Trojaner-Board - backdoor.rbot.gen und rechte

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - backdoor.rbot.gen und rechte (https://www.trojaner-board.de/7630-backdoor-rbot-gen-rechte.html)

backdoor.rbot.gen und rechte

hi leute

hab wohl den backdoor.rbot.gen drauf laut stinger .

melde ich mich als admin an hab ich 60 sek dann geht er down

wie krieg ich als user kurzfristig adminrecht um was zu installieren?

hier mein hijack:
Logfile of HijackThis v1.98.2
Scan saved at 22:48:29, on 17.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\winnt\system32\winmik32.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\wupda32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\user\Desktop\stinger.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijacker\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redi...=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINNT\EliteBar\EliteBar version 46.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINNT\EliteBar\EliteBar version 46.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [win update] wupda32.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system\rundll33.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [nZT] C:\dokumente und einstellungen\administrator\lokale einstellungen\temp\nZT.exe
O4 - HKLM\..\Run: [SysA] C:\winnt\system32\winmik32.exe
O4 - HKLM\..\RunServices: [win update] wupda32.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [win update] wupda32.exe
O9 - Extra button: Corel Network monitor worker - {147FABDB-AEB6-4936-A690-A905519808C7} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {147FABDB-AEB6-4936-A690-A905519808C7} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe....all/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCAC3CC-678F-489A-958D-AAACBD805B17}: NameServer = 217.237.151.33 217.237.149.225

wie geh ich am besten vor ?

mfg falke

danke fuer die antwort

wenn ich die definition einigermaßen verstanden habe ist das nicht nur ein sonstwas sondern da kann jemand richtig zugriff nehmen ?
(muuss noch english lernen)

würd gern auf andere weise das ding besiegen gibts da was ?

kannst du mir vielleicht sagen wie ich als user kurzfristig admin rechte erlange
oder sonstwie ein programm installieren kann?

wie gesagt wenn ich mich als admin anmelde hab ich 1 min dann geht er down ist das auch der backdoor.rbot.gen ?

mfg

falke

Zitat:

sondern da kann jemand richtig zugriff nehmen ?

Richtig!
Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Zitat:

würd gern auf andere weise das ding besiegen gibts da was ?

Warum?
Selbst wenn ein AV Scanner dein System als clean meldet, kann dir keiner garantieren, ob es auch wirklich so ist.
Du kannst es mit eScan versuchen, ich würde von dieser Art der Bereinigung abraten, es dient aber nur zur weiteren Erkennung von Malware!
btw: Solange dein System nicht ausreichend gepatcht ist und weiterhin eklatante Sicherheitslücken aufweist, bringt es sowie nichts!

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach die Virus Log Information des eScan.

Zitat:

kannst du mir vielleicht sagen wie ich als user kurzfristig admin rechte erlange
oder sonstwie ein programm installieren kann?

Anmelden im abgesicherten Modus.

Zitat:

wie gesagt wenn ich mich als admin anmelde hab ich 1 min dann geht er down ist das auch der backdoor.rbot.gen ?

Meinst du eigentlich als Admin oder ein Benutzerkonto mit administrativen Rechten?
Der Absturz erfolgt aber nur mit einer aktiven I-net Verbindung, oder?

Überprüfe diese Datei C:\winnt\system32\winmik32.exe bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.

Zu überprüfende Datei: winmik32.exe

winmik32.exe - packed with FSG
winmik32.exe Infiziert: Trojan.Win32.StartPage.nk

Statistiken:
Bekannte Viren: 99288 Updated: 18-09-2004
Größe der Datei (Kb): 12 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0

em escan am start aber wenn ich scanne meldet er mir 28 telie dann versacht er einen fehler hab ihn jetzt gelöscht und werd ihn nochmal saugen .

wenn ich das richtig verstanden habe

Action Taken: beim reboot macht der sich einfach ein neuen namen .
dass macht der rbot.gen

werd wohl morgen neu installieren und mir ne image machen .

trotzdem bin ich irgendwie so gepolt das ich die dinger voll besiegen will ohne plattmachen aber das dauert wohl noch ne weile.

mfg falke

da fehlt noch was

richtig als admin war ne weile mein einziges konto

ne ne also onhe verbindung paar sekunden nach dem boot mit ansage der zähl richtig runter 60 sekunden werd dir gleich schreiben was da so ungefär steht.

mfg falke

also nach neuem download und c:/bases install mit update stürtz er wieder bei der 1997 datei ab
mwavscan.exe hat fehler verursacht
Fehlerprotokoll wird erstellt

wo finde ich eigentlich dieses Protokoll
hab schonmal gesucht nie was gefunden !

wenn ich mich als admin anmelde

ersm svchost.exe hat fehler verursacht

dann fenster
also da steht
nt-Autorität/system hat den down wohl veranlasst und zwas weil

services.exe von statuscode 128 oder wegen beendet wurde unerwarteter weise!

mfg falke

Zitat:

nt-Autorität/system hat den down wohl veranlasst und zwas weil
services.exe von statuscode 128 oder wegen beendet wurde unerwarteter weise!

Unter Start -> Ausführen -> shutdown -a eingeben und bestätigen.
Das stoppt den Countdown.

Zitat:

wo finde ich eigentlich dieses Protokoll

Start -> Ausführen -> eventvwr.msc eingeben und bestätigen. Dort findest du die Protokolle unter Anwendung.

der shutdown -a geht nicht bestimmt kein resource kit drauf hab wo kann ich das bekommen ?

mfg falke