| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Worm/Rbot.KTWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.09.2004, 00:54
| #1 |
| |  Worm/Rbot.KT hallo ihr das habe ich heut gefunden was für viecherle ist das ????Worm/Rbot.KT loc dat C:\System Volume Information\_restore{D80967B8-E480-46AE-AE5C-E5E075DFC0E8}\RP81 A0007295.exe [FUND!] Enthält Signatur des Wurmes Worm/Rbot.KT WURDE GELÖSCHT! vielen dank schon mal im vorraus mfg sciri |
|
05.09.2004, 01:29
| #2 |
   |  Worm/Rbot.KT Offenbar ein neuer Sproß dieser Familie:
__________________http://www.sophos.de/virusinfo/analyses/w32rbotx.html Das sind sehr gefährliche Backdoors, wenn der bei dir aktiv war/ist, solltest du dich schon mal gedanklich auf eine Neuinstallation vorbereiten. Mit welchem Virenscanner wurde das denn gefunden? Befolge mal dies: http://www.trojaner-board.de/42731-escan-anleitung.html teile uns die Ergebnisse mit und poste ein Log von HJT: http://www.trojaner-board.de/51130-a...ijackthis.html |
|
05.09.2004, 01:34
| #3 |
| | Worm/Rbot.KT Hallo scirocco,
__________________das Viecherl ist zwar bekannt, aber es zu finden ist nicht ganz einfach. Man findet ihn in der Liste unter "NOD32 - v.1.837 (10.08.2004)". Er gehört zur Familie W32/Rbot-.., einigen Aufschluss bietet das Sophos Virenlexikon. Es scheint sich bei diesem Viecherl um einen Wurm mit Backdoor-Eigenschaften zu handeln. @ scirocco, poste bitte ein logfile entsprechend dieser Anleitung http://www.trojaner-board.de/51130-a...ijackthis.html SD [edit]  @ MountainKing ... warst mal wieder schneller. |
|
06.09.2004, 00:12
| #4 |
| | Worm/Rbot.KT so jetzt das log puhhh hab es geschaft sfg Logfile of HijackThis v1.98.2 Scan saved at 01:11:30, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\Smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\AIM95\aim.exe C:\Programme\SETI@home\SETI@home.exe C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\mysql\bin\mysqld-nt.exe E:\chat\bandy\Bandy-Script\Bandy-Script.exe C:\Programme\Winamp\winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\Manu\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Manu\LOKALE~1\Temp\kavss.exe E:\douns2\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scirocco4u.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E80EC516-957B-4018-B2D3-4C2AFD7E5080}: NameServer = 192.168.2.1 und das vicherle wurde von av gefunden danke im voraus mfg sciri |
|
06.09.2004, 03:30
| #5 |
| | Worm/Rbot.KT Hallo scirocco, es gibt bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit Deines Betriebssystems. Besuche bitte www.windowsupdate.com um Dir das neuste Service Pack herunterzuladen. Hast Du den Tip von MountainKing bereits befolgt und den eScan - laut Anweisung - auf Deinem Rechner durchgeführt? Wie lautet das Ergebnis? Wieviele Viren, welchen Namens, wurden gefunden bzw. umbenannt? Fixe bitte im abgesicherten Modus mit Hijack This: O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe bitte fixen, wenn Du die Seiten nicht kennst: O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab bitte scannen mit dem online-scan von Kaspersky E:\chat\bandy\Bandy-Script\Bandy-Script.exe Ergebnis? Poste bitte ein neues logfile. SD Geändert von Shadowdance (06.09.2004 um 05:33 Uhr) |
|
| Themen zu Worm/Rbot.KT |
| enthält, formation, gefunde, information, restore, signatur, system, system volume information, volume, _restore |
Linear-Darstellung
