@Chris14

Zitat:

ihr wisst schon das Dr. Web den vorhin als backdoor erkannt hat?
Win32.HLLW.MyBot -> Backdoor.Win32.Rbot.pm

Wissen wir schon .
Allerdings:
1. Es hat nur Dr.Web erkannt.
2. Wenn KAV die Datei als nicht infiziert definiert hat, ist es nicht vom Unwissen von Kaspersky Lab, sondern KAV ist zum Ergebnis gekommen: trotzt dass die Datei die bösartigen Signaturen enthält, ist aber selbst korrupt und kann keine Schäden einrichten.
Darüber hatte ich vor Kurzem eine E-Mail-Diskussion mit KAV-Support gehabt
Deswegen schlage ich vor, eScan durzuführen; um PC platt zu machen haben wir noch einen halben Tag vor uns .

ahja ok ich verstehe.

Zitat:

Zitat von Rene-gad

@Chris14

Wissen wir schon .
Allerdings:
1. Es hat nur Dr.Web erkannt.
2. Wenn KAV die Datei als nicht infiziert definiert hat, ist es nicht vom Unwissen von Kaspersky Lab, sondern KAV ist zum Ergebnis gekommen: trotzt dass die Datei die bösartigen Signautern enthält, ist aber selbst korrupt und kann keine Schäden einrichten.
Darüber hatte ich vor Kurzem eine E-Mail-Diskussion mit KAV-Support gehabt
Deswegen schlage ich vor, eScan durzuführen; um PC platt zu machen haben wir noch einen halben Tag vor uns .

Erstmal: Wir haben den Rechner erst gestern platt gemacht. Da sich der Trojaner aber wohl im Arbeitsspeicher (?) festgefressen hat, bringt das nicht wirklich was.

Zitat:

Zitat von Chris14

@engele mach weiter wie von cronos gepostet (also escan durchführen wie in der anleitung beschrieben) http://www.trojaner-board.de/showthread.php?t=17492

So habe jetzt endlich den Scan beendet...hat ewig gedauert, da ich alle Laufwerke habe durchsuchen lassen. Die Log datei ist jetzt unendlich lange, und wäre für hier wohl zu umfangreich. Hier jetzt mal nur das Endergebnis...weiß nicht ob ihr damit was anfangen könnt.

28 14:23:03 2005 => ***** Checking for specific ITW Viruses *****
Sun Aug 28 14:23:03 2005 => Checking for Welchia Virus...
Sun Aug 28 14:23:03 2005 => Checking for LovGate Virus...
Sun Aug 28 14:23:04 2005 => Checking for CodeRed Virus...
Sun Aug 28 14:23:04 2005 => Checking for OpaServ Virus...
Sun Aug 28 14:23:04 2005 => Checking for Sobig.e Virus...
Sun Aug 28 14:23:04 2005 => Checking for Winupie Virus...
Sun Aug 28 14:23:04 2005 => Checking for Swen Virus...
Sun Aug 28 14:23:04 2005 => Checking for JS.Fortnight Virus...
Sun Aug 28 14:23:04 2005 => Checking for Novarg Virus...
Sun Aug 28 14:23:04 2005 => Checking for Pagabot Virus...
Sun Aug 28 14:23:04 2005 => Checking for Parite.b Virus...
Sun Aug 28 14:23:04 2005 => Checking for Parite.a Virus...
Sun Aug 28 14:23:04 2005 => Checking for Adware.SeekSeek Virus...

Sun Aug 28 14:23:04 2005 => ***** Scanning complete. *****

Sun Aug 28 14:23:04 2005 => Total Objects Scanned: 78983
Sun Aug 28 14:23:04 2005 => Total Virus(es) Found: 2
Sun Aug 28 14:23:04 2005 => Total Disinfected Files: 0
Sun Aug 28 14:23:04 2005 => Total Files Renamed: 0
Sun Aug 28 14:23:05 2005 => Total Deleted Objects: 0
Sun Aug 28 14:23:05 2005 => Total Errors: 12
Sun Aug 28 14:23:05 2005 => Time Elapsed: 01:48:05
Sun Aug 28 14:23:05 2005 => Virus Database Date: 2005/08/24
Sun Aug 28 14:23:05 2005 => Virus Database Count: 145335

Sun Aug 28 14:23:05 2005 => Scan Completed.

Sun Aug 28 14:28:26 2005 => Virus Database Date: 2005/08/24
Sun Aug 28 14:28:26 2005 => Virus Database Count: 145335
Sun Aug 28 14:28:43 2005 => AV Library Unloaded (3)...

Zitat:

Zitat von engele1976

Erstmal: Wir haben den Rechner erst gestern platt gemacht. Da sich der Trojaner aber wohl im Arbeitsspeicher (?) festgefressen hat, bringt das nicht wirklich was.

Nein, da ihr das System nicht offline gepatcht und abgesichert habt (Windows XP SP1), habt ihr euch nach dem ersten Onlinegang einen Netzwerkwurm eingefangen.

Zitat:

Zitat von Chris14

@engele mach weiter wie von cronos gepostet (also escan durchführen wie in der anleitung beschrieben) http://www.trojaner-board.de/showthread.php?t=17492

Hier noch direkt aus dem Log:

Object "alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9BE8D7B2-329C-442A-A4AC-ABA9D7572602}" refers to invalid object "c:\programme\mcafee.com\agent\submgr\5,1,0,1\mcsubmgr.dll". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
File E:\Programme\Flash Get\fgf140.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.

Zitat:

Zitat von cronos

Bitte auch mal die Datei


C:\WINDOWS\System32\updates.pif

hier hochladen:

http://www.malwareupload.com/

Teile uns das Ergebnis mit.

Das sieht mir aber wirklich nicht gut aus- wie rene-gad schon erwähnte.

Habe jetzt doch noch Antwort bekommen. Es handelt sich um:

Backdoor.SdBot

@engele1976

Zitat:

Er bringt mir die Meldung

Wer?

Zitat:

..soll ich es trotzdem versuchen zu löschen?

Du musst dich entscheiden: Entweder hörst du ihm zu oder meiner Wenigkeit.

Zitat:

Zitat von engele1976

Habe jetzt doch noch Antwort bekommen. Es handelt sich um:

Backdoor.SdBot

Da es sich hier um einen Backdoor handelt, ist dein System als kompromittiert anzusehen.
Daher ist es dir dringend anzuraten dein System neu aufzusetzen.
Gehe nach dieser Anleitung vor:

http://www.trojaner-board.de/showthread.php?t=12154

Auch die beiden Links in meiner Signatur dürften dich interessieren.