Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: (Rpcmon.exe) RANDEX.ATX worm

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.08.2005, 13:50   #1
r4De
 
(Rpcmon.exe) RANDEX.ATX worm - Icon27

(Rpcmon.exe) RANDEX.ATX worm



Hi leute,
so, erstmal habe ich ziemlichen scheiss gebaut, ich bin ohne fw ins internet gegabngen. Nun habe ich den Wurm:
---------------------------------------------------
Laufender Prozess. (Rpcmon.exe) RANDEX.ATX worm
---------------------------------------------------
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe
---------------------------------------------------
Unter Taskmanager: Rpcmon.exe
---------------------------------------------------
Vierenmaeldung:

14.08.2005,11:02:56 [WARNUNG] Enthält Signatur des Wurmes WORM/SdBot.82944.45!
C:\WINDOWS\SYSTEM32\TFTP3120
[INFO] Die Datei wurde gelöscht!
14.08.2005,11:04:23 [WARNUNG] Enthält Signatur des Wurmes WORM/RBot.212992!
C:\WINDOWS\SYSTEM32\TFTP2768
[INFO] Die Datei wurde gelöscht!
14.08.2005,11:05:31 [WARNUNG] Enthält Signatur des Wurmes WORM/RBot.212992!
C:\WINDOWS\SYSTEM32\TFTP3132
[INFO] Die Datei wurde gelöscht!
14.08.2005,11:05:29 [WARNUNG] Enthält Signatur des Wurmes WORM/RBot.212992!
C:\WINDOWS\SYSTEM32\TFTP2960
[INFO] Die Datei wurde gelöscht!

===============================================

Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:31, on 14.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\Rpcmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Downloads\Anti Viren Progi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [warez] "C:\Programme\Warez P2P Client\warez.exe" -h
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123448313596
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CADD29-0F02-47A0-BFDA-159F055CBE5E}: NameServer = 217.237.149.161 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

____________________________________________________

Also löschen kann ich die datei nicht, da ich die datei nich im ordner system32 finden( auch mit versteckten ordnern) und auch nich fixen kann und auch nicht im task manager löschen kann.

Der Prozess braucht ständig 20-100% leistung!!

Ich habe die datei "RPCMON.EXE-03B3DAAD.pf" im Windows Ordner "Prefetch" gefunden.

Ich habe jegliche verbindung dieser exe ins Internet unterbunden und habe alle cookies gelösch. Die rigistrie datei kann ich auch nicht finden.

Bitte helft mir!!!

Peace

Alt 14.08.2005, 15:12   #2
Haui45
 
(Rpcmon.exe) RANDEX.ATX worm - Standard

(Rpcmon.exe) RANDEX.ATX worm



Du solltest das System zu deiner eigenen Sicherheit neu aufsetzen.
Um einen Fehlalarm auszuschließen kannst du das System vorher mit eScan überprüfen, was ihmo aber reine Zeitverschwendung ist.
__________________


Alt 17.08.2005, 10:40   #3
Assrael
 
(Rpcmon.exe) RANDEX.ATX worm - Standard

(Rpcmon.exe) RANDEX.ATX worm



Es reicht mit einem anderem System zu booten (Linux-BootCD, Windows-Startdiskette) und die Datei in LW:\Windowsverzeichnis\system32\ zu löschen.

Dann kannst Du neu booten und Deinen Virenscanner drüber laufen lassen. Bei mir hat er danach nichts mehr gefunden.
__________________

Alt 17.08.2005, 10:44   #4
Wildone
 
(Rpcmon.exe) RANDEX.ATX worm - Standard

(Rpcmon.exe) RANDEX.ATX worm



Hallo,
@Assrael
Ist das dein Ernst? Bei sdbot Befall soll es ausreichen die betroffene Datei zu löschen? Hier mal ein zwei Links zum Thema Kompromittierung:
http://oschad.de/wiki/index.php/Kompromittierung
http://www.microsoft.com/germany/tec...es/600574.mspx


Grüße Wildone

Alt 18.08.2005, 08:49   #5
Assrael
 
(Rpcmon.exe) RANDEX.ATX worm - Standard

(Rpcmon.exe) RANDEX.ATX worm



Ups! Danke für die Anmerkung.

Gut aber in meinem Fall habe ich zumindest immer eine Firewall davor gehabt und habe deswegen auch gemerkt, dass sich diese Datei rpcmon.exe mit dem Internet verbinden möchte. Ich muss mal meine Sicherheitseinstellungen im Browser überprüfen, wie eigentlich die Datei auf meinen Computer gelangt ist. Na ja, vielleicht sollte ich trotzdem über eine Neuinstallation nachdenken.


Alt 18.08.2005, 09:04   #6
Wildone
 
(Rpcmon.exe) RANDEX.ATX worm - Standard

(Rpcmon.exe) RANDEX.ATX worm



Hallo,
@Assrael
Zitat:
Gut aber in meinem Fall habe ich zumindest immer eine Firewall davor gehabt und habe deswegen auch gemerkt, dass sich diese Datei rpcmon.exe mit dem Internet verbinden möchte.
Problem, Desktopfirewalls können getunnelt werden, bei der rpcmon.exe hast du es gemerkt das sie telefonieren wollte, sagt aber noch lange nicht das ein anderer Prozess es nicht geschaft hat an der Firewall vorbei zu funken. Wenn erst mal das System infiziert ist, kann auch eine Desktopfirewall nichts mehr ausrichten.
Zitat:
wie eigentlich die Datei auf meinen Computer gelangt ist
Genau, da solltest du ansetzen, sehr wahrscheinlich durch nicht ausreichendes Patchverhalten, SP2 muss z.B. installiert sein wenn du nach einem Neuaufsetzen zum ersten mal ins Inet gehst, sonst hast du innerhalb von Minuten Besuch von einem Netzwerkwurm. Und dann sollten natürlich jeden Monat die Patches die Microsoft zur Verfügung stellt eingespielt werden. Mit einem nicht aktuellen System kannst du auch Virenscanner und Firewall als Schutzmaßnahme vergessen.
Zitat:
vielleicht sollte ich trotzdem über eine Neuinstallation nachdenken.
Wenn du mich fragst solltest du genau das tun, Anleitung dazu hast du oben, überlege es dir, dauert normalerweise gar nicht so lange wie man denkt.



Grüße Wildone

Antwort

Themen zu (Rpcmon.exe) RANDEX.ATX worm
adobe, adobe reader, antivirus, bho, drivers, explorer, ftp, hijack, hijackthis, internet, internet explorer, internet security, löschen, microsoft, nvidia, ordner, prefetch, programme, rundll, security, security center, settings manager, software, symantec, system, t-online, taskmanager, viren, warnung, windows, windows xp, wurm




Ähnliche Themen: (Rpcmon.exe) RANDEX.ATX worm


  1. AVG AV 2013 meldet Worm/VB.DYC, Worm/VB.DYA, Trojaner: Dropper.Generic.TEL im Verzeichniss \\WUALA_BY_LACIE\...\RECYCLED\...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  2. WORM/Kido.IX und WORM/Confick.164228 auf externer Festplatte
    Log-Analyse und Auswertung - 03.06.2012 (16)
  3. Virusbefall Worm/Downadup, Worm/Generic_c.ZS, Verbeitung mit autorun.inf auf Wechselmedien
    Log-Analyse und Auswertung - 28.06.2011 (44)
  4. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  5. WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (16)
  6. WORM/Autorun.tca und WORM/TRL.A
    Log-Analyse und Auswertung - 04.12.2008 (0)
  7. Wurmbefall Worm ICRBot 54784.12 oder W32/WHIPSER-B WORM
    Log-Analyse und Auswertung - 22.06.2008 (7)
  8. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  9. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  10. W32.Randex schrotet Hardware?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2005 (1)
  11. rpcmon geht nicht weg
    Log-Analyse und Auswertung - 15.08.2005 (1)
  12. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  13. wer kann mir helfen? randex.gen und gaobot
    Plagegeister aller Art und deren Bekämpfung - 04.04.2005 (11)
  14. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  15. Backdoor.Ranky / W32.Randex.gen / W32.Ronoper.Worm
    Plagegeister aller Art und deren Bekämpfung - 12.02.2005 (2)
  16. Randex.E. Nervt
    Plagegeister aller Art und deren Bekämpfung - 07.01.2005 (1)
  17. W32/Slanper.worm und W32/Warpi.worm.gen
    Plagegeister aller Art und deren Bekämpfung - 27.07.2003 (6)

Zum Thema (Rpcmon.exe) RANDEX.ATX worm - Hi leute, so, erstmal habe ich ziemlichen scheiss gebaut, ich bin ohne fw ins internet gegabngen. Nun habe ich den Wurm: --------------------------------------------------- Laufender Prozess. (Rpcmon.exe) RANDEX.ATX worm --------------------------------------------------- O23 - - (Rpcmon.exe) RANDEX.ATX worm...
Archiv
Du betrachtest: (Rpcmon.exe) RANDEX.ATX worm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.