Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   RBot & TR/Dldr.IstBar.A (https://www.trojaner-board.de/16054-rbot-tr-dldr-istbar-a.html)

slyght 30.03.2005 13:07
RBot & TR/Dldr.IstBar.A
 
Hi allerseits

Hab auf dem Rechner meiner Eltern den Wurm RBot und den Trojaner TR/Dldr.IstBar.A sowie den HTML-Scriptvirus HTML/Exploit.Mhtml gefunden. Bin leider erst jetzt dazu gekommen SP2 und entsprechende Updates zu installieren. Hab mit AntiVir im abgesicherten Modus versucht diese zu löschen aber zumindest der Trojaner taucht beim Surfen im Internet immer wieder auf.
Nachdem ich hier ein wenig im Forum gelesen habe, hab ich mich an Hijack This probiert und zwei verdächtige Dateien gelöscht, die im Zusammenhang mit dem Trojaner schon mal aufgetaucht sind.

Wollte jetzt fragen, ob das nun reicht oder ob ich das System wirklich neu Aufsetzen muss. Ich poste mal das letzte aktuelle HiJackThis Log - falls euch dort nichts mehr auffällt sollte das System doch bereinigt sein, oder?

Code:
Logfile of HijackThis v1.99.1
Scan saved at 1:53:05 PM, on 3/30/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112118103076
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3631EF-BB53-49C9-BE95-1B405312C073}: NameServer = 62.53.167.19 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Mistrauische Grüße,

slyght

Gigamail 30.03.2005 13:49
Hi,

lade als erstes den eScan und update wie unten beschrieben, aber noch nicht scannen!!
--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe

suche auf dem Rechner nach den Dateien (Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK")und wenn vorhanden löschen

Scanne jetzt Dein System mit eScan
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

slyght 30.03.2005 17:36
Danke für die Hinweise!

Hab sie befolgt und das Log von escan spuckte folgendes aus:

Code:
Wed Mar 30 17:04:11 2005 => Scanning HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wed Mar 30 17:04:11 2005 => Scanning File C:\WINDOWS\System32\CTFMON.EXE
Wed Mar 30 17:04:11 2005 => Scanning File C:\WINDOWS\system32\winhost.exe
Wed Mar 30 17:04:17 2005 => File C:\WINDOWS\system32\winhost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wed Mar 30 17:14:42 2005 => Scanning File C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\Spiele\DX Ball\dxball19.exe
Wed Mar 30 17:14:43 2005 => File C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\Spiele\DX Ball\dxball19.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Daraufhin habe ich die Datei C:\WINDOWS\system32\winhost.exe gelöscht. (Allerdings nicht im abgesicherten Modus, da ich sie dort nicht gesehen habe.) Habe vorher geschaut, ob sie im Taskmanager unter Prozesse zu finden ist, aber dem war nicht so. Bin mir nicht sicher, ob die Datei nicht vielleicht doch noch vorher ausgeführt wurde...

Die zweite Meldung kann man ignorieren oder? Das ist nur ein altes Freeware Spiel.

HiJackThis bringt nun folgendes Log:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 6:25:44 PM, on 3/30/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Dokumente und Einstellungen\Thilo\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112118103076
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Sind dort immer noch verdächtige Dateien?

Meine Eingangsfrage kann man auch mit dem Wissen, um welche Malware es sich gehandelt hat, pauschal nicht beantworten, oder?


Fragende Grüße,

slyght

Haui45 30.03.2005 17:42
Zitat:
Wed Mar 30 17:04:17 2005 => File C:\WINDOWS\system32\winhost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung absichern".


Infos zum RBot.gen:
http://www.sophos.de/virusinfo/analyses/w32rbotot.html
Zitat:
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Verändert Kennwörter
# Speichert Tastenfolgen


http://www.antiviruslab.com/descript...176952&lang=de
Zitat:
Backdoor Eigenschaften
Durch bestimmte Keywords können folgende Aktionen ausgelöst werden:


* Das infizierte System zum HTTP oder SOCKS4 Proxy-Server umkonfigurieren
* DNS Einträge löschen
* IP/Hostnames als DNS Einträge auflösen
* Ports umleiten
* Den IRC-Server wechseln
* Verbindungen zu einem IRC Server aufbauen
* Verbindungen zu einem IRC Server beenden
* einem IRC Kanal beitreten
* einen IRC Kanal verlassen
* in IRC den Modus wechseln
* eine Nachricht zu einem IRC Server schicken
* eine Nachricht zu einem privaten Nutzer schicken
* Netzwerkfreigaben deaktivieren
* Systeminformationen anzeigen (CPU Geschwindigkeit, Größe des Speichers, ID für Betriebssystem und Hardware, Benutzername, Uptime)
* Eine Datei öffnen
* Eine .EXE Datei ausführen
* Dateien von einer Webseite laden, aktualisieren und ausführen
* Dateien via FTP laden, aktualisieren und ausführen
* Tastatureingaben aufzeichnen
* Den Status von Backdoor.Rbot.gen prüfen
* Backdoor.Rbot.gen deinstallieren
* Backdoor.Rbot.gen updaten

slyght 30.03.2005 17:55
Auch auf die Gefahr hin, dass die Frage schon an anderer Stelle beantwortet wurde:

Warum reicht nicht das Entfernen des Backdoor Wurms? Wenn dieser vom System entfernt wurde, wie kann er dann noch aktiv werden?

Zudem sind inzwischen SP2 und alle aktuellen Patches installiert, Win Firewall läuft, AntiVir ist auf dem neuesten Stand im läuft ebenfalls im Hintergrund. Als Browser wird ausschließlich die letzte stable Version von Opera benutzt.

Auf dem Rechner sind außer den Windows Passwörtern keine weiteren gespeichert, da meine Eltern den Rechner nur ab und zu für MS Office brauchen und nie ins Internet gehen (lediglich ich gehe ab und zu Call by Call ins Netz, wenn ich mal ein paar Tage zu Hause bin).

Haui45 30.03.2005 17:56
Zitat:
Auch auf die Gefahr hin, dass die Frage schon an anderer Stelle beantwortet wurde:
Wurde sie schon, in dem Link zum Neuaufsetzen ;)

Zitat:
Q: Warum ist eine Bereinigung des kompromittierten Systems
durch Removal-Tools und AV Scanner nicht sinnvoll?


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131