|
Backdoor_IRCBot_FP guten tag spyware doctor zeigt einen backdoor_ircbot_fp eintrag an. ad-aware und spybot melden nichts. jetzt bin ich unsicher was nun tasächlich los ist. betriebssystem ist win xp-professional sp2. vielleicht kann mir jemand dabei helfen. vielen dank im vorraus. hier das hijackthis-log: Logfile of HijackThis v1.99.1 Scan saved at 12:10:00, on 13.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\hin-und-her\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe |
Hallo. Wo wird denn der oben genannte Schädling gefunden, genaue Dateiangabe ist hier von Vorteil! (sollte im letzten Report vom AV-Scanner stehen.) Aus deinem Hijacklog könnte folgender Eintrag mit dem IRC.Bot in Verbindung stehen: Zitat:
Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Gruß Sunny |
Zitat:
virustotal hatte folgendes ergebniss: Antivirus Version Update Result AntiVir 7.3.0.21 01.09.2007 TR/Proxy.Horst.Gen Authentium 4.93.8 01.12.2007 W32/Methodbod.gen2 Avast 4.7.936.0 01.12.2007 no virus found AVG 386 01.12.2007 Proxy.25.AY BitDefender 7.2 01.13.2007 DeepScan:Generic.Horst.6E908659 CAT-QuickHeal 9.00 01.12.2007 Trojan.Horst.pp ClamAV devel-20060426 01.13.2007 Trojan.Medbot-98 DrWeb 4.33 01.13.2007 no virus found eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm eTrust-InoculateIT 23.73.113 01.13.2007 no virus found eTrust-Vet 30.3.3324 01.12.2007 Win32/Boxed!generic Ewido 4.0 01.12.2007 no virus found Fortinet 2.82.0.0 01.13.2007 no virus found F-Prot 3.16f 01.12.2007 W32/Methodbod.gen2 F-Prot4 4.2.1.29 01.12.2007 W32/Methodbod.gen2 Ikarus T3.1.0.27 01.09.2007 Trojan-Proxy.Win32.Horst.py Kaspersky 4.0.2.24 01.13.2007 Trojan-Proxy.Win32.Horst.pp McAfee 4938 01.12.2007 BackDoor-CMQ.gen Microsoft 1.1904 01.13.2007 no virus found NOD32v2 1976 01.13.2007 probably a variant of Win32/Medbot.DC Norman 5.80.02 01.12.2007 W32/Horst.gen14 Panda 9.0.0.4 01.13.2007 Suspicious file Prevx1 V2 01.13.2007 no virus found Sophos 4.13.0 01.11.2007 Mal/Behav-080 Sunbelt 2.2.907.0 01.12.2007 no virus found TheHacker 6.0.3.147 01.11.2007 no virus found UNA 1.83 01.12.2007 no virus found VBA32 3.11.2 01.12.2007 MalwareScope.Trojan-Proxy.Horst.1 VirusBuster 4.3.19:9 01.12.2007 Worm.Medbot.Gen!Pac11 Aditional Information File size: 38400 bytes MD5: a05841ab4e0d2ca71328801b4c349a39 SHA1: 920970b76644ae81ce5967c3a4575d85d450f0f8 packers: UPX packers: UPX packers: UPX packers: UPX |
Da haben wir den Schädling, jedoch werden wir eine einfache Bereinigung nicht mehr durchführen können, da du selbst nicht mehr Besitzer deines Systems/Rechners bist! Bei Backdoorbefall ist nur noch eine Bereinigung wirksam -> Neuinstallation des Betriebssystems + zukünftige Absicherung Gruß Sunny |
vielen Dank sunny für die schnelle hilfe. tja, damit hab ich nun nicht gerechnet (Neuinstallation). schöne grüsse |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board