|
W32/Rbot-IQ Hallo, habe den Wurm Rbot I.Q 02 und bekomme ihn einfach nicht weg. kann mir einer helfen? gibts ein prog dafür? danke im vorraus |
Hallo PhilS, woher weisst Du, dass Du diesen Wurm hast? In welcher Datei befindet er sich und welches AntiVirenProgramm verwendest Du? Erstelle bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste. SD |
@ PhilS, wenn Du tatsächlich den W32/Rbot-IQ auf dem System haben solltest, empfehle ich Dir die Lektüre des Virenlexikons von Sophos: "W32/Rbot-IQ ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist." Ein Wurm mit Backdoor-Funktionalität auf dem System bedeutet, dass das System kompromittiert ist. Siehe dazu: Formatieren+Neuaufsetzen Zitat:
Zitat:
- PC-Sicherheit - www.windowsupdate.com - Entfernungstools von Spyware und Adware - Eine Auswahl Virenscanner SD |
W32/Rbot-IQ Vielen Dank leute, aber die Sache hat sich erledigt. Ich sag nur eins: "System-Neu-Installation" Hab auf meheren Seiten gelesen das alles andere als eine Neuinstallation des Systems fahrlässig wäre. Von daher ist die Sache für mich vom Tisch. Trotzdem Danke an alle :daumenhoc |
... auch von mir ein hilfeschrei: habe meinen doch sehr verzweifelten hilferuf schon hier gepostet: schau mal rein, da sind auch filelogs etc vorhanden: http://www.windowspower.de/beitrag2009.html ist der wurm /rbot.JL in die gleiche kategorie einzustufen??? bin über jeden ernsten ratschlag dankbar !!!! guido |
Die Rbot-Familie ist allgemein sehr gefährlich und genügt im Prinzip bereits für eine empfohlene Neuinstallation. Deine Logfiles sehen nicht gut aus, da laufen nach wie vor Trojanische Pferde. PhilS hat daher schon das Richtige gemacht und auch SD hat das ja vorgeschlagen: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx) 4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) keine alten Passworte wiederverwenden, sondern alle neu anlegen Nach der Neuinstallation sollten die angesprochenen Dinge beherzigt werden, besonders das schnelle Update von XP und IE bei eingeschalteter Firewall oder per Service Pack 2 von CD. Und dann gilt es, die Surfgewohnheiten und Konfigurationen der Software dahingehend grundlegend zu verbessern, dass eine erneute Infektion bereits im Ansatz möglichst verhindert wird. Weitere Informationen dazu: http://www.mathematik.uni-marburg.de...ompromise.html http://faq.underflow.de/#SECTION000120000000000000000 |
@ beteigeuze Bei sind/waren mehrere Backdoor Trojaner aktiv, daher solltest du zur deiner eigenen Sicherheit dein System neuaufsetzen, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Info zum W32/Rbot-JL findest du hier: http://www.sophos.de/virusinfo/analyses/w32rbotjl.html Zitat:
1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html EDIT: MK war schneller. ;) |
ich arbeite mit zwei betriebsystemen. 4 partitionen: c: xp d: für programme e: meine dateien f: mein zweites xp betriebsystem (welches infiziert ist !!). dieses benutze ich für downloads oder für unsicheres. wie kann ich feststellen, ob mein erstes bs auf c sauber ist?? wenn dem so ist, müsste es doch reichen, mein zweites bs neu aufzusetzen, oder?? guido |
Du kannst Scanner drüberlaufen lassen oder auch ein HJT-Log erstellen. Wenn du damit nie im Netz warst und keine heruntergeladenen fragwürdigen Dateien bzw. Programme vom anderen OS dort gelagert hast, dürfte es nicht betroffen sein und die Neuinstallation des zweiten XP genügen. |
habe natürlich auch auf daten von dem infizierten system von meinem "ersten" system zugegriffen. internet verbindungen haben auch bestanden. jedoch glaube ich, das ich, seit ich mir diese viren/trojaner eingefangen habe, nicht mehr mit diesem system im netz war - aber sicher ist was anderes. kann ich nicht mit einer halbwegs hohen sicherheit überprüfen, ob das erste system clean ist? soweit ich weiss (????) gibt es keine ausführbaren verbindungen zwischen beiden systemen - aber wie gesagt: kann ich das nicht überprüfen?? dort sind all meine daten wie onlinbanking, onlinekäufe, passwörter, kreditkarten, ec karten etc verwendet/hinterlegt worden. allerdings nicht mehr seit der - vorraussichtlichen - infizierung. |
hallo ! ...bitte schaut nochmal in diesen thread. dann muss ich nicht alles nochmal posten. ... die gleichen fragen auch an euch ... wenn ich alles neu partionieren muss, wie kann ich überprüfen, ob dateien sauber sind (mit sicherheitskopien auf cds ist's ja nicht geholfen ...) wie sieht es mit kreditkarten nummern, bankkonten, internetzugängen , naja, halt mit allem was so richtig wichtig ist aus??? auch wenn ich alles neu machen muss ... würde ich ganz gerne irgendwie herausbekommen, ob mein erstes system verseucht ist. WIE ???? neue kreditkarten, ec karten, neue internetkonten, neue pins, ebay ... es kommt 'ne ganze menge zusammen ... etc ist 'n haufen arbeit, und kostet auch 'ne menge geld .... eine allgemeine frage: sehe ich das richtig: mit diesem virus ist mein computer ein offenes buch. alles was auf dem pc gemacht worden ist und alle dateien sind verfügbar? ... auch wenn es vor der verseuchung stattgefunden hat ??? kann ich herausfinden, wann genau alles aufgespielt worden ist?? lg, guido |
nachtrag: arbeite seit dem von einem anderen pc aus ..... |
Das Grundproblem bei derartigen Schädlingen ist, dass sich nicht mehr ohne größeren Aufwand (wenn überhaupt) nachvollziehen lässt, was ein eventueller Angreifer damit manipuliert haben kann. Es ist rein theoretisch möglich, dass gar nichts passiert ist (also niemand diese Funktion während der Zeit, in der sie zur Verfügung stand, ausgenutzt hat), aber genauso, dass man dir noch mehr Schädlinge, die dann noch wesentlich schwerer zu entdecken sind, weil sie unsichtbare Registry-Einträge verwenden oder Scanner manipulieren usw.auf das System gebracht hat. Wir wissen ja beispielsweise schon mal gar nicht, wie genau du infiziert wurdest, über Ausnutzen einer Sicherheitslücke von Windows, über einen mailanhang oder einen Dateidownload. Es lässt sich deswegen auch nicht ausschließen, da man ja im infizierten System auch die Festplatte mit dem anderen sehen kann, dass darauf ebenfalls Zugriff bestand. Du solltest es auch mal mit E-Scan scannen und ein HJT-Log erstellen evtl. kann man die Unsicherheit damit ja schon beseitigen, falls sich dort dann ebenfalls Schädlinge finden. |
hi, infiziert haben kann ich mich über einen datei download oder eine sicherheitslücke - über einen dateianhang nicht ! kann ich sicher sein das das programm hijackthis und der escan sauber ist? dann würde ich es mal auf das system aufspielen und diese beiden programme durchlaufen lassen .... aus:http://www.windowspower.de/beitrag2009.html erstellt am: 29/9/2004 um 09:46, Antwort 8 sollte eigentlich weg sein, aber: finde mit "suchen": sys32snd.exe-0280346a.pf in f:\windows\prefetch syssnd.exe.mvt in f:\windows\system32 recall.dll in d:\programme\microsoft office\office recall(2).dll in d:\programme\microsoft office\office recall.exe-12b9a584.pf in f:\windows\prefetch recall.exe.mvt in f:\windows\system32 recall.dll in f:\programme\microsoft office\office ich vermute mal, das die recall und sys32smd.exe auf jeden fall übeltäter sind ....??? die hjt logfiles findest du dort auch das einzige, was ich woanders finde, als auf f:\ sind diese zwei dateien... und wie gesagt, die meldung von antivir über den worm/rbot.jl kam einmal, wurde dann gelöscht und dann nicht mehr, nur kann ich diese logfiles nicht interpretieren (der escan ist zu lang zu in dieses board stellen) kann ihn aber gerne als textdatei zumailen geht ja auch in reinem textformat .. lg, guido. |
mein virenscanner auf dem vielleicht noch intakten bs ist nicht ganz auf dem neusten stand (update ca. 'ne woche alt, da ich mit diesem bs nicht mehr im netz war) findet nichts .... meine frage ist nur: kann ich mir das hijackthis programm und den e-scan auf mein - hoffentlich noch sauberes bs - kopieren und es dort durchlaufen lassen oder kann es auch sein, das diese programme verseucht sind??? lg, guido |
Die heruntergeladenen Dateien sind sicher sauber und es ist extrem unwahrscheinlich, dass sie so schnell manipuliert wurden. Wir brauchen auch nicht das komplette Log von E-Scan, die namen der gefundenen Viren genügen. |
hallo mountain king, escan findet auf meinem infizierten bs nichts mehr, ich habe aber das gefühl,das die wieder aktiv werden, sobald ich ins netz gehe... was ich jetzt machen würde: 1.einen hijackthis log von dem system offline dann online gehen und 2.einen online erstellen, 3.einen e-scan log von dem infizierten system aus machen, nachdem ich online war (müsste eigentlich reichen, da e-scan ja alle partitionen scant ( ODER ???? ) 4.einen hijackthis log von dem vielleicht noch sauberen system erstellen. und hier bin ich mir nicht sicher: kann/sollte/darf ich mit dem vielleicht noch sauberen system online gehen, um auch von dort einen hjt-log zu erstellen, nachdem ich online war... ????? das ganze poste ich dann hier (als anhang oder direkt ???) guido. |
... und noch was: auf meinem laptop (win98se) findet e-scan folgendes: file c:\windows\command\ebd\ebd.cab tagged as not-a-virus: tool.dos.restart no action taken wichtig??? lg, guido |
hallo, so, hier die logs: zuerst noch einmal die zwei alten (zuerst offline, dann online): dieser offline: Logfile of HijackThis v1.98.2 Scan saved at 22:21:38, on 28.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE F:\WINDOWS\Explorer.EXE D:\AVPersonal\AVWUPSRV.EXE F:\WINDOWS\System32\nvsvc32.exe F:\WINDOWS\System32\sys32snd.exe F:\WINDOWS\System32\sstray.exe F:\WINDOWS\System32\RUNDLL32.EXE D:\AVPersonal\AVGNT.EXE F:\Programme\Real\RealPlayer\realplay.exe F:\Programme\SlySoft\CloneCD\CloneCDTray.exe F:\WINDOWS\System32\rundll32.exe F:\WINDOWS\System32\ctfmon.exe F:\Programme\Real\RealJukebox\tsystray.exe F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE ... und dieser online (beim herunterladen eines patches von microsoft): Logfile of HijackThis v1.98.2 Scan saved at 23:13:25, on 28.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE F:\WINDOWS\Explorer.EXE D:\AVPersonal\AVWUPSRV.EXE F:\WINDOWS\System32\nvsvc32.exe F:\WINDOWS\System32\sys32snd.exe F:\WINDOWS\System32\sstray.exe F:\WINDOWS\System32\RUNDLL32.EXE D:\AVPersonal\AVGNT.EXE F:\Programme\SlySoft\CloneCD\CloneCDTray.exe F:\WINDOWS\System32\rundll32.exe F:\WINDOWS\System32\ctfmon.exe F:\Programme\Real\RealJukebox\tsystray.exe F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe F:\Programme\Internet Explorer\iexplore.exe F:\WINDOWS\system32\cmd.exe F:\WINDOWS\System32\recall.exe F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\Run: [netservices] recall.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunServices: [netservices] recall.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - HKLM\..\RunOnce: [netservices] recall.exe O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{ECB30A07-E6E8-4C2B-AED0-722AE61896C2}: NameServer = 145.253.2.81 145.253.2.203 meine vermuteten infizierte dateien sind die recall.exe und die sys32snd.exe diese tauchen aber auf den neuesten nicht mehr auf ... ???? die neuesten hjt logs hänge ich dir als anhänge an: hijackthis3009off ist der offlinelog vom infizierten bs hijackthis3009on ist der onlinelog vom infizierten bs hijackthis3009offclean ist der offlinelog vom "sauberen" bs hijackthis3009onclean ist der onlinelog vom "sauberen" bs jetzt ist von den recall.exe und sys32snd.exe nichts mehr zu sehen. es kommen auch keine virusmeldungen mehr...??? weder von escan noch antivir !!! escan und antivir haben aber auch immer wieder sachen entfernt. escan bringt noch folgende error meldungen: 1.hklm\system\currentcontrolset\services ERROR!!! scanfile fails... 2.file c:\system volume information\*.* ERROR!!! findfirstfile for c:\system volume information\*.* failed: reason is zugriff verweigert 3.file d:\system volume information\*.* ERROR!!! findfirstfile for d:\system volume information\*.* failed: reason is zugriff verweigert 4.file f:\system volume information\*.* ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert 5.file f:\system volume information\*.* ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert ...sowie 'ne menge "having size restriction"-meldungen seltsam ist nur, das diese meldung nicht für die partition e:\ auftaucht ....??? ich weiss, das ist 'ne menge zu lesen, aber ich weiss nicht, was wichtig ist für eine richtige beurteilung .... schon mal im voraus einen allerbesten dank !!!!!!!! lg, guido |
hier noch ein paar alte meldungen, die immer wieder auftauchten, jetzt aber nicht mehr: scanning file f:\windows\system32\sys32snd.exe process f:\windows\system32\sys32snd.exe found running in memory... ***killing infected process f:\windows\system32\sys32snd.exe... ***killing sucsessful scanning file f:\windows\system32\recall.exe process f:\windows\system32\recall.exe found running in memory... ***killing infected process f:\windows\system32\recall.exe... ***killing sucsessful file f:\windows\system32\sys32snd.exe infected by "backdoor.win32.wootbot.gen"virus action taken: file renamed scanning hklm\software\microsoft\windows\currentversion\run ***reg value software\microsoft\windows\currentversion\run\win32 usb2 driver deleted because it is infected by a virus scanning hklm\software\microsoft\windows\currentversion\runonce ***reg value software\microsoft\windows\currentversion\runonce\win32 usb2 driver deleted because it is infected by a virus scanning hklm\software\microsoft\windows\currentversion\runservices ***reg value software\microsoft\windows\currentversion\runservices\win32 usb2 driver deleted because it is infected by a virus scanning hkcu\software\microsoft\windows\currentversion\run ***reg value software\microsoft\windows\currentversion\run\win32 usb2 driver deleted because it is infected by a virus scanning hkcu\software\microsoft\windows\currentversion\runonce ***reg value software\microsoft\windows\currentversion\runonce\win32 usb2 driver deleted because it is infected by a virus file f:\windows\system32\recall.exe infected by "backdoor.win32.wootbot.gen"virus action taken: file renamed über die windows suche funktion finde ich: sys32snd.exe-0280346a.pf in f:\windows\prefetch syssnd.exe.mvt in f:\windows\system32 recall.dll in d:\programme\microsoft office\office recall(2).dll in d:\programme\microsoft office\office recall.exe-12b9a584.pf in f:\windows\prefetch recall.exe.mvt in f:\windows\system32 recall.dll in f:\programme\microsoft office\office ... und in der regestry bei suche nach "win32 usb2 driver" finde ich: unter hkey_users\default\software\microsoft\currentversion\run: win32 usb2 driver mit dem wert sys32snd.exe und netservices mit dem wert recall.exe das gleiche unter: .....\runonce ... unter: hkey_user\s-1-5-18\software\microsoft\windows\currentversion\run und unter: ......\runonce |
...laut antivir und escan hab ich bis auf diverse warnungen bei antivir (zugriff verweigert) und die geposteten error meldungen von escan ( zugriff verweigert, scanfile fails, having size restictions) keine plagegeister mehr .... komisch ... kann ich dem jetzt vertrauen ????? lg, guido |
Hallo beteigeuze, erstelle bitte nochmal ein neues HijackThis Logfile und poste es. SD |
Hallo, ich habe seit längerem Viren auf dem Rechner. Ich habe mehrmals formattiert. Und anfangs war es der Win32/Pinfi. Dann habe ich noch mals formattiert bin aber nicht online gegangen trotzdem hatte ich den WORM/RBOT drauf. Fand ich sehr seltsam. Mein AntiVir hat zwar den angeblich gelöscht, War dann auch online, aber meine senderate ist auf höchster aktivität, obwohl ich nichts mache. Jedesmal wenn ich online gehe, kommt sofort wieder ein virus woran liegt das? Hier mal meine Log file: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\nkqc.exe C:\WINDOWS\System32\lssas.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe C:\WINDOWS\System32\svchost.exe C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RSPC Driver] nkqc.exe O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKLM\..\RunServices: [RSPC Driver] nkqc.exe O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [RSPC Driver] nkqc.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{2491A434-EE75-474B-94E6-B0770D54D5BE}: NameServer = 217.237.151.33 217.237.149.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{2491A434-EE75-474B-94E6-B0770D54D5BE}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Tiny Personal Firewall - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) Hoffe ihr könnt mir weiterhelfen. Danke |
Hallo @ Mot, Zitat:
Formatiere abermals neu und halte dich an diese Anleitung, dann klappt es auch: http://www.trojaner-board.de/showpos...28&postcount=2 |
Ja das ist richtig, aber ich habe auch formattiert und ich war nicht online und dennoch hatte ich dann ein virus. Ich habe die neuste version meines Antivir und eine firewall runtergeladen und dann auf CD gebrannt im verseuchten Zustand meines Pc's, nach der Formattierung habe ich dann diese Programme installiert und ich war nicht online. Sofort hat mein Antivir ein Virus festgestellt. Finde ich komisch, aber liegt es vielleicht daran dass ich eine cd im verseuchten zustand gebrannt habe und dann benutzt habe? |
Bei einem kompromittierten System sind ausführbare Dateien eben nicht mehr vertrauenswürdig. Also empfiehlt es sich, nichts aber rein gar nichts, aus einem versifften System zu kopieren und ins neue System zu integrieren. Downloads sollten stets von einem wirklich sauberen System durchgeführt werden oder alternativ eben auf Linux Distributionen kurzfristig ausweichen. Les dir diese Seite aufmerksam durch: http://oschad.de/wiki/index.php/Kompromittierung |
Hallo , bin neu hier im Board und musste heute feststellen , daß ich diesen Seuchenvogel auch habe . Berüchtigte CFLMON.EXE in der REG . Step by step alles neue deinstalliert hat nichts geholfen . Einzige Alternative zur Neuinstallation war Herstellung eines früheren Systempunktes . Bei mir Anfang August . Wunderbar , alles verschwunden , da Systemdateien aus dem Backpackordner nicht angegriffen wurden . Somit nur ein paar Programme verschwunden . Hoffentlich geht es bei euch auch . |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board