|
Neuer Virus bitte helft mir Also kurze Problemschilderung ich bin stutzig geworden, als meine DFÜ verbindung mehr gesendet hat als empfangen!!! ca 1MB in 3 Minuten Ja und Norton findet aller 10 - 15 min, wenn ich im netz bin, ein TrojanischesPferd! So nun habe ich die neueste Nortonvirendefintion und der hat nüscht gefunden. Ich ahbe auch schon das Programm runtergeladen, was den neuen W32 Beagle wurm findet - nichts! Aber ich war zufällig im Taskmanager als sich eine Anwendung öffnete, keine Ahung wie die heißt, kurz darauf öffnete sich im Taskmanager eine "ftp.exe" und dann hat norton wieder ein Trojanisches Pferd abgewehrt! Bitte Helft mir ich will den Schieß0 los werden! gern auch per mail an hanskoch@dd-crew-leipzig.de danke |
|
danke steveman für die antwort, hier die LOG: Logfile of HijackThis v1.98.2 Scan saved at 15:51:25, on 18.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe G:\Executive Software\DiskeeperLite\DKService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe G:\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE G:\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\SxgTkBar.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\Yahoo.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\rundll32.exe G:\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE F:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dd-crew-leipzig.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] G:\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Yahoo Update] Yahoo.exe O4 - HKLM\..\RunServices: [Yahoo Update] Yahoo.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo Update] Yahoo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dbf0dc...dxIE601_de.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0E80C14B-5448-41D0-98C3-B4C0512F895E}: NameServer = 145.253.2.81 145.253.2.174 O17 - HKLM\System\CS1\Services\Tcpip\..\{0E80C14B-5448-41D0-98C3-B4C0512F895E}: NameServer = 145.253.2.81 145.253.2.174 |
@ dd-crew-leipzig bitte überprüfe mit virusscan.jotti.dhs.org: C:\WINDOWS\System32\Yahoo.exe teile uns das Ergebnis der Überprüfung mit. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." SD |
Hier das Ergebnis des Online Viren check könnt mir auch an 273277243 (ICQ) Tips schreiben Service load: 0% 100% File: Yahoo.exe Status: INFECTED/MALWARE Packers detected: MORPHINE, UPX AntiVir No viruses found (0.16 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender Backdoor.SDBot.Gen (1.26 seconds taken) ClamAV No viruses found (0.33 seconds taken) Dr.Web Win32.HLLW.MyBot.based (0.62 seconds taken) F-Prot Antivirus No viruses found (1.46 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (2.55 seconds taken) mks_vir No viruses found (0.56 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.61 seconds taken) Norman Virus Control No viruses found (0.13 seconds taken) |
|
Das ist das Ergebnis des eScan, also ich denke nun es sind die dateien Yahoo.exe und crsss.exe Bitte helft mir nun, wie ich diese 2 dateien los werde! Einfach löschen?! File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\WINDOWS\system32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File F:\Eigene Dateien\Fun\gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken. File F:\Eigene Dateien\Fun\systray.zip tagged as not-a-virus:Joke.Win32.Shutdown. No Action Taken. File F:\Eigene Dateien\Fun emials\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File F:\Eigene Dateien\Fun emials\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\1D183EDF.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\32D37D87.exe infected by "Win32.Parite.b" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\5AC550B6.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\5BF51167.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\72204427.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\72B22586.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File H:\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. |
Das ist das Ergebnis des eScan, hat ziemlihc lange gedauert bei 180gb also ich denke nun es sind die dateien Yahoo.exe und crsss.exe Bitte helft mir nun, wie ich diese 2 dateien los werde! Einfach löschen?! File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\WINDOWS\system32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File F:\Eigene Dateien\Fun\gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken. File F:\Eigene Dateien\Fun\systray.zip tagged as not-a-virus:Joke.Win32.Shutdown. No Action Taken. File F:\Eigene Dateien\Fun emials\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File F:\Eigene Dateien\Fun emials\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\1D183EDF.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\32D37D87.exe infected by "Win32.Parite.b" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\5AC550B6.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\5BF51167.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\72204427.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Norton AntiVirus\Quarantine\72B22586.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken. File H:\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. |
Hallo dd-crew-leipzig, Du hast leider Cidre's Antwort entweder nicht verstanden oder nicht zur Kenntnis genommen. Unsere Hilfe endet leider an diesem Punkt: Zitat:
Hier noch ein bißchen Information zu diesem Wurm mit Backdoor-Charakter, der Dritten uneingeschränkten Zugriff auf Dein System ermöglicht: Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten. Dein Rechner ist kompromittiert und nicht nur für Dich eine Gefahr sondern für alle, die mit Dir und Deinem System in Verbindung stehen. Du kannst davon ausgehen, dass alles, was auf Deinem System läuft, von Dritten ausspioniert wird, Deine Passworte bekannt sind .. usw. Löschen des Wurms reicht nicht, da er Schlüssel in der Registry hinterläßt und Code auf dem System ablegt. Hier noch der Rat von Lutz: Datensicherung. Mehr können wir leider nicht für Dich tun. SD |
|
also vielen dank an euch , ich werde ihn jetzt erst einmal manuell löschen und mir ne neue firewall zulegen, mal sehen |
@ dd-crew-leipzig Zitat:
10 Schritte Du scheinst nicht zu verstehen: löschen dieses Wurms genügt nicht! SD |
Das ist der falsche Weg. Nimm Deinen Rechner schnellstens vom Netz und setz ihn neu auf. Auf einem sauberen Rechner lies Dir http://www.mathematik.uni-marburg.de...c-removal.html und http://www.mathematik.uni-marburg.de...ompromise.html an, damit Dur verstehst, warum Deine Vorgehensweise falsch ist. Gruß :daumenhoc Yopie |
hi, also ich habe die Dateien gelöscht, erneut alle programme, also hijack this und eScan durch gezogen, und es war nüscht mehr. des weiteren habe ich mir ZoneAlarm runtergeladen und alle aktivitäten nach außen und nach innen geblockt, was soll also ncoh passieren? |
[ ] Du hast verstanden. Lies Dir noch einmal den ersten von mir geposteten Link durch. Ach, und wo ich das mit Zonealarm sehe: den zweiten auch noch einmal. Gruß :daumenhoc Yopie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:02 Uhr. |
Copyright ©2000-2024, Trojaner-Board