Hallo erstmal.Großes Lob an alle die hier helfen und sich Gedanken machen.RESPEKT.

Ich habe seid heute morgen folgendes Problem.Gestern habe ich mir den Trailer zu Battlefield 2 runtergeladen.Wollte ihn mit dem Media Player öffnen, ging aber nicht.Also zog ich mir den Quicktime Player,womit es ging. Soweit so gut.
Seid heute morgen hängen sich meine Internetseiten auf.Wenn ich eine schließen will, per x,geht die Seite weg, bleibt aber in der Taskleiste weiterhin stehen.Das selbe mit dem Taskmanager. Wenn ich den öffnen will,geht er auf aber nur unten rechts in der Taskbar,von wo ich ihn aber auch nicht öffnen kann.Habe den Spybot laufen lassen,welcher einige Sachen gefunden hat
.Sorry das so groß.
Bin ein Noob in Sachen Viren.usw. Bitte um Hilfe

ist zwar aus eienm anderen forum, aber die antwort passt:

http://www.rokop-security.de/board/i...ndpost&p=50069

rock

also ich habe jetzt 1.3 runtergeladen und habe das Prg durchlaufen lassen. Er hat auch wieder 6 Sachen gefunden und angeblich behoben.Leider ist dem aber nicht so.Ich kann ca.5 min surfen,dann kann ich die Seiten wieder nicht schließen.
Und wenn ich den Regcleaner öffne steht da immer was von wuampd.exe und zwar 3 mal.
Hilfe ich will nicht formatieren

Hallo carsten75,

erstelle bitte ein Logfile mit Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Das DSO Exploit ist zunächst mal sekundar, dein Hauptaugenmerk sollte sich an diese wuampd.exe (Malware) richten.
Überprüfe deshalb diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis, sowie das HJT Log-File.

LOG

Logfile of HijackThis v1.98.2
Scan saved at 14:51:18, on 12.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuampd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Carsten1\Desktop\Neuer Ordner (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cgi6.ebay.de/ws/eBayISAPI.dll...&since=-1&rd=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093370548058
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCCAF97D-435C-450D-B104-752CD222E03B}: NameServer = 217.237.151.225 217.237.150.225

wuampd.exe

wuampd.exe - packed with PE_Patch.Morphine
wuampd.exe - packed with Morphine
wuampd.exe - packed with UPX
wuampd.exe Infiziert: Backdoor.Rbot.gen


Statistiken:
Bekannte Viren: 98981 Updated: 12-09-2004
Größe der Datei (Kb): 96 Viren-Korpus: 1
Datei: 4 Warnungen: 0
Archive: 0 Verdächtigt: 0

Und nu ????

@ carsten75,

downloade nun bitte den eScan, erstelle einen Ordner (=Verzeichnis) c:\bases, entpacke den Inhalt in dieses Verzeichnis, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083

Teile uns bitte, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren mit:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:

Erstelle dann ein neues Logfile und poste es.

SD

[edit]

Zitat:

Zitat von Cidre

Backdoor.Rbot.gen =>

Quelle: http://www3.ca.com/securityadvisor/v....aspx?id=39437
Eine Bereinigung durch AV Scanner ist imho nicht sinnvoll!

Leider ... ich sehe es genauso. Auch ich bin der Ansicht, dass es bei "Backdoor.Rbot.gen" nur eine Lösung gibt: formatieren + neuaufsetzen. Alles andere ist in diesem Fall sinnlos.

@ carsten75

Backdoor.Rbot.gen =>

Zitat:

Backdoor Functionality

Rbot's main function is to act as an IRC controlled backdoor. It attempts to connect to a predefined IRC server and join a specific channel so that the victim's computer can be controlled. The IRC server, port number, channel and password differ with each variant.

Rbot also listens on TCP port 113 to provide ident services, which are required by some IRC servers.

Once the victim's computer is under control, the overseer is able to instruct Win32.Rbot to attempt to perform malicious operations such as spreading via administrative shares with weak passwords or the DCOM RPC exploit. The backdoor can also be instructed to:

* download and execute files from the Internet
* retrieve system information such as Operating System details
* retrieve CD keys for certain computer games, if present
* start a SOCKS proxy
* perform denial of service (DoS) attacks
* start several other servers: rlogin, http, tftp. The ports used for these are configurable.
* log keystrokes
* capture video from a webcam, if present
* send e-mail

Process Termination

Win32.Rbot can also be configured to terminate certain processes. These processes are usually related to anti-virus and other security software, but also include processes used by other malware. For example:

regedit.exe
msconfig.exe
netstat.exe
msblast.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
taskmon.exe
PandaAVEngine.exe
sysinfo.exe
mscvb32.exe
MSBLAST.exe
teekids.exe
Penis32.exe
bbeagle.exe
SysMonXP.exe
winupd.exe
winsys.exe
ssate.exe
rate.exe
d3dupdate.exe
irun4.exe
i11r54n4.exe

Quelle: http://www3.ca.com/securityadvisor/v....aspx?id=39437

Eine Bereinigung durch AV Scanner ist imho nicht sinnvoll!
http://oschad.de/wiki/index.php/Virenscanner

Die sicherste Lösung wäre ein Neuaufsetzen deines Systems, um wieder einen vertrauenswürdigen Zustand herzustellen.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

escan,und er schrieb immer was von action renamend




[0x0000035c] 12/09/2004 15:30:43:328 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com
[0x0000035c] 12/09/2004 15:30:43:343 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]TimeOut : ffffffff
[0x0000035c] 12/09/2004 15:30:46:031 :[msvLclnt.dll]Priority : NORMAL
[0x0000035c] 12/09/2004 15:30:46:593 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12
[0x0000040c] 12/09/2004 15:31:32:562 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:31:33:218 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\wuampd.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:43:41:343 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e
[0x0000040c] 12/09/2004 15:43:41:359 :[msvLclnt.dll][00000001] File C:\Programme\mt.html infected by not-a-virus:Advware.MediaTickets.e
[0x0000040c] 12/09/2004 15:44:34:281 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:44:34:328 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP53\A0010066.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:15:593 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:16:250 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP89\A0012983.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:29:109 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:46:29:781 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP92\A0013280.exe infected by Backdoor.Rbot.gen
[0x0000040c] 12/09/2004 15:58:42:906 :[msvLclnt.dll][00000001] File D:\System Volume Information\_restore{5642F90A-D399-4E66-A20C-F4442BA30024}\RP81\A0010840.exe infected by not-a-virus:Tool.Win32.Reboot
[0x0000040c] 12/09/2004 16:01:08:578 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12
[0x0000035c] 12/09/2004 16:03:42:140 :[msvLclnt.dll]VirusCount = 103823 Latest Date = 2004/09/12

@ cidre

das was Du da gepostet hast auf english sieht nicht gut aus.
Habe aber kein Bock zu formatieren,da ich auch noch einen Netzwerkrechner an meinem hängen habe.Habe kein Bock auf eine neue Netzwerkeinrichtung.
Ich hoffe ich bekomme das ohne formatieren in Griff.

Zitat:

Habe aber kein Bock zu formatieren,da ich auch noch einen Netzwerkrechner an meinem hängen habe.Habe kein Bock auf eine neue Netzwerkeinrichtung.

Sorry, aber dein Bock ist nicht relevant.

Bedenke, du bist ein Teil eines riesigen Netzwerkes (I-net) und stellst mit deinem System (Virenschleuder) ein Gefahr für andere I-net User dar.
Wenn du es nicht für dich machst, dann mach es wenigstens für andere.

btw:
Trenne dein kompromittiertes System schnellstmöglich vom Netz.

Hier noch eine deutsche Erklärung dazu:

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

es bleibt mir ja nix anderes übrig.
Vielen dank für Eure hilfe.Werde nun format c:

Hallo Leute,

ich als ziemlicher Computer-Laie benötige bitte Eure Hilfe.
Beim Windows-Update habe ich für kurze Zeit die Norton
Personal Firewall deaktiviert und habe dann nach einem
Neustart des Systems bemerkt, dass die "wuampd.exe" auf
das Internet zugreifen möchte.
Das habe ich dann sofort mit der Firewall unterdrückt!
Durch Norton Antivirus wurde keine Infektion erkannt.
Auf "Kaspersky.Com" wurde die "wuampd.exe" jedoch als
mit "backdoor.Rbot.gen" infiziert gemeldet.
Da "wuampd.exe" im Taskmanager als aktiver Prozess angegeben wurde,
habe ich diesen unter "msconfig>systemstart" deaktiviert.
Nun wird er auch nicht mehr mitgestartet.
Kann es sein, daß durch das sofortige Sperren per Firewall dieser
Schädling noch keine Verbindung mit dem Internet aufgebaut hat und
daher sein "Unwesen" auf dem Rechner noch nicht treiben konnte?
Kann ich - wenn ich den Systemrestore abgeschaltet und den PC im
abgesicherten Modus gestartet habe - die "wuampd.exe" sowie zwei
gleichlautende Registrierungseinträge bedenkenlos löschen? Oder
kann es sich hier doch um wichtige Systemdateien - die zwar infiziert sind -
handeln, die man daher nicht löschen darf?

Kann ich den Schädling ggf. mit dieser Vorgehensweise "im Schach" halten?

Danke für Eure Antworten!

Gruß
digihunter

Erstelle bitte ein Log mit

http://www.trojaner-board.de/51130-a...ijackthis.html

und poste den Inhalt hier. Es handelt sich nicht um Systemdateien, sondern um neu angelegte. Du musst auch an deinem Sicherheitskonzept arbeiten, der entscheidende Schritt, die Verhinderung einer Infizierung, ist bei dir schon mal fehlgeschlagen, dann bleibt als letzte Hilfe noch die Hoffnung auf Zusatzsoftware wie Firewall und Antivirenscanner und die ist trügerisch.

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html

Aber poste bitte erst mal das Log.