W32/Rbot-IQ

beteigeuze · 29.09.2004, 15:01

hallo,

so, hier die logs:

zuerst noch einmal die zwei alten (zuerst offline, dann online):
dieser offline:
Logfile of HijackThis v1.98.2
Scan saved at 22:21:38, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
F:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\sys32snd.exe
F:\WINDOWS\System32\sstray.exe
F:\WINDOWS\System32\RUNDLL32.EXE
D:\AVPersonal\AVGNT.EXE
F:\Programme\Real\RealPlayer\realplay.exe
F:\Programme\SlySoft\CloneCD\CloneCDTray.exe
F:\WINDOWS\System32\rundll32.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Real\RealJukebox\tsystray.exe
F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE

... und dieser online (beim herunterladen eines patches von microsoft):
Logfile of HijackThis v1.98.2
Scan saved at 23:13:25, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
F:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\sys32snd.exe
F:\WINDOWS\System32\sstray.exe
F:\WINDOWS\System32\RUNDLL32.EXE
D:\AVPersonal\AVGNT.EXE
F:\Programme\SlySoft\CloneCD\CloneCDTray.exe
F:\WINDOWS\System32\rundll32.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Real\RealJukebox\tsystray.exe
F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\WINDOWS\system32\cmd.exe
F:\WINDOWS\System32\recall.exe
F:\Programme\Cd Kopieren\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - F:\WINDOWS\System32\COMET.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] F:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\Run: [netservices] recall.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunServices: [netservices] recall.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunOnce: [netservices] recall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RealJukeboxSystray] F:\Programme\Real\RealJukebox\tsystray.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECB30A07-E6E8-4C2B-AED0-722AE61896C2}: NameServer = 145.253.2.81 145.253.2.203

meine vermuteten infizierte dateien sind die recall.exe und die sys32snd.exe
diese tauchen aber auf den neuesten nicht mehr auf ... ????

die neuesten hjt logs hänge ich dir als anhänge an:
hijackthis3009off ist der offlinelog vom infizierten bs
hijackthis3009on ist der onlinelog vom infizierten bs
hijackthis3009offclean ist der offlinelog vom "sauberen" bs
hijackthis3009onclean ist der onlinelog vom "sauberen" bs

jetzt ist von den recall.exe und sys32snd.exe nichts mehr zu sehen.
es kommen auch keine virusmeldungen mehr...???
weder von escan noch antivir !!!
escan und antivir haben aber auch immer wieder sachen entfernt.

escan bringt noch folgende error meldungen:
1.hklm\system\currentcontrolset\services
ERROR!!! scanfile fails...
2.file c:\system volume information\*.*
ERROR!!! findfirstfile for c:\system volume information\*.* failed: reason is zugriff verweigert
3.file d:\system volume information\*.*
ERROR!!! findfirstfile for d:\system volume information\*.* failed: reason is zugriff verweigert
4.file f:\system volume information\*.*
ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert
5.file f:\system volume information\*.*
ERROR!!! findfirstfile for f:\system volume information\*.* failed: reason is zugriff verweigert

...sowie 'ne menge "having size restriction"-meldungen

seltsam ist nur, das diese meldung nicht für die partition e:\ auftaucht ....???

ich weiss, das ist 'ne menge zu lesen, aber ich weiss nicht, was wichtig ist für eine richtige beurteilung ....

schon mal im voraus einen allerbesten dank !!!!!!!!

lg,
guido

W32/Rbot-IQ

Plagegeister aller Art und deren Bekämpfung: W32/Rbot-IQ

W32/Rbot-IQ

Ähnliche Themen: W32/Rbot-IQ