Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bin ich sauber?? (https://www.trojaner-board.de/9131-sauber.html)

Andorphine 03.11.2004 01:57
Bin ich sauber??
 
Habe mich heute mit einem W32 Rbot.DB rumgeärgert :koch:
konnte nix machen ausser 3 registry einträge löschen (hab kein removal tool oder so gefunden)

AntiVir hat den wurm garnicht erst erkannt, und ich wurde nur misstraisch, weil ich unter msconfig 2 mal "systemse.exe" im systemstart hatte.
nach ner runde googlen war klar das es sich um RBot.DB handeln muss.
hab dann wie gesagt 3 registry files die von dem teil betroffen waren gelöscht, und sonst konnte ich nix machen.
würd jetzt gern wissen pob ich dat scheissteil immernoch am allerwertesten habe, oder ob ich es los bin.

hier mal mein log:

Logfile of HijackThis v1.98.2
Scan saved at 01:41:29, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Stevie\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DF0C0F4-2117-44AD-B106-6CEE45896879}: NameServer = 217.237.150.97 217.237.149.161



Wär echt super wnen ihr mir helfen könntet.
DANKE :daumenhoc

Lidius 03.11.2004 02:00
Mach mal folgendes:

Zitat:
Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Haui45 03.11.2004 02:04
Hier hast mal ein paar Infos zum Rbot. Aber mach ruhig erst den eScan.

Lidius 03.11.2004 02:09
Hier mal genaueres
http://www.sophos.de/virusinfo/analyses/w32rbotdb.html

Allerdings passt die beschreibung von sophos nicht mehr der von dir gefundenen datei zusammen, also lass ruhig mal den escan laufen

Andorphine 03.11.2004 11:46
sorry, hab mich verschrieben, war Rbot.BD!!!
hab die infos über den wurm auch von sophos.
werde jetzt aber erstmal den escan durchlaufen lassen!

Andorphine 03.11.2004 12:49
so, hab jetzt mal escan durchlaufen lassen und folgendes gefunden:

File D:\Programme\AVPersonal\INFECTED\atiphexx.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\atiphexx.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\atiphexx.VIR01 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\atiphexx.VIR02 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\kwved32.VIR infected by "Backdoor.SdBot.ma" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\kwved32.VIR00 infected by "Backdoor.SdBot.ma" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\kwved32.VIR01 infected by "Backdoor.SdBot.ma" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\kwved32.VIR02 infected by "Backdoor.SdBot.ma" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\msconfg.VIR infected by "Backdoor.SdBot.jg" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\msconfg.VIR00 infected by "Backdoor.SdBot.jg" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\msconfg.VIR01 infected by "Backdoor.SdBot.jg" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\msconfg.VIR02 infected by "Backdoor.SdBot.jg" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\systemse.VIR infected by "Backdoor.Rbot.n" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\systemse.VIR00 infected by "Backdoor.Rbot.n" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\systemse.VIR01 infected by "Backdoor.Rbot.n" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\systemse.VIR02 infected by "Backdoor.Rbot.n" Virus. Action Taken: No Action Taken.
File D:\Programme\AVPersonal\INFECTED\vpqdt.VIR infected by "Worm.Win32.Padobot.gen" Virus. Action Taken: No Action Taken.
File D:\Programme\Quake III Arena\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\SIERRA\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.


wundert mich schon, dass antivir die erkennt, aber nichts gesagt hat, oder sie gelöscht hat!

ich denk mal die letzten beiden sind kein virus?? ;)

soll ich die restlichen jetzt einfach löschen, oder gibts da sonst noch was zu beachten??

noch ne frage zu meinem hijacklog: ist das normal das msconfg.exe so oft dabei ist??

*Christian* 03.11.2004 23:12
Das vernünftigste, was du machen kannst:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Beim neuen sauberen System alle Passwörter ändern!


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55