Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   brauche mal dringend hilfe zu W32.Bobax.C (https://www.trojaner-board.de/8947-brauche-mal-dringend-hilfe-w32-bobax-c.html)

kenny_2004 29.10.2004 01:27
brauche mal dringend hilfe zu W32.Bobax.C
 
hallöchen

ich habe da so einen wurm namens W32.Bobax.C
der will einfach nicht verschwinden! norton will ihn immer killen aber irgendwie bringt das nichts!
habe schon auf der seite von norton geguckt aber mein english reicht einfach nicht....*schäm* *grummel*
hoffe hier weiß jemand rat unhd kann mir helfen.
komme mir langsam vor wie auf einem bahnhof... :koch:

Lg kenny_2004

Lidius 29.10.2004 01:32
infos dazu
http://www.sophos.de/virusinfo/analyses/w32bobaxc.html


Poste mal ein hijackthis log

kenny_2004 29.10.2004 01:40
hier mal das log file habe ausserdem eine datei namens
C:\WINDOWS\System32\DivXPlayer.exe habe bloß kein divx installiert und hijack sagt wenn ich diese datei fixen möchte es wäre eine system datei! aber solange diese datei läuft pennt meine i-net verbindung ein! was eigentlich nicht sein kann da ich hinter einem router sitze...!
aber wenn ich das log file per i-net prüfen lasse wird es immer als schwer bösartig erkannt!

Zitat:
Logfile of HijackThis v1.98.2
Scan saved at 01:49:06, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\mqsvc.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\System32\DivXPlayer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
e:\Eigene Dateien\Verschiedenes\Viren Scanner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [DivX Player] DivXPlayer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [DivX Player] DivXPlayer.exe
O4 - HKCU\..\Run: [DivX Player] DivXPlayer.exe
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab

Lidius 29.10.2004 01:43
Update erstmal dein System, sonst hat eine bereinigung wenig sinn weil du dir ruck zuck wieder was einfängst.

www.windowsupdate.com (ALLE wichtigen updates herunterladen, aktuell sind SP2 für WinXP&IE)

danach
Zitat:
Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD
Und ein neues Hijackthis logfile posten

kenny_2004 29.10.2004 01:44
wenn ich die
Zitat:
O4 - HKLM\..\Run: [DivX Player] DivXPlayer.exe
O4 - HKLM\..\RunServices: [DivX Player] DivXPlayer.exe
O4 - HKCU\..\Run: [DivX Player] DivXPlayer.exe
fixe sind sie nach jedem neustart wieder da obwohl ich die DivXPlayer.exe per msconfig aus der startdatei raus genommen habe!

kenny_2004 29.10.2004 01:50
danke werde ich machen aber erst morgen werde jetzt erst mal schlafen gehen! und das dann zum frühstück ausprobiern und das neue logfile posten.

big thx für deine hilfe

bis später gutes nächtle!

kenny_2004 29.10.2004 15:43
so hier mal das neue hijacklog

Zitat:
Logfile of HijackThis v1.98.2
Scan saved at 16:42:04, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\NOTEPAD.EXE
e:\Eigene Dateien\Verschiedenes\Viren Scanner\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099040504217
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
und hier noch das ergebniss vom escan

Zitat:
C:\WINDOWS\System32\DivXPlayer.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\WINDOWS\System32\spoolsvs.exe infected by "Backdoor.Win32.Rbot.cg" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\svc.exe infected by "TrojanProxy.Win32.Bobax.c" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\DivXPlayer.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\WINDOWS\system32\spoolsvs.exe infected by "Backdoor.Win32.Rbot.cg" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\svc.exe infected by "TrojanProxy.Win32.Bobax.c" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.
E:\Eigene Dateien\Verschiedenes\Tv Karten Treiber\WINTV_XP_TREIBER\W2KDRV311.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
E:\Eigene Dateien\Verschiedenes\Digi & Webcam treiber\Mustek\web.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
E:\Eigene Dateien\Verschiedenes\Digi & Webcam treiber\Mustek\xpdriver.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
E:\Eigene Dateien\Verschiedenes\Digi & Webcam treiber\Mustek Web Cam\xpdriver.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
E:\Eigene Dateien\Verschiedenes\Digi & Webcam treiber\Mustek Web Cam\web.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
F:\System Volume Information\_restore{A0CC0CB4-B6C8-409D-B722-9C77E62BCD38}\RP81\A0014194.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
was kann ich alles vom escan löschen und wie muß ich die würmer behandeln...?

Haui45 29.10.2004 15:49
Zitat:
C:\WINDOWS\system32\spoolsvs.exe infected by "Backdoor.Win32.Rbot.cg" Virus. Action Taken: No Action Taken.
=>
formatieren und neu aufsetzen

Infos: http://www.sophos.de/virusinfo/analyses/w32rbotlt.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131