Traffic [upl und dwld] ohne mein zutun! Hilfe

yanni · 10.08.2004, 13:37

Ich hab ständig traffic (also nich son paar bytes die stunde, sondern volle kanne), obwohl ich nichts mache, also bloß eingewählt sein.

Kann das irgendein fieses backdoor programm sein?

wie kann ich das raus finden?

"Antivir" hat schon einige male würmer gelöscht...und der trend micro's "house call" ebenfalls...aber das traffic problem bleibt...

hab auch neustes windows update gemachr (win xp)

MountainKing · 10.08.2004, 14:08

Befolge zunächst das:

http://www.trojaner-board.de/42731-escan-anleitung.html

dann besorge dir HijackThis und poste ein Log:

http://www.trojaner-board.de/51130-a...ijackthis.html

yanni · 11.08.2004, 12:46

So escan hat folgendes gemacht:

File C:\WINDOWS\system32\serm32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\muamgrd.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\winamp.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\yffoxw.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\zbbzoj.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029830.exe infected by "Backdoor.Rbot.d" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029949.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029950.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029951.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029952.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029953.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File G:\gameadd\csstuff\classicmaps.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\gameadd\csstuff\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File L:\fxpluginfürflasMX2004.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File L:\musthave\done\SetupSwish200DEU.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File L:\musthave\done\SetupSwishmax.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File L:\nexprogy\lightwave\LightWave 7.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File L:\SetupSwishpix.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File M:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029832.exe infected by "Win32.Parite.b" Virus. Action Taken: File Disinfected.
File M:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029832.exe infected by "not-virus:Joke.Win32.JepRuss" Virus. Action Taken: File Renamed.
File M:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029841.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken.
File M:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029849.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File M:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029868.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File M:\System Volume Information\_restore{A73D9828-F38A-4983-995C-BA1C06B026F8}\RP65\A0029870.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

1. Was kann ich tun damit dieser "Backdoor.Rbot.gen" nicht wieder kommt/ist er überhaupt weg jetzt?
2. Ich hab die windows updates installiert, während ich ihn hatte, kann das ein Problem sein?

Danke

und hier noch die log file von hijackThis:

http://www.trojaner-board.de/showthread.php?t=6792

11.08.2004, 13:15

Bitte bleibe doch das nächste mal in einem Thread.

Du hattest einen aktiven Backdoor auf deinen PC.
Theoretisch könnte dein PC schon längst in fremder Hand gewesen sein und dieser konnte machen was er wollte.

Ich empfehle dir eine Neuinstallation. Auf dem sauberen neuen System dann bitte alle Passwörter ändern.

yanni · 13.08.2004, 10:59

Wenn das Backdoor Program weg ist, müsste die Sache doch gegessen sein...?
Der Traffic hat auch aufgehört...

Und @ Passwörter: Bei Windows wäre das blos das anmelde-passwort...auch alle passwörter von irgendwelchen websites?

Kann mir auch jemand erklären, wie man sich sowas einfängt? Ich mein ich bin bloß durchs internet gesurft...nix installiert oder runtergeladen.

Danke

Rene-gad · 13.08.2004, 11:21

Zitat:

Wenn das Backdoor Program weg ist, müsste die Sache doch gegessen sein...?

Nein. Lese hier : http://faq.underflow.de/#SECTION000120000000000000000

Zitat:

Kann mir auch jemand erklären, wie man sich sowas einfängt? Ich mein ich bin bloß durchs internet gesurft...nix installiert oder runtergeladen.

Wenn dein System ohne Updates, ohne AV-Program, mit vielen überflüßigen Diensten am Netz hängt...
http://faq.underflow.de

yanni · 17.08.2004, 13:36

ok, aber kann man nicht veränderte windows-dateien finden und ersetzen, ohne eine komplette neuinstallation?

11.08.2004, 13:15	#4
Christian Gast	Traffic [upl und dwld] ohne mein zutun! Hilfe Bitte bleibe doch das nächste mal in einem Thread. Du hattest einen aktiven Backdoor auf deinen PC. Theoretisch könnte dein PC schon längst in fremder Hand gewesen sein und dieser konnte machen was er wollte. Ich empfehle dir eine Neuinstallation. Auf dem sauberen neuen System dann bitte alle Passwörter ändern.

Traffic [upl und dwld] ohne mein zutun! Hilfe

Plagegeister aller Art und deren Bekämpfung: Traffic [upl und dwld] ohne mein zutun! Hilfe