Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   %mal formatiert aber bekomme Worm/Rbot.AAK nicht weg (https://www.trojaner-board.de/11831-mal-formatiert-bekomme-worm-rbot-aak-weg.html)

Chris14 08.01.2005 22:31
achso. ich hab gedacht dass er die festplatte ganz formatiert hat. (empfiehlt sich bei solchem ungeziefer) aber so isses natürlich klar, dasser wiederkommt btw dableibt.

cacatoa 08.01.2005 22:36
@ chris
Hab ich auch gedacht; aber irgendwas stimmt nicht. Deshalb möchte ich gern die eScan Ergebnisse abwarten, um zu sehen, was er wirklich drauf hat.
Wobei ich vermute, daß eine erneute Neuinstallation (diesmal aber richtig) nicht ausbleibt ;)

Chris14 08.01.2005 22:50
hm ja da hast du warscheinlich recht @cacatoa ;) naja warten wir mal auf die escan ergebnisse

Despi 08.01.2005 23:43
tjo da muss ich euch wohl bis morgen vertrösten.. escan is kurz vor ende abgestürzt..
wobei 17 viren erkannt wurden. allerdings wurde auch mirc.exe zb als virus erkannt was ja an sich nur nen chattool ist und nen ati treiber ebenso Oo

was bedeuten die angezeigte errors bei escan? hatte 27 :>

ich werd gleich esccan nochmal starten

Chris14 08.01.2005 23:50
errors sind normalerweise wenn er die datei nicht lesen kann (kommt vor wenn diese von windows verwendet wird). aber das escan abstürzt.. wirklich blöd.. achja mirc wird eben als tool erkannt, ist aber auch nur ein tool (stimmt in gewisser weise auch; escan erkennt nur, das es ein irc tool ist)
und bei ati genauso.
aber... moment mal! die mwav.log ist doch weiterhin gespeichert. der log wurde nur nicht weitergeschrieben! bitte poste den log btw das ergebnis wie cacatoa es sicherlich bereits beschrieben hatte. er ist wenn ich mich nicht irre nicht gelöscht.
wenn er es vergessen hat dann mach es so:
öffne die mwav.log gehe auf Bearbeiten, dann auf Suchen, gebe dann infected ein und suche schließlich weiter. die treffer postest du dann

Despi 09.01.2005 13:19
ok hier mein escan log Oo evtl komm ich ja doch um ne formatierung rum >:? im moment scheint wieder alles stabil zu laufen :>


File C:\WINDOWS\System32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR00 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR01 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR02 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
File F:\DAP\Temp\LDN89F.tmp tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\atiodtc18a.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\blabla\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\mirc616.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\GamerIrc\Gamers.IRC\backup\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.03. No Action Taken.
File F:\GamerIrc\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\mIRC\backup\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.12. No Action Taken.
File F:\mIRC\download\flashfxp.v2.0.build.905.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\System Volume Information\_restore{77703D63-E6E1-4E30-8018-08CC96EE35EA}\RP22\A0006754.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File F:\System Volume Information\_restore{77703D63-E6E1-4E30-8018-08CC96EE35EA}\RP22\A0006755.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File F:\System Volume Information\_restore{8BE96644-CCFF-4AB5-A295-1741174B07C0}\RP9\A0005215.exe tagged as not-a-virus:RiskWare.IRC.6.03. No Action Taken.

cacatoa 09.01.2005 13:38
@ despi
Aktive Backdoor-Trojs bedingen immer ein Neuaufsetzen des Systems. Halte Dich genauestens an die Hinweise in dem Link, damit nicht wieder die ganze Arbeit umsonst war.
Das hier hast Du drauf:
Einen aus der RBot-Reihe
einen aus der Forbot-Reihe.
Somit bleibt dir leider nichts anders übrig!
Melde Dich nach dem Neuaufsetzen mit einem neuen HJT-Log.
Sorry, cacatoa

Despi 09.01.2005 13:39
aber wie vermeide ich das nach dem neuaufsetzen die teile wiederkommen... was nach 4mal schon der fall war ?
ich mein ich hab formatiert windows installiert dann direkt sp1..wobei ich dafür ja schon ins inet muss
hab diw xp firewall angemacht..
hab mozilla benutzt und nix anderes gemacht als mein windows upzudaten...
und trotz ALLEM kamen die biester immerwieder :(
und im link steht ja nix anderes als die vorgehensweise die ich sowieso schon benutzt habe.

Vor mittwoch werde ich dazu allerdings nicht kommen..
schreibe dafür zuviel klausuren und Referate müssen auch abgehalten werden.
bis mittwoch :>

Despi

chaosman 09.01.2005 13:42
@Despi
hier ein paar tips zum neuaufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2
überdenke auch mal dein surfverhalten ;)
ber wie vermeide ich das nach dem neuaufsetzen die teile wiederkommen... wie ncah den letzten 4mal schon ?
chaosman

cacatoa 09.01.2005 13:44
Ganz einfach:
halte dich genauestens an die Vorgehensweise in dem Link von cidre, den ich Dir geschickt habe. Lies außerdem vorher unbedingt das: Kompromittierung vermeiden.
Neuaufsetzen heißt nicht Windows neu aufspielen, sondern format C:\ !!
cacatoa

Despi 09.01.2005 18:59
ich meld mich mittwoch wieder :/ vorher hab ich keine zeit für den kram .. klausuren udn referate stehen an

MountainKing 09.01.2005 19:03
Falls du dich tatsächlich genau an die Anweisungen gehalten hast, dürfte wohl Software, die du runtergeladen und wieder installiert hast, infiziert sein. Solange du die immer wieder neu mit installierst, nützt das Neuaufsetzen natürlich gar nichts.

Despi 17.01.2005 22:30
soooo ich meld mich zurück
hier meien aktuelle hijack-log:

Logfile of HijackThis v1.99.0
Scan saved at 22:24:27, on 17.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\AVPersonal\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\rundlI32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunServices: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunOnce: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows TM] rundlI32.exe
O4 - HKCU\..\RunOnce: [Windows TM] rundlI32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105994690995
O17 - HKLM\System\CCS\Services\Tcpip\..\{501E145A-8463-4C83-91F9-4D1231DA3909}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE

hatte trotz allem nun aber schon wiede Probleme, und zwar nt autoriitätssystem blabla system wird runtergefahren blub.
ich hoffe man sieht des im hijack, escan lass ich auch noch drüberlaufen

mfg

Despi

Despi 18.01.2005 22:24
pls kann mir das irgendwer auswerten :(?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\host32.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
F:\HLSW\hlsw.exe
F:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwalert...Security+Suite (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\RunServices: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [Sygate Personal Firewall] host32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106079539859
O17 - HKLM\System\CCS\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe <- verdächtig oder?
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Haui45 18.01.2005 22:28
Zitat:
pls kann mir das irgendwer auswerten
Setz dein System neu auf und halte dich genau an diese Anleitung!


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:20 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131