|
Alles mögliche... Hoi, ich bins, CC... bei meinem alten account funktioniert das passwort irgendwie nichtmehr ?! naja, werde mich später drum kümmern. Folgendes Problem: Ich habe windows grad gestern neu installiert und heute noch einmal (allerdings auch aus dem grund weil ich windows woanders drauf haben wollte). Etwa 20min nach erstellen der internetverbindung hab ich einen virus... SP1 hab ich, ebenso den Blaster Patch. Im Taskmanager seh ich immer neue namen wie: cgqvoaus.exe C4.temp.exe wuamgrd.exe AntiVir erkennt die dann und beseitigt die - nach dem neustart sind die wieder da. Ich habe im abgesicherten modus gescannt und registry einträge gelöscht, sodass eigentlich wirklich nichts mehr da sein sollte. Dann habe ich es mal soweit gebracht, dass direkt nach dem start von windows nichts gefunden wurde. Nach 10min waren dann myteriöse dateien wieder da, und wenn diese laufen, habe ich keinen zugriff aufs internet mehr. Das nervt mich echt ungeheuerlich... Dann habe ich was über tftp.exe herausgefunden, nämlich dass es ein file von windows sein soll. Ok, ich habe das zwar in den letzten 2 jahren noch nie im taskmanager gesehen, aber was solls. Ich hab die datei dann umbenannt (in tftp-orig.inal oder sowas in der richtung). Denkste, gerade eben habe ich diese datei wieder im Taskmanager gefunden :pukeface: Und bei erstellt am: steht wie bei den anderen windows dateien 2001. Als ob nicht gewesen wäre. Was auch sehr komisch ist: Die Dateien kommen aus heiterem Himmel. Ich mache rein gar nichts und die erstellen sich irgenswie selbst... Hat jemand ne idee ? Danke euch.. CC edit, wichtig: Anscheinend wird da massig was an dateien rumgeschaufelt, das netzwerksymbol unten leuchtet fast immer, auch wenn ich nichts im netz mache... |
Weiter gehts: Es scheit Worm/Rbot zu sein, vorher noch gemischt mit sasser, aber den bin ich jetzt los. Der Wurm kommt aber immer wieder... Wenn ich netstat -a mache, sind da ungefähr 10 Verbindungen hergestellt, das is ja wohl nicht normal bei einfachem surfen. Wie bekomm ich das teil los ? edit: HiJackThis LOG: Logfile of HijackThis v1.98.0 Scan saved at 20:39:36, on 30.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\TCAUDIAG.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Opera75\opera.exe C:\Programme\ICQ\Icq.exe D:\kram\hijackthis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe tftp.exe kommt DEFINITIV immer wieder ! Ich kann die datei umbenennen, löschen, was auch immer, es gibt wieder eine neue, die auch sofort aktiv ist... |
Kann mir denn keiner helfen ? Es gibt neue infos: Irgendwas ist da mit der tftp.exe nich in ordnung. Wenn ich sie lösche, ist sie nach 3sek wieder da ! Jedesmal mit 17KB. Lustig auch folgendes: Ich habe die tftp.exe gelöscht und ganz schnell eine textdatei in tftp.exe umbennant. Die Datei verändert (!) sich sofort wieder zur 17KB großen originaldatei... Nebenbei habe ich festgestellt, dass das Virus Dateien mit namen "TFTPxxxx" erstellt, ebenfalls im ordner system32. x steht dabei für eine zahl... Die Dateien haben keine dateiendung und sind mal 91, mal 85KB groß und laut antivir mit RBot/AX befallen... Ich weiss langsam nicht mehr weiter :heulen: PS: Diese TFTP Dateien sind anscheinend der auslöser für verschiedene .exe Dateien. Eben war ein Prozess mit namen "cmd.exe" aktiv, nachdem Antivir Guard ein TFTP File entdeckt und in quarantäne gestellt hatte (RBot.AA) war der prozess auf einmal weg. Suchen nach "cmd.exe" bringt einmal das windows eigene cmd und "CMD.EXE-087B4001.pf" (72KB) im ordner "Prefetch". Was hat es damit auf sich ? PPS: Rbot.94208 wird auch gefunden... irgendwie hab ich bald alle Rbots durch |
Scan mal mit eScan Deinen Rechner im abgesicherten Modus den ganzen Rechner und poste, ob und ggf. was gefunden wurde. eScan (incl. Kurzanleitung) findest Du in meiner Signatur. |
Öff.... File C:\WINDOWS\system32\Explorer.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\MSU32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\11120_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\13099_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\30348_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\31939_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\32367_up.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\NAVSCAN64.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\winservicess.exe infected by "Backdoor.SdBot.ni" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\DC3.EXE.VIR infected by "Worm.Win32.Padobot.n" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\mrhci.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\mrhci.VIR00 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\mrhci.VIR01 infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\msconfg.VIR infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\msconfg.VIR00 infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\msconfg.VIR01 infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\SKYNET.CPL.001 infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\SKYNET.CPL.VIR infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\TFTP1468.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\TFTP184.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\TFTP2452.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\TFTP2800.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\TFTP412.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\wserv32.VIR infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\wserver.VIR infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted. File C:\Programme\AVPersonal\INFECTED\wuam.VIR infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\wuam.VIR00 infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed. File C:\Programme\AVPersonal\INFECTED\wuam.VIR01 infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004443.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004444.exe infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004445.exe infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004446.exe infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004450.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0004454.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0005443.exe infected by "I-Worm.NetSky.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0005447.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006446.cpl infected by "I-Worm.NetSky.ad" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006454.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0006496.exe infected by "Worm.Win32.Padobot.n" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007518.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007519.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007520.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007521.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007522.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007523.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007524.exe infected by "Worm.Win32.Sasser.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007525.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C3432E3B-D6A3-4455-A933-C9C80E143CCB}\RP3\A0007526.exe infected by "Backdoor.SdBot.ni" Virus. Action Taken: File Renamed. schöne plantage :schrei: |
Ich würde da nicht lange fakeln. XP nochmal neu drau, XP-Firewall vor den ersten Gang ins Internet aktivieren. Nach Möglichkeit Updates und Patches von CD[1] installieren. Natürlich auch ohne vorherigen Gang ins Internet. Die meisten dieser CD's haben imho einen Patchstand von Febr./März 04. Also danach ein Besuch bei Windowsupdate und erst dann 'normal' surfen. [1] Gibt es immer wieder in diversen Computer-Zeitschriften als Beilage |
Also, das nochmal neu installieren seh ich als letzten ausweg, ich habe folgendes gemacht: 1. Systemwiederherstellung deaktiviert 2. in abgesicherten modus gegangen 3. eScan laufen lassen (2 gefundene dateien wurden umbenannt) 4. die gefundenen dateien gelöscht 5. AntiVir drüberlaufen lassen (nichts mehr gefunden) 6. HijackThis laufen lassen (einen komischen eintrag noch entfernt) 7. Selber die registry und starteinträge durchsucht 8. alle einträge entfernt 8a. tftp.exe gelöscht, neue tftp.exe erstellt und schreibgeschützt 9. erneut blaster patch eingespielt 10. wieder normal hochgefahren 11. mit eScan gescannt - nix 12. Registry durchgeschaut - nix neues drin 13. online gegangen Bis jetzt ist mir nichts aufgefallen, sollte der kram wieder kommen, bin ich wirklich ratlos und werde ums neu formatieren nicht drumrumkommen.... Sonst noch ideen was ich noch machen kann ? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board