Hallo.
Antivir hat mir TR/PoeBot.AR angezeigt. Ich bin dann auf löschen gegangen. Das wurde auch anscheinend durchgeführt.
Bisher ist alles ruhig geblieben.
In dem Forum hier hab ich zu TR/PoeBot.AR nichts gefunden.

Muß ich mein System jetzt neu aufsetzen?
Ist TR/PoeBot.AR sehr gefährlich und was ist das?

Danke für die Antwort schon im voraus.

Gruß

Ja, der PoeBot hat Backdoorfunktionen. Die Frage aber ist, wo der gefunden wurde. Poste mal ein Hijckthis-Log.

Wie gewünscht:
Logfile of HijackThis v1.99.1
Scan saved at 22:59:32, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\NETGEAR\WPN111 Konfigurationsprogramm\wpn111.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\My Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.klamm.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: ppctlcab -
O16 - DPF: {00000075-0000-0010-8000-00AA00389B71} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://h**p://scan.safety.live.com/r...scbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://acs.pandasoftware.com/...ree/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Die vorletzte betroffene Datei war laut Antivir:
C:\Program Files\kmd und noch was. Das konnte ich nicht mehr lesen, weil gerade eine zweite Meldung von Antivir kam: Diese Datei soll die letzte betroffene Datei sein:
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP17\A0009943.exe
Bin wieder auf löschen gegangen.

Ich hab bei sophos gelesen, daß der sich in der Registrierung installiert. Ich hab Spybot-SD laufen. Wie geht das denn dann?

Ach menno

Ich hab einige Sachen zu dem PoeBot gelesen. Habe erst gedacht meiner wäre was anderes, weil er ja TR/PoeBot.AR heißt.
Habe eigentlich immer gelesen, daß man das System neu aufsetzen soll.

Aber cosinus hat geschrieben, daß erst die Frage geklärt werden muß, wo er gefunden worden ist.

Was ist mit meinen käuflich erworbenen MP3´s und Filme. Sind die verseucht? Das wäre tragisch, denn ich habe keine Sicherung.

Ihr werdet mir schon helfen.

Gruß

Hallo,

Zitat:

Was ist mit meinen käuflich erworbenen MP3´s und Filme. Sind die verseucht? Das wäre tragisch, denn ich habe keine Sicherung.

Die kannst du ohne Risiko auf das neue System übernehmen.

Zitat:

Aber cosinus hat geschrieben, daß erst die Frage geklärt werden muß, wo er gefunden worden ist.

Das ist richtig, wenn er z.B. nur in einem Mailanhang war, gäbe es keinen Grund für eine Neuinstallation, da er nicht aktiv gewesen wäre. Schau doch mal in der Repportdatei von Antivir nach, dort müßte es stehen.



Grüße Wildone

In der Reportdatei steht zum PoeBot folgendes:
11.07.2006,21:45:53 [WARNUNG] Ist das Trojanische Pferd TR/PoeBot.AR!
C:\Program Files\kmd_esfrde.exe
[INFO] Die Datei wird gelöscht!
11.07.2006,23:02:07 [WARNUNG] Ist das Trojanische Pferd TR/PoeBot.AR!
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP17\A0009943.exe
[INFO] Die Datei wird gelöscht!

Das ist aber seltsam, denn ich habe die erste Meldung, daß ich den PoeBot habe, ein paar Stunden früher bekommen (glaub ich doch zu wissen).
Ich war auf der Suche nach Smilies und hab über google eine Seite gefunden. Als ich auf der Seite war, kam die Antivir-Meldung. Ich habe keine Software gestartet.

Hallo,
zum ersten Phänomen, das ist normal, die "System Volume Information" ist die Systemwiederherstellung, dort ist diegelöscht Datei natürlich gelandet und von Antivir nochmal moniert worden.

Insgesammt eine grenzwertige Geschichte, ob der Poebot jetzt aktiv war oder nicht kann ich nicht mit Bestimmtheit sagen, immerhin hat er sich selbstständig heruntergeladen. Ich tendiere dazu das er nicht aktiv war, aber wenn du auf Nummer Sicher gehen willst machst du dein System neu. Anleitung dazu gibt es hier.


Grüße Wildone

Okay, vielen Dank.
Ich wollte sowieso demnächst mein System neu aufsetzen, da ich einen Zlob hatte.
Internet-Banking mach ich sowieso nicht und meine E-mails, falls mein E-mail Passwort gemopst wurde, kann irgendjemand ruhig lesen. Da gibts nix streng geheimes.
Das wird ja immer schlimmer mit der Malware. Ich surf jetzt ca. 2 Monate und hab mir schon 2 Trojaner eingefangen. Und ich bin eher vorsichtig. In den letzten Jahren hab ich nie was gehabt.

Gruß und nochmal Merci

Zitat:

Zitat von Oschgaaar

und meine E-mails, falls mein E-mail Passwort gemopst wurde, kann irgendjemand ruhig lesen. Da gibts nix streng geheimes.

Diese Einstellung solltest Du mal überdenken. Wenn jmd. Dein E-Mail-Passwort hat, kann er auch über Dein Konto E-Mails versenden.

Zitat:

Zitat von cosinus

Diese Einstellung solltest Du mal überdenken. Wenn jmd. Dein E-Mail-Passwort hat, kann er auch über Dein Konto E-Mails versenden.

Und Passwörter von anderen Webdiensten (z.B. eBay) anfordern.

Gruß
Yopie