| |
| |||||||
Log-Analyse und Auswertung: Backdoor_IRCBot_FPWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.01.2007, 13:01
| #1 |
| |  Backdoor_IRCBot_FP guten tag spyware doctor zeigt einen backdoor_ircbot_fp eintrag an. ad-aware und spybot melden nichts. jetzt bin ich unsicher was nun tasächlich los ist. betriebssystem ist win xp-professional sp2. vielleicht kann mir jemand dabei helfen. vielen dank im vorraus. hier das hijackthis-log: Logfile of HijackThis v1.99.1 Scan saved at 12:10:00, on 13.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\hin-und-her\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe |
|
13.01.2007, 13:18
| #2 | ||
| Administrator > Competence Manager  | Backdoor_IRCBot_FP Hallo.
__________________Wo wird denn der oben genannte Schädling gefunden, genaue Dateiangabe ist hier von Vorteil! (sollte im letzten Report vom AV-Scanner stehen.) Aus deinem Hijacklog könnte folgender Eintrag mit dem IRC.Bot in Verbindung stehen: Zitat:
Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Gruß Sunny
__________________ |
|
13.01.2007, 14:01
| #3 | |
| | Backdoor_IRCBot_FPZitat:
virustotal hatte folgendes ergebniss: Antivirus Version Update Result AntiVir 7.3.0.21 01.09.2007 TR/Proxy.Horst.Gen Authentium 4.93.8 01.12.2007 W32/Methodbod.gen2 Avast 4.7.936.0 01.12.2007 no virus found AVG 386 01.12.2007 Proxy.25.AY BitDefender 7.2 01.13.2007 DeepScan:Generic.Horst.6E908659 CAT-QuickHeal 9.00 01.12.2007 Trojan.Horst.pp ClamAV devel-20060426 01.13.2007 Trojan.Medbot-98 DrWeb 4.33 01.13.2007 no virus found eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm eTrust-InoculateIT 23.73.113 01.13.2007 no virus found eTrust-Vet 30.3.3324 01.12.2007 Win32/Boxed!generic Ewido 4.0 01.12.2007 no virus found Fortinet 2.82.0.0 01.13.2007 no virus found F-Prot 3.16f 01.12.2007 W32/Methodbod.gen2 F-Prot4 4.2.1.29 01.12.2007 W32/Methodbod.gen2 Ikarus T3.1.0.27 01.09.2007 Trojan-Proxy.Win32.Horst.py Kaspersky 4.0.2.24 01.13.2007 Trojan-Proxy.Win32.Horst.pp McAfee 4938 01.12.2007 BackDoor-CMQ.gen Microsoft 1.1904 01.13.2007 no virus found NOD32v2 1976 01.13.2007 probably a variant of Win32/Medbot.DC Norman 5.80.02 01.12.2007 W32/Horst.gen14 Panda 9.0.0.4 01.13.2007 Suspicious file Prevx1 V2 01.13.2007 no virus found Sophos 4.13.0 01.11.2007 Mal/Behav-080 Sunbelt 2.2.907.0 01.12.2007 no virus found TheHacker 6.0.3.147 01.11.2007 no virus found UNA 1.83 01.12.2007 no virus found VBA32 3.11.2 01.12.2007 MalwareScope.Trojan-Proxy.Horst.1 VirusBuster 4.3.19:9 01.12.2007 Worm.Medbot.Gen!Pac11 Aditional Information File size: 38400 bytes MD5: a05841ab4e0d2ca71328801b4c349a39 SHA1: 920970b76644ae81ce5967c3a4575d85d450f0f8 packers: UPX packers: UPX packers: UPX packers: UPX |
|
13.01.2007, 14:04
| #4 |
| Administrator > Competence Manager | Backdoor_IRCBot_FP Da haben wir den Schädling, jedoch werden wir eine einfache Bereinigung nicht mehr durchführen können, da du selbst nicht mehr Besitzer deines Systems/Rechners bist! Bei Backdoorbefall ist nur noch eine Bereinigung wirksam -> Neuinstallation des Betriebssystems + zukünftige Absicherung Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.01.2007, 14:09
| #5 |
| | Backdoor_IRCBot_FP vielen Dank sunny für die schnelle hilfe. tja, damit hab ich nun nicht gerechnet (Neuinstallation). schöne grüsse |
|
| Themen zu Backdoor_IRCBot_FP |
| acrobat, activex, adobe, antivir, backdoor, bho, browser, button, explorer, firewall, guten, hijack, hijackthis-log, internet, internet explorer, java, kerio, messenger, monitor, pc tools spyware doctor, programme, spybot, system32, win, windows, windows xp |
Linear-Darstellung
