Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot (https://www.trojaner-board.de/48529-netsta-exe-worm-ircbot-1195026-bzw-worm-gaobot.html)

Jul 21.01.2008 20:29
netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
 
Hallo

Die CPU-Auslastung steigt bei meinem Rechner seit einem Tag ohne ersichtlichen Grund auf 100%, bleibt einige Zeit da, sinkt wieder auf den üblichen Wert ab und bald fängt das Spiel dann wieder von vorne an. Ad-Aware und AntiVir haben nichts gefunden und im HijackThis-Log taucht nur eine unbekannte Datei auf: netsta.exe. Google hat dazu kein Ergebnis geliefert, das mir in irgend einer Art und Weise weiterhelfen könnte. Laut einer tschechischen Seite handelt es sich um "WORM/IRCBot.1195206" und laut dieser Seite um eben diesen "Worm.Gaobot".
Was ist es nun wirklich und, was mir noch wichtiger ist: Wie rückt man dem zu Leibe?

Jul 21.01.2008 20:30
Logfile of HijackThis v1.99.1
Scan saved at 19:15:19, on 21.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Dokumente und Einstellungen\username\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:mozilla
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Network -p hpLaserJet1300n_copy_1 -pn "hp LaserJet 1300n PCL6" -n 0 -l 1031 -sl 120000
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Automatic Updater] netsta.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe (file missing)

-SkY- 21.01.2008 20:30
Poste bitte das HJT-Log, und lasse die netsta.exe bei VirusTotal auswerten.

//EDIT: Ok, HJT hat sich erledigt :D

Jul 21.01.2008 20:57
Sorry, ich kann die Datei nicht finden.

Jaipur 21.01.2008 21:11
Hallo,

meiner Meinung nach bleibt Dir leider nur format c: -> http://www.trojaner-board.de/12154-a...sicherung.html

Grund: verschiedene Backdoors, z.B. W32/Forbot-DV - Spyware-Wurm - Sophos Bedrohungsanalyse

siehe hier
Zitat:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
und hier (das Du die Datei nicht findest ist nicht verwunderlich)
Zitat:
O4 - HKLM\..\RunServices: [Windows Automatic Updater] netsta.exe
Und ausserdem:
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
Warum ist das SP2 nicht installiert? Das ist der Hauptgrund für die Infektion überhaupt und ist an sich schon ein Grund für ein Neuaufsetzen des Systems.

Gruß

Jaipur

boston 21.01.2008 22:59
@Jaipur
Zitat:
Grund: verschiedene Backdoors, z.B. W32/Forbot-DV - Spyware-Wurm - Sophos Bedrohungsanalyse

siehe hier
Zitat:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
die datei gehört da schon hin. hat mit dem wurm bis auf den dateinamen
nichts zu tun.

@Jul
wäre doch interessant, zu wissen, was sich genau hinter netsta.exe verbirgt.
folge mal dieser Anleitung
http://www.trojaner-board.de/59624-a...-sichtbar.html
und versuch die datei erneut bei virustotal.com hochzuladen. poste dann das komplette ergebnis hier.
davon unabhängig sollte neuaufsetzen bei diesem patchlevel auf jeden fall gemacht werden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19