Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sophos findet W32/Rbot-BD nicht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2008, 12:10   #1
Justus
 
Sophos findet W32/Rbot-BD nicht - Standard

Sophos findet W32/Rbot-BD nicht



Hallo allerseits,

Also wie gesagt:

Hijackthis findet den Wurm W32/Rbot-BD - Sophos aber nicht. Hab im abgesicherten Modus gescannt.

hab offen gesagt (wg. technischer Unzulänglichkeiten meinerseits) etwas Angst davor den Wurm mit HijackThis zu fixen.

Aber der Sophos kennt das Ding http://www.sophos.de/security/analyses/w32rbotbd.html
warum kann er es nicht finden? Muss noch etwas sagen: Es ist theoretisch denkbar, dass mir jemand den Wurm direkt auf meinen Computer geschoben hat, kann das der Grund sein, warum Sophos ihn nicht findet. Kann man mit diesem Wurm meinen Computer kontrollieren? Neulich ist nämlich mein Mailaccount geknackt worden. http://www.mailhilfe.de/frage28534.html#pid97119

Also HIIIIILFEEE

Vielen Dank!!

Alt 14.02.2008, 12:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sophos findet W32/Rbot-BD nicht - Icon31

Sophos findet W32/Rbot-BD nicht



Und wo soll der rbot angeblich bei dir schlummern?
Poste das komplette logfile doch mal bitte.
__________________

__________________

Alt 14.02.2008, 14:47   #3
Justus
 
Sophos findet W32/Rbot-BD nicht - Standard

Sophos findet W32/Rbot-BD nicht



Logfile of HijackThis v1.99.1
Scan saved at 14:42:14, on 2008.02.14.
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Realtek\Rtl8180\RtlWake.exe
c:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\SZILGY~1\LOCALS~1\Temp\Átmeneti könyvtár (4) - hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] systemse.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: &Search - ?p=ZUxdm082YYDE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&xportálás a Microsoft Excel programba - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos Plc - c:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

Merci - fürs Anschauen
__________________

Alt 14.02.2008, 15:44   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sophos findet W32/Rbot-BD nicht - Icon32

Sophos findet W32/Rbot-BD nicht



In der Tat hier isser:

O4 - HKCU\..\Run: [Microsoft Update Machine] systemse.exe

Gut möglich, daß die Datei schon gelöscht wurde. Das macht die Infektion aber nicht rückgängig.
Auch Sophos bescheinigt die rbot-Infektion, da der rbot wie ein rootkit arbeitet kann man dir nur empfehlen das System neu aufzusetzen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.02.2008, 15:49   #5
Justus
 
Sophos findet W32/Rbot-BD nicht - Standard

Sophos findet W32/Rbot-BD nicht



so schlau war ich auch. aber sophos schlägt nicht an?

Neu aufsetzen ist natürlich immer eine feine Sache. Aber gibts nicht eine Softmethode.

1. Wie wärs wenn ich die systemse.exe einfach aus dem Autostart entferne. Da ist sie nämlich drin. Ist das gefährlich??
2. Was ist denn mit der Datei "microsoft update machine". Sollte man die löschen.

ich dachte es gibt diese ganze schädlingsbekämpfungszeug, dass man nicht gleich neu aufsetzen muss


Alt 14.02.2008, 15:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sophos findet W32/Rbot-BD nicht - Icon32

Sophos findet W32/Rbot-BD nicht



Zitat:
Neu aufsetzen ist natürlich immer eine feine Sache. Aber gibts nicht eine Softmethode.
Soso und warum geht das bei dir nicht?

Zitat:
ich dachte es gibt diese ganze schädlingsbekämpfungszeug, dass man nicht gleich neu aufsetzen muss
Lies einfach den Artikel neu aufsetzen hier im Anleitungsbereich dann weißt du mehr und ichmuß nicht immer wieder den gleichen Mist schreiben.
__________________
--> Sophos findet W32/Rbot-BD nicht

Antwort

Themen zu Sophos findet W32/Rbot-BD nicht
abgesicherte, abgesicherten, abgesicherten modus, angst, compu, computer, direkt, geknackt, grund, kontrollieren, mailaccount, modus, neulich, offen, sophos, warum, wurm




Ähnliche Themen: Sophos findet W32/Rbot-BD nicht


  1. Sophos findet mookie1.com - Infektion auf allen Webseiten
    Plagegeister aller Art und deren Bekämpfung - 16.06.2015 (6)
  2. .dll-Datei von Sophos als Hacking Tool eingestuft, lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 06.11.2014 (11)
  3. Sophos Autoupdate (Via VPN)
    Antiviren-, Firewall- und andere Schutzprogramme - 10.09.2014 (1)
  4. AVG findet 32 Rootkits,kann sie aber nicht eliminieren ,Malwarebytes findet nichts
    Plagegeister aller Art und deren Bekämpfung - 16.10.2013 (5)
  5. ClamAV findet als einziger Scanner Win.Trojan.Rbot-1339 in authfwcfg.dll (Fehlalarm?)
    Plagegeister aller Art und deren Bekämpfung - 11.08.2013 (3)
  6. Alle Festplatten bis auf C: auch in Verwaltung versteckt, Sophos nicht mehr installierbar, Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 07.01.2012 (20)
  7. Sophos Anti-Virus Dienst nicht startbar
    Log-Analyse und Auswertung - 16.11.2011 (1)
  8. to SOPHOS or not to SOPHOS
    Antiviren-, Firewall- und andere Schutzprogramme - 01.07.2009 (2)
  9. Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw
    Plagegeister aller Art und deren Bekämpfung - 03.12.2007 (6)
  10. Habe fettes Problem!!!Kriege den WORM/Rbot.175104.4 nicht weg!!!Bitte um Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 17.03.2006 (13)
  11. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  12. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  13. worm rbot.zm oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2005 (8)
  14. %mal formatiert aber bekomme Worm/Rbot.AAK nicht weg
    Log-Analyse und Auswertung - 20.01.2005 (39)
  15. Sophos Antivirus
    Antiviren-, Firewall- und andere Schutzprogramme - 12.01.2005 (2)
  16. Sophos Antivirus
    Plagegeister aller Art und deren Bekämpfung - 12.11.2004 (3)
  17. Rbot.hi krieg ich nicht weg !!
    Plagegeister aller Art und deren Bekämpfung - 19.09.2004 (7)

Zum Thema Sophos findet W32/Rbot-BD nicht - Hallo allerseits, Also wie gesagt: Hijackthis findet den Wurm W32/Rbot-BD - Sophos aber nicht. Hab im abgesicherten Modus gescannt. hab offen gesagt (wg. technischer Unzulänglichkeiten meinerseits) etwas Angst davor den - Sophos findet W32/Rbot-BD nicht...
Archiv
Du betrachtest: Sophos findet W32/Rbot-BD nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.