12
so jetzt das log

puhhh hab es geschaft
sfg Logfile of HijackThis v1.98.2
Scan saved at 01:11:30, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\AIM95\aim.exe
C:\Programme\SETI@home\SETI@home.exe
C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
E:\chat\bandy\Bandy-Script\Bandy-Script.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Manu\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Manu\LOKALE~1\Temp\kavss.exe
E:\douns2\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scirocco4u.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E80EC516-957B-4018-B2D3-4C2AFD7E5080}: NameServer = 192.168.2.1

und das vicherle wurde von av gefunden

danke im voraus

mfg sciri

Shadowdance 06.09.2004 03:30
Hallo scirocco,

es gibt bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit Deines Betriebssystems. Besuche bitte www.windowsupdate.com um Dir das neuste Service Pack herunterzuladen.

Hast Du den Tip von MountainKing bereits befolgt und den eScan - laut Anweisung - auf Deinem Rechner durchgeführt? Wie lautet das Ergebnis? Wieviele Viren, welchen Namens, wurden gefunden bzw. umbenannt?

Fixe bitte im abgesicherten Modus mit Hijack This:

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe

O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe

bitte fixen, wenn Du die Seiten nicht kennst:

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab

bitte scannen mit dem online-scan von Kaspersky

E:\chat\bandy\Bandy-Script\Bandy-Script.exe

Ergebnis?

Poste bitte ein neues logfile.

SD


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:58 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129