| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.PoeBot.aWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.12.2004, 11:52
| #1 |
| |  Backdoor.Win32.PoeBot.a hallo, ich habe windows 2000 mit allen updates drauf habe aber noch vor dem updaten einige viren drauf bekommen. konnte mit escan diesen virus finden : Backdoor.Win32.PoeBot.a der befindet sich in dieser datei : C:\WINNT\system32\TFTP1444 weiß jemand wie ich den entferne ? denn mcafee sieht ihn nicht als virus an Geändert von Dr. Hovno (16.12.2004 um 12:07 Uhr) |
|
16.12.2004, 12:31
| #2 |
  | Backdoor.Win32.PoeBot.a @ Dr. Hovno
__________________Würmer haben oft mehrere Bezeichnungen. Hinter der Bezeichnung "Backdoor.Win32.PoeBot.a" verbirgt sich ein sehr gefährlicher Wurm mit Backdoor-Funktionalität: W32/Rbot-RG. Diesen Wurm zu entfernen bedarf sehr genauer Kenntnisse des Systems, da es nicht genügt, nur den Wurm zu löschen. Es müssen auch alle Registry-Einträge, die dieser Wurm auf dem System vorgenommen hat, mit gelöscht werden. Solltest Du Dich nicht perfekt mit Deinem Rechner auskennen, ist es angebracht, Dein System zu formatieren und anhand der oft hier im Forum gegebenen Ratschäge neu zu installieren. Siehe dazu: Lutz' Datensicherung, Cidre's Rat und MountainKing: Sicherheit gross geschrieben. SD |
|
16.12.2004, 12:36
| #3 |
| | Backdoor.Win32.PoeBot.a nee das kann nicht angehn
__________________ das geht eifnach nicht.   ich hatte mein system am anfang der woche formatieren müssen. da hatte ich windows xp drauf als ich dass dann neu drauf gemacht hatte, war direkt beim einklinken ins internet ein virus drauf der den pc runter gefahren hat. also gut nochma formatiert windows 2000 drauf wärend ich die windows updates gemacht hab kamen auch diese würmer und nachdem ich fertig war hab ich dann alles entfern. diese datei ist das letzte was übrig ist aber ich weiß nicht wie ich diesen virus entferne. ob ich jetzt die ganze TFTP1444 löschen soll z.B. . denn formatieren bringt auch nix mehr da käme das gleichr problem eben wieder. brauche eine lösung das jetzt zu entfernen es ist nur diese datei edit: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows DLL Loader %SYSTEM%\defragfat32abc.exe ist bei mir noch nichtmal vorhanden Geändert von Dr. Hovno (16.12.2004 um 12:43 Uhr) |
|
16.12.2004, 12:47
| #4 |
| | Backdoor.Win32.PoeBot.a Hallo Dr. Hovno, es ist sehr wahrscheinlich mehr als nur eine Datei, es ist ein Wurm, der einem anderen User den Zugriff auf Dein System erlaubt. Du schreibst, dass Du formatiert hast. Hast Du Dich dabei an die von uns gegebenen Richtlinien gehalten? Lies bitte die Links durch, denn es ist durchaus möglich, dass man infizierte Dateien auf das neue System mitüberträgt oder aber dass man sich sofort neu infiziert. Das Löschen der Datei alleine dürfte nicht ausreichen. [edit] siehe dazu: Backdoor.Win32.PoeBot.a [/edit] SD Geändert von Shadowdance (16.12.2004 um 12:52 Uhr) |
|
16.12.2004, 12:53
| #5 |
| | Backdoor.Win32.PoeBot.a ja ich hatte vorher 2 wochen mit dem windows xp gekämpft. ich hab alles ordentlich gemacht, wirklich. wie kann ich denn nun diese datei vom backdoor befreien ? ich weiß nicht ob ich löschen darf oder nicht. diese exe datei ist weder in windows zu finden noch in der regedit. also ich will einfach dieses teil endlich loswerden ich raste hier schon aus denn nochmal formatieren bring ich einfach nicht mehr. da schmeiß ich das teil nämlich raus kannst ja eh nichts mehr machen... grml  |
|
16.12.2004, 13:05
| #6 |
| | Backdoor.Win32.PoeBot.a @ Dr. Hovno diese Datei IST der Backdoor.Win32.PoeBot.a, sie ist nicht infiziert sondern Dein System ist infiziert, durch das Vorhandensein dieser Datei. Du kannst diese Datei löschen, wenn Du Folgendes gemacht hast: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) Boote dann in den VGA Modus, "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten. Aber Dein System ist deswegen trotzdem noch infiziert ... siehe dazu: Entfernung von Schädlingen und Kompromittierung unvermeidbar?. Hast Du noch mehr Viren auf dem System? Was sagt der eScan dazu? Und erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Ich nehme an, dass die meisten Kollegen hier an Board Dir den Rat geben, Dein System nochmals anhand der bei uns gegebenen Ratschläge zu formatieren. Ein solches System ist kompromittiert und daher nicht vertrauenswürdig. Solltest Du vertrauliche Informationen auf Deinem Rechner bearbeiten, musst Du damit rechnen, dass sie Dritten bekannt ist. SD |
|
16.12.2004, 13:23
| #7 |
| | Backdoor.Win32.PoeBot.a ich hab die datei jetzt gelöscht. ich hab alles schon extrem sicher gemacht so wie es mir in HijackThis forum gesagt wurde. ausserdem hatte ich noch einen freudn dabei der sich recht gut damit auskennt. habe den virus echt direkt beim internet einloggen bekommen obwohl extrem vorsichtig und auch alles nach ratschlag gemacht wurde ! habe jetzt diese tftp1444 gelöscht. in der regedit kann ich keine sachen finden die bei sophos angesprochen werden und auch so macht der pc eigentlich keine probleme !  |
|
16.12.2004, 13:48
| #8 |
| | Backdoor.Win32.PoeBot.a @ Dr. Hovno, ich verstehe Dich ja ... es ist halt nur sehr fraglich, ob das System nun wirklich sicher ist oder ob noch irgendwas im Hintergrund mitläuft, von dem wir keine Ahnung haben. Ich wußte übrigens nicht, dass Du auch im Hijack This-Forum gepostet hattest. Ich schreibe da zwar auch, aber nur wenn ich Zeit habe .. und Zeit ist bei mir momentan Mangelware. Kannst Du bitte nochmal ein neues Hijack This Logfile in der aktuellen Version v1.99.0 (www.hijackthis.de) erstellen und posten? SD |
|
16.12.2004, 15:31
| #9 |
| | Backdoor.Win32.PoeBot.aCode:
ATTFilter Logfile of HijackThis v1.99.0 Scan saved at 15:29:48, on 16.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\System32\svchost.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Albert Wesker\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm O1 - Hosts: 193.252.123.21 patch.daoc.net O1 - Hosts: 193.252.123.21 patch2.daoc.net O1 - Hosts: 193.252.123.21 patch3.daoc.net O1 - Hosts: 193.252.123.21 patch4.daoc.net O1 - Hosts: 193.252.123.21 patch5.daoc.net O1 - Hosts: 193.252.123.21 patch6.daoc.net O1 - Hosts: 193.252.123.21 patch7.daoc.net O1 - Hosts: 193.252.123.21 patch8.daoc.net O1 - Hosts: 193.252.123.21 patch9.daoc.net O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E61C1D27-19C4-4202-B13C-808457606F90}: NameServer = 217.237.150.141 217.237.150.97 O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe |
|
16.12.2004, 20:40
| #10 |
| Gast | Backdoor.Win32.PoeBot.a Das Log schaut sauber aus. |
|
| Themen zu Backdoor.Win32.PoeBot.a |
| befindet, datei, entferne, escan, ftp, konnte, mcafee, system, system32, updaten, updates, viren, virus, windows, winnt |
Linear-Darstellung
