|
Log-Analyse und Auswertung: „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.10.2004, 21:14 | #1 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ hallo! nachdem AVK bei mir „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ gefunden hat und nicht desinfizieren konnte, habe ich es mit escan wie empfohlen versucht. Das Ergebnis war folgendes: „Sassdor“ wurde gefunden sowie zwei weitere von ihm infizierte Dateien. Diese wurden umbenannt (trotzdem hat AVK danach erneut eine sassdor-infizierte Datei gemeldet). „Backdoor“ wurde nicht gefunden, auch sonst konnte ich im Internet nichts darüber finden. Die automatische Auswertung mit HighjackThis hat mich auch nicht weiter gebracht. Kann mir jemand weiterhelfen? Logfile of HijackThis v1.98.2 Scan saved at 21:25:38, on 19.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\Mozilla1.6\Mozilla.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\internet\Eigene Dateien\Eigene Downloads\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.6\Mozilla.exe" -turbo O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de |
19.10.2004, 21:37 | #2 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ Hallo, zazou,
__________________würde mal folgendes tun: Systemwiederherstellung deaktivieren... dann im abgesicherten Modus starten und erneut mit dem Scanner versuchen den Virus zu entfernen. Geht immer wieder mal. cacatoa
__________________ |
19.10.2004, 21:43 | #3 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ hi
__________________wo wurde den die schadsoftware gefunden ? in den temp. ordnern? oder im restor-archiv? ansonsten ist dein logfile sauber diese datei C:\Programme\Classic PhoneTools\CapFax.EXE solltest du keine verbindung dazu herstellen können, mit Kaspersky onlinscan überprüfen
__________________ |
19.10.2004, 21:48 | #4 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ danke erstmal für eure infos, ich probiere es nochmal mit systemwiederherstellung deaktivieren! |
19.10.2004, 21:59 | #5 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ Hallo nochmal, beide Viren befinden sich in C:/windows/system32, weitere infizierte Dateien in C:/System Volume Information/_restore... |
20.10.2004, 06:08 | #6 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ @ zazou Backdoor.BotGet.FtpB.Gen Lade den eScan (Anleitung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen" Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. SD |
20.10.2004, 08:55 | #7 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ @ shadowdance danke für die info zu "backdoor..."!!! - werde sie gleich eingehender studieren. hier nochmal das ergebnis von escan. Mon Oct 18 21:21:28 2004 => File C:\WINDOWS\system32\lsass32.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed. Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP22\A0010964.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed. Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP24\A0011147.exe infected by "Exploit.Win32.Sassdor.f" Virus. Action Taken: File Renamed. Mon Oct 18 22:27:24 2004 => Total Number of Disinfected Files: 0 cacatoa hatte mir geraten, den escan nochmal mit deaktivierter systemherstellung zu versuchen. Habe mich aber noch nicht getraut, da damit alle Wiederherstellungspunkte gelöscht werden. zazou |
20.10.2004, 09:27 | #8 | |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ @ zazou wenn Du den "Backdoor.BotGet.FtpB.Gen" auf dem System hast, muss Dein System als kompromittiert angesehen werden: 'Usually, if such a file is found on a computer in a LAN, it is very possible that other systems may have been compromised as well." --> Ansteckungsgefahr bei Computern in einer LAN-Verbindung. Das hat dann dies zur Folge: formatieren+neuaufsetzen Zitat:
SD |
20.10.2004, 09:39 | #9 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ @ shadowdance ...sowas hatte ich befürchtet... Ich habe es mit dem eingeschränkten benutzerkonto nicht so genau genommen und das hat offenbar schon gereicht... die ergebnisse vom escan stehen in meiner letzten antwort - braucht ihr mehr infos? "Backdoor..." hat escan im Gegensatz zu AVK nicht gefunden. zazou |
20.10.2004, 09:50 | #10 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ @ zazou, überprüfe die betroffene Datei bei verschiedenen Online-Scannern: Auswahl und wenn das auch nichts ergibt, sende Die Datei passwortgeschützt an diese beiden Mailadressen: partytime-germany.ice@web.de - detections@spybot.info mit Hinweis auf diesen Thread und der Info unter Betreff, dass es sich um den "Backdoor.BotGet.FtpB.Gen" handeln könnte. SD |
20.10.2004, 09:59 | #11 |
| „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ @ shadowdance das werde ich versuchen - danke dir erstmal für deine hilfe!!! zazou |
Themen zu „Exploit.Win32.Sassdor.f“ und „Backdoor.BotGet.FtpB.Gen“ |
.inf, adobe, auswertung, bho, button, desinfizieren, dll, einstellungen, escan, explorer, file missing, g data, highjackthis, hijack, hijackthis, infizierte, internet, internet explorer, launch, messenger, microsoft, mozilla, nicht gefunden, programme, rundll, rundll32.exe, software, system, system32, windows, windows messenger, windows xp |