configwant.ini

ArByter · 01.02.2005, 11:03

Hallo zusammen,

vor kurzem hat mein zonealarm mich vor einem auswählkenden Programm gewarnt - rraut.exe. Ich musste auch nicht lange suchen um es in der root meiner Systempartition (WinXP pro, SP2) zu finden. Darüberhinaus habe ich dort noch folgende merkwürdige Dateien gefunden:
- configwant.ini
- dude-sitessc--.exe
- gammainstaller.exe.exe
- rraut.exe
- ToContinueClickYes_59kd53fg.exe

"configwant.ini" hat folgenden Inhalt:
"http://www.wantblue.com/gammainstaller.exe.exe^gammainstaller.exe.exe|http://www.wantblue.com/ToContinueClickYes_59kd53fg.exe^ToContinueClickYes_59kd53fg.exe|http://www.wantblue.com/dude-sitessc--.exe^dude-sitessc--.exe|http://www.wantblue.com/rraut.exe^rraut.exe|"

Googlen hat mich bisher nicht weiter gebracht. Adaware SE, SpyBot S&D und SpySubtract haben mir zu diesen Dateien nicht gesagt. HijackThis (v.1.99.0.0) stürzt auf meinem Rechner leider immer ab (an der Stelle: O23 - WinNT...)

Hat jemand eine Idee???

cacatoa · 01.02.2005, 11:10

Mach mal einen eScan genau nach der Anleitung im Link und poste das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
(Dauer ca. 1 Stunde)
cacatoa

ArByter · 01.02.2005, 14:22

Hi,

erst mal vielen Dank für die schnelle Reaktion. Hier nun die Zeilen mit den 'infected' Dateien:

Tue Feb 01 12:43:41 2005 => File C:\WINDOWS\HLInstaller3.exe infected by "Trojan.Win32.SecondThought.aa" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:43:46 2005 => File C:\WINDOWS\system32\59kd53fg.exe infected by "TrojanDropper.Win32.Small.gt" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:44:07 2005 => File C:\WINDOWS\system32\es32.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:44:25 2005 => File C:\WINDOWS\system32\lssas.exe infected by "Backdoor.Win32.FTP.ioFtpd.b" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:44:44 2005 => File C:\WINDOWS\system32\ntio40.sys infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:47:06 2005 => File C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Temp\i88.tmp infected by "TrojanDownloader.Win32.Totavel.a" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:48:49 2005 => File C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHAJW9QN\gammainstaller.exe[1].exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:49:37 2005 => File C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GL63CTA7\ToContinueClickYes_59kd53fg[1].exe infected by "Trojan-Dropper.Win32.Mudrop.o" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:50:03 2005 => File C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1EF49M7\dude-sitessc--[1].exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:50:57 2005 => File C:\dude-sitessc--.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: No Action Taken.
Tue Feb 01 12:50:57 2005 => File C:\gammainstaller.exe.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:03:46 2005 => File C:\Programme\eMule\Incoming\MiRC.v6.16.WinALL.Incl.Keygen-NGEN.zip infected by "Trojan-Dropper.Win32.Small.mt" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:04:29 2005 => File C:\Programme\eMule\Incoming\SimStat.v1.3.serial.number.exe infected by "Trojan-Downloader.Win32.VB.gy" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:06:52 2005 => File C:\Programme\eMule\webserver\rra2.exe infected by "Trojan-Downloader.Win32.VB.gy" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:22:44 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP20\A0011191.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:22:46 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP21\A0011219.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:22:50 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP23\A0011261.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:22:53 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP24\A0011299.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:22:56 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP26\A0011326.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:22:57 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP26\A0011356.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:23:09 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP35\A0011384.dll infected by "Backdoor.IRC.Zapchast" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:24:41 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP57\A0014601.exe infected by "Trojan-Downloader.Win32.VB.gy" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:27:15 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP60\A0014663.exe infected by "Trojan.Win32.SecondThought.aa" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:27:15 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP60\A0014665.dll infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:27:15 2005 => File C:\System Volume Information\_restore{13E12992-B5C1-4141-8978-099F89CD3D0A}\RP60\A0014667.EXE infected by "TrojanDropper.Win32.Small.ht" Virus. Action Taken: No Action Taken.
Tue Feb 01 13:30:07 2005 => File C:\ToContinueClickYes_59kd53fg.exe infected by "Trojan-Dropper.Win32.Mudrop.o" Virus. Action Taken: No Action Taken.

ArByter

Haui45 · 01.02.2005, 14:26

Dein System ist total verseucht (u.a. auch verschiedene Backdoors)
=> Setz dein System nach dieser Anleitung neu auf.

cacatoa · 01.02.2005, 14:33

@ haui:
Servus und thx!

ArByter · 01.02.2005, 14:35

Tja, dass das System verseucht ist, habe ich an der langen Liste der Backdoors und Trojaner schon gesehen. Das System ist erst Anfang des Jahres neu auf diesen Rechner gekommen. Ich weiß, das ist kein Grund ... aber es hat mich 3 Tage Arbeit gekostet alles wieder so einzurichten, wie ich es brauche.
Gibt es keine elegantere Möglichkeit, die weniger Arbeit macht??
Danke im voraus.
ArByter

Haui45 · 01.02.2005, 14:38

Zitat:

Gibt es keine elegantere Möglichkeit, die weniger Arbeit macht??

Nein, gibt es nicht. Wenn du dein System neu aufsetzt, kannst du sicher sein, dass es wieder sauber ist. Alles andere wäre reine Spekulation.

Haui45 · 01.02.2005, 14:40

@cacatoa
Hab deinen Post gerade erst bemerkt

Gruß zurück

01.02.2005, 11:10	#2
cacatoa	configwant.ini Mach mal einen eScan genau nach der Anleitung im Link und poste das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.) (Dauer ca. 1 Stunde) cacatoa __________________ __________________

01.02.2005, 14:26	#4
Haui45	configwant.ini Dein System ist total verseucht (u.a. auch verschiedene Backdoors) => Setz dein System nach dieser Anleitung neu auf.

01.02.2005, 14:33	#5
cacatoa	configwant.ini @ haui: Servus und thx! __________________ Der Mensch sollte eine Hundeseele haben

01.02.2005, 14:40	#8
Haui45	configwant.ini @cacatoa Hab deinen Post gerade erst bemerkt Gruß zurück

configwant.ini

Plagegeister aller Art und deren Bekämpfung: configwant.ini

configwant.ini

configwant.ini

configwant.ini

configwant.ini

configwant.ini

configwant.ini

configwant.ini

configwant.ini