Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Backdoor_IRCBot_FP

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 13.01.2007, 13:18   #1
Sunny
Administrator
> Competence Manager
 

Backdoor_IRCBot_FP - Standard

Backdoor_IRCBot_FP



Hallo.

Wo wird denn der oben genannte Schädling gefunden, genaue Dateiangabe ist hier von Vorteil!
(sollte im letzten Report vom AV-Scanner stehen.)

Aus deinem Hijacklog könnte folgender Eintrag mit dem IRC.Bot in Verbindung stehen:

Zitat:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\system\smss.exe
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 13.01.2007, 14:01   #2
lilli25
 
Backdoor_IRCBot_FP - Standard

Backdoor_IRCBot_FP



Zitat:
Zitat von [Gc]Sunny Beitrag anzeigen
Hallo.

Wo wird denn der oben genannte Schädling gefunden, genaue Dateiangabe ist hier von Vorteil!
(sollte im letzten Report vom AV-Scanner stehen.)

Aus deinem Hijacklog könnte folgender Eintrag mit dem IRC.Bot in Verbindung stehen:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)



* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny
danke sunny

virustotal hatte folgendes ergebniss:

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 TR/Proxy.Horst.Gen
Authentium 4.93.8 01.12.2007 W32/Methodbod.gen2
Avast 4.7.936.0 01.12.2007 no virus found
AVG 386 01.12.2007 Proxy.25.AY
BitDefender 7.2 01.13.2007 DeepScan:Generic.Horst.6E908659
CAT-QuickHeal 9.00 01.12.2007 Trojan.Horst.pp
ClamAV devel-20060426 01.13.2007 Trojan.Medbot-98
DrWeb 4.33 01.13.2007 no virus found
eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 Win32/Boxed!generic
Ewido 4.0 01.12.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 no virus found
F-Prot 3.16f 01.12.2007 W32/Methodbod.gen2
F-Prot4 4.2.1.29 01.12.2007 W32/Methodbod.gen2
Ikarus T3.1.0.27 01.09.2007 Trojan-Proxy.Win32.Horst.py
Kaspersky 4.0.2.24 01.13.2007 Trojan-Proxy.Win32.Horst.pp
McAfee 4938 01.12.2007 BackDoor-CMQ.gen
Microsoft 1.1904 01.13.2007 no virus found
NOD32v2 1976 01.13.2007 probably a variant of Win32/Medbot.DC
Norman 5.80.02 01.12.2007 W32/Horst.gen14
Panda 9.0.0.4 01.13.2007 Suspicious file
Prevx1 V2 01.13.2007 no virus found
Sophos 4.13.0 01.11.2007 Mal/Behav-080
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.12.2007 MalwareScope.Trojan-Proxy.Horst.1
VirusBuster 4.3.19:9 01.12.2007 Worm.Medbot.Gen!Pac11

Aditional Information
File size: 38400 bytes
MD5: a05841ab4e0d2ca71328801b4c349a39
SHA1: 920970b76644ae81ce5967c3a4575d85d450f0f8
packers: UPX
packers: UPX
packers: UPX
packers: UPX
__________________


Alt 13.01.2007, 14:04   #3
Sunny
Administrator
> Competence Manager
 

Backdoor_IRCBot_FP - Standard

Backdoor_IRCBot_FP



Da haben wir den Schädling, jedoch werden wir eine einfache Bereinigung nicht mehr durchführen können, da du selbst nicht mehr Besitzer deines Systems/Rechners bist!

Bei Backdoorbefall ist nur noch eine Bereinigung wirksam ->


Neuinstallation des Betriebssystems + zukünftige Absicherung

Gruß
Sunny
__________________
__________________

Alt 13.01.2007, 14:09   #4
lilli25
 
Backdoor_IRCBot_FP - Standard

Backdoor_IRCBot_FP



vielen Dank sunny für die schnelle hilfe.
tja, damit hab ich nun nicht gerechnet (Neuinstallation).

schöne grüsse

Antwort

Themen zu Backdoor_IRCBot_FP
acrobat, activex, adobe, antivir, backdoor, bho, browser, button, explorer, firewall, guten, hijack, hijackthis-log, internet, internet explorer, java, kerio, messenger, monitor, pc tools spyware doctor, programme, spybot, system32, win, windows, windows xp




Zum Thema Backdoor_IRCBot_FP - Hallo. Wo wird denn der oben genannte Schädling gefunden, genaue Dateiangabe ist hier von Vorteil! (sollte im letzten Report vom AV-Scanner stehen.) Aus deinem Hijacklog könnte folgender Eintrag mit dem - Backdoor_IRCBot_FP...
Archiv
Du betrachtest: Backdoor_IRCBot_FP auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.