Also kurze Problemschilderung
ich bin stutzig geworden, als meine DFÜ verbindung mehr gesendet hat als empfangen!!!
ca 1MB in 3 Minuten
Ja und Norton findet aller 10 - 15 min, wenn ich im netz bin, ein TrojanischesPferd!
So nun habe ich die neueste Nortonvirendefintion und der hat nüscht gefunden. Ich ahbe auch schon das Programm runtergeladen, was den neuen W32 Beagle wurm findet - nichts!
Aber ich war zufällig im Taskmanager als sich eine Anwendung öffnete, keine Ahung wie die heißt, kurz darauf öffnete sich im Taskmanager eine "ftp.exe" und dann hat norton wieder ein Trojanisches Pferd abgewehrt!
Bitte Helft mir ich will den Schieß0 los werden! gern
auch per mail an hanskoch@dd-crew-leipzig.de
danke

Hallo,

Hole dir HijackThis und poste bitte eine Log.

danke steveman für die antwort, hier die LOG:

Logfile of HijackThis v1.98.2
Scan saved at 15:51:25, on 18.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
G:\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\SxgTkBar.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\Yahoo.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
G:\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dd-crew-leipzig.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] G:\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Yahoo Update] Yahoo.exe
O4 - HKLM\..\RunServices: [Yahoo Update] Yahoo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo Update] Yahoo.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dbf0dc...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E80C14B-5448-41D0-98C3-B4C0512F895E}: NameServer = 145.253.2.81 145.253.2.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E80C14B-5448-41D0-98C3-B4C0512F895E}: NameServer = 145.253.2.81 145.253.2.174

@ dd-crew-leipzig

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\Yahoo.exe

teile uns das Ergebnis der Überprüfung mit.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Hier das Ergebnis des Online Viren check
könnt mir auch an 273277243 (ICQ) Tips schreiben

Service load: 0% 100%

File: Yahoo.exe
Status: INFECTED/MALWARE
Packers detected: MORPHINE, UPX

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Backdoor.SDBot.Gen (1.26 seconds taken)
ClamAV No viruses found (0.33 seconds taken)
Dr.Web Win32.HLLW.MyBot.based (0.62 seconds taken)
F-Prot Antivirus No viruses found (1.46 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (2.55 seconds taken)
mks_vir No viruses found (0.56 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.61 seconds taken)
Norman Virus Control No viruses found (0.13 seconds taken)

Hallo,

siehe http://www.trojaner-board.de/showpos...8&postcount=12

Das ist das Ergebnis des eScan,
also ich denke nun es sind die dateien Yahoo.exe und crsss.exe
Bitte helft mir nun, wie ich diese 2 dateien los werde!
Einfach löschen?!

File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.

File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.

File C:\WINDOWS\system32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File F:\Eigene Dateien\Fun\gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.

File F:\Eigene Dateien\Fun\systray.zip tagged as not-a-virus:Joke.Win32.Shutdown. No Action Taken.

File F:\Eigene Dateien\Fun emials\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File F:\Eigene Dateien\Fun emials\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\1D183EDF.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\32D37D87.exe infected by "Win32.Parite.b" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\5AC550B6.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\5BF51167.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\72204427.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\72B22586.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File H:\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

Das ist das Ergebnis des eScan,
hat ziemlihc lange gedauert bei 180gb
also ich denke nun es sind die dateien Yahoo.exe und crsss.exe
Bitte helft mir nun, wie ich diese 2 dateien los werde!
Einfach löschen?!

File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.

File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.

File C:\WINDOWS\system32\crsss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File F:\Eigene Dateien\Fun\gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.

File F:\Eigene Dateien\Fun\systray.zip tagged as not-a-virus:Joke.Win32.Shutdown. No Action Taken.

File F:\Eigene Dateien\Fun emials\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File F:\Eigene Dateien\Fun emials\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\1D183EDF.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\32D37D87.exe infected by "Win32.Parite.b" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\5AC550B6.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\5BF51167.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\72204427.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Norton AntiVirus\Quarantine\72B22586.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen\Parkinsonsimulation.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File G:\Papa Festplatte\D\Torit DCE\E-Mails-Privat\DDR-Wappen.tgz infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: No Action Taken.

File H:\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

Hallo dd-crew-leipzig,

Du hast leider Cidre's Antwort entweder nicht verstanden oder nicht zur Kenntnis genommen. Unsere Hilfe endet leider an diesem Punkt:

Zitat:

File C:\WINDOWS\system32\Yahoo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Das einzige was wir Dir leider raten müssen, ist: Deine Festplatte zu formatieren - Schritt für Schritt. Dazu solltest Du dringend Cidre's Rat beachten, gründlich vorgehen, um nicht öfters formatieren und neu installieren zu müssen.

Hier noch ein bißchen Information zu diesem Wurm mit Backdoor-Charakter, der Dritten uneingeschränkten Zugriff auf Dein System ermöglicht:
Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten. Dein Rechner ist kompromittiert und nicht nur für Dich eine Gefahr sondern für alle, die mit Dir und Deinem System in Verbindung stehen. Du kannst davon ausgehen, dass alles, was auf Deinem System läuft, von Dritten ausspioniert wird, Deine Passworte bekannt sind .. usw.

Löschen des Wurms reicht nicht, da er Schlüssel in der Registry hinterläßt und Code auf dem System ablegt.

Hier noch der Rat von Lutz: Datensicherung.

Mehr können wir leider nicht für Dich tun.

SD

Siehe hier:

http://www.trojaner-board.de/showpos...28&postcount=2

also vielen dank an euch , ich werde ihn jetzt erst einmal manuell löschen und mir ne neue firewall zulegen, mal sehen

@ dd-crew-leipzig

Zitat:

Zitat von dd-crew-leipzig

also vielen dank an euch , ich werde ihn jetzt erst einmal manuell löschen und mir ne neue firewall zulegen, mal sehen

lies bitte hier nach:

10 Schritte

Du scheinst nicht zu verstehen: löschen dieses Wurms genügt nicht!

SD

Das ist der falsche Weg. Nimm Deinen Rechner schnellstens vom Netz und setz ihn neu auf.

Auf einem sauberen Rechner lies Dir
http://www.mathematik.uni-marburg.de...c-removal.html
und
http://www.mathematik.uni-marburg.de...ompromise.html
an, damit Dur verstehst, warum Deine Vorgehensweise falsch ist.

Gruß
Yopie

hi, also ich habe die Dateien gelöscht,
erneut alle programme, also hijack this und eScan durch gezogen, und es war nüscht mehr.
des weiteren habe ich mir ZoneAlarm runtergeladen und alle aktivitäten nach außen und nach innen geblockt, was soll also ncoh passieren?

[ ] Du hast verstanden.

Lies Dir noch einmal den ersten von mir geposteten Link durch.
Ach, und wo ich das mit Zonealarm sehe: den zweiten auch noch einmal.

Gruß
Yopie