|
Plagegeister aller Art und deren Bekämpfung: Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.02.2005, 14:30 | #1 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? AntiVir fand bei Scan 2 Viren. Danach habe ich Hijack gestartet (Log unten) und escan (nicht im abgesicherten Modus, spielt das eine Rolle?). Ich habe mal wieder keine Ahnung wie vorgehen. Das letzte Mal hatte ich im September so eine Geschichte und bekam auf dieser Site tolle Hilfe, leider hab ich viel wieder vergessen, wie ich vorgehen muss und was der Reihe nach zu tun ist. Für jegliche Hilfe bin ich Euch dankbar, nicht vergessen: bin nicht sehr bewandert mit Spezialbegriffen, also bin ich froh für eine Idiotensichere Anleitung Schritt für Schritt. Thx!!!! Hijack Log Logfile of HijackThis v1.99.1 Scan saved at 12:52:15, on 18.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\HPQ\One-Touch\OneTouch.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\System32\hphmon05.exe C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSCHED32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.sunrise.ch/de/hom/default.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HP Software Update] "c:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe eScan: Auswertung ist extrem lange, weiss nicht welcher Teil nötig ist oder überhaupt. Meldung von AntiVir: 18.02.2005,12:39:15 [INIT] Der AVGuard Service wird gestarted. 18.02.2005,12:39:16 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion! 18.02.2005,12:39:19 [INFO] Start Filter Device. 18.02.2005,12:39:19 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.11 VDF Version: 6.29.0.109 18.02.2005,12:39:19 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 18.02.2005,12:39:22 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt. 18.02.2005,12:39:22 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaac3a2. 18.02.2005,14:34:17 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.GJ! C:\WINDOWS\SYSTEM32\TFTP1036 18.02.2005,14:34:30 [WARNUNG] Enthält Signatur des Wurmes Worm/PeyBot.A! C:\WINDOWS\SYSTEM32\TFTP1092 18.02.2005,14:34:32 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.GJ! C:\WINDOWS\SYSTEM32\TFTP3876 Geändert von marion.ch (18.02.2005 um 14:49 Uhr) |
18.02.2005, 15:06 | #2 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Hi,
__________________scanne Dein System nochmal mit escan aber im abgesicherten Modus siehe Beschreibung unten. Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________ |
20.02.2005, 10:09 | #3 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Ok hier das gewünschte (hoffe habe alles richtig gemacht):
__________________Sun Feb 20 04:19:05 2005 => Total Files Scanned: 83635 Sun Feb 20 04:19:05 2005 => Total Virus(es) Found: 6 Sun Feb 20 04:19:05 2005 => Total Disinfected Files: 0 Sun Feb 20 04:19:05 2005 => Total Files Renamed: 0 Sun Feb 20 04:19:05 2005 => Total Deleted Files: 0 Sun Feb 20 04:19:05 2005 => Total Errors: 1 Sun Feb 20 04:19:05 2005 => Time Elapsed: 00:58:10 Sun Feb 20 04:19:05 2005 => Virus Database Date: 2005/02/20 Sun Feb 20 04:19:05 2005 => Virus Database Count: 118897 Sun Feb 20 03:23:49 2005 => File C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken. Sun Feb 20 03:24:08 2005 => File C:\WINDOWS\System32\TFTP1092 infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken. Sun Feb 20 03:42:29 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* (====> ?? Pfad ohne Virus? ) Sun Feb 20 04:17:58 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken. Sun Feb 20 04:18:32 2005 => File C:\WINDOWS\system32\TFTP1092 infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken. |
20.02.2005, 10:19 | #4 | |||||
Administrator, a.D. | Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Hallo @marion.ch, Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
20.02.2005, 10:53 | #5 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Danke Cidre für die Turbo-Antwort! FREUDE HERRSCHT! Das sind ja wirklich "tolle" Neuigkeiten. !!! Im Moment bin ich gerade etwas überfordert . Ich habe das löschen und Neuaufsetzen noch nie gemacht. Möchte es aber unbedingt selbst machen und es so lernen. Gibt es irgendwo eine Anleitung wie ich alles richtig lösche und wie ich dann vorgehen muss? Vielen Dank für die Hilfe! Gruss. marion |
20.02.2005, 10:59 | #6 |
Administrator, a.D. | Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Ja, wenn du z.B. den Link in meiner Signatur anklickst, dann findest du dort eine Anleitung.
__________________ --> Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? |
20.02.2005, 11:23 | #7 |
Moderator, a.D. | Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Wenn Du grundlegende Dinge zur Installation wissen willst, wirst Du vielleicht unter http://www.winfuture-forum.de/index.php?showtopic=14573 fündig. Gruß Yopie |
20.02.2005, 18:40 | #8 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Noch ein paar Fragen: Es handelt sich nicht um einen PC sondern um einen Laptop/Notebook (?) HP pavilion ze5600 Intel(R) Pentium(R) 4 CPU 2,66 GHz 448 MB RAM System: Microsoft Windows XP Home Edition Version 2002 Service Pack 1 funktioniert da das Formatieren und Neuinstallieren genau gleich wie beim PC? Bisher war alles auf dem C: (Programme und Daten usw.) C: Lokaler Datenträger D: DVD/CD-RW Laufwerk sehe ich das richtig dass ich nur C: neu machen kann? Gibt es eine Möglichkeit, dass ich neu auf C: nur die Programme habe und zum Beispiel auf G: alle Daten (E und F = Wechselmedien, glaub ich) ? kann ich das mit dem Partitionieren machen, resp. bedeutet genau dies "partitionieren"? Hat das Formatieren und Neuaufsetzen einen Einfluss auf den Rest (also Touch-Pad, DVD/CD-RW Laufwerk, Wechselmedien usw.), d.h. muss ich die dann auch alle neu installieren oder könnte ich das umgehen wenn ich eben nur C: neu mache? Ich habe im Moment noch ein ziemliches Durcheinander da alles neu ist. Bin mich aber am einlesen. Danke für alle Links. Auf dem Laptop meines Kumpels um den es geht befinden sich keinerlei wichtige persönliche Daten (gottseidank). Gäbe es nicht mit XP die Möglichkeit, das System zu reparieren? Oder speichert das System nur die Daten aus der allerletzten Zeit, so dass man nicht einfach auf den Stand von vor ein paar Monaten zurückstellen könnte, also vor der Infektion? Ich hoffe, diese Fragen klingen nicht allzu blöde, aber wenn alles noch neu ist, dann stelle ich lieber mal ein paar blöde Fragen zu viel als zu wenig. Kann ich eigentlich irgend etwas unwiderruflich kaputt machen wenn ich es selbst versuche (kann man natürlich immer)? Wenn's in die Hose geht, kann ich den Kasten doch immer noch zum Profi bringen (Der sich dann ganz bestimmt ganz toll freut, alles "ausbaden" zu dürfen, ja ich weiss), aber man lernts halt am Besten wenn man es selbst versucht. So, vorerst war's das. Vielen, vielen Dank für Euren unermüdlichen Einsatz und die viele Geduld! Toll, dass es Euch gibt. Gruss aus dem Schneegestöber in Bern. Marion |
22.02.2005, 10:45 | #9 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Gibt es irgendeine Möglichkeit herauszufinden ob das Zeug aktiv wurde oder nicht? Wenn es nicht aktiv wurde, ist dann das Neuaufsetzen nötig? Ist irgendwie ersichtlich auf welchem Weg die "Infektion" stattfand und wann? Vielen Dank für die Hilfe. Gruss marion |
22.02.2005, 10:55 | #10 | ||
Moderator, a.D. | Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?Zitat:
Zitat:
Du solltest mit dem Rechner jedenfalls nicht mehr ins Netz, bevor er nicht neu aufgesetzt wurde. Gruß Yopie |
22.02.2005, 11:05 | #11 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Sowas habe ich schon befürchtet. Danke für Deine Antwort. Staune immer wieder wie schnell ich hier Hilfe erhalte. Wahnsinn. Danke. Gruss Marion |
22.02.2005, 11:36 | #12 | ||||
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Hallo Zitat:
Zitat:
Zitat:
Zitat:
Der HP sollte von CD booten also einfach nur die erste CD einlegen, falls er nicht von CD bootet, im Bios die Bootreihenfolge ändern (CD an erste Stelle). my2cent net |
22.02.2005, 12:03 | #13 |
| Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? Hallo, ich nochmal (ein Edit hätte bestimmt gereicht, aber so sieht man das was dazu gekommen ist ) na vielleicht gibts ja doch noch Hoffnung bzgl. selber Partitionieren und Formatieren ... habe gerade mal auf der HP-Seite nachgesehen, da ich den Karton zu unserem HP-NB nicht finden konnte (beim CPQ waren nur System-Restore/Recovery-CD´s dabei). Also, falls bei eurem NB eine Operation-System CD dabei war, kuck dir vielleicht mal den Link an:Häufig gestellte Fragen zu Pavilion Notebooks mfg net |
Themen zu Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!? |
.inf, abgesicherten modus, adobe, antivir, antivir update, auswertung, bho, computer, confused, desktop, escan, explorer, ftp, google, helfen, hijack, hijackthis, internet, internet explorer, keine ahnung, log, microsoft, notebook, programme, scan, software, sun java, system, warnung, windows, windows xp |