Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Total hilflos... (https://www.trojaner-board.de/8349-total-hilflos.html)

DevilsSmile 12.10.2004 19:21
Total hilflos...
 
Nabend zusammen,

kann mir evt. jemand weiterhelfen?

Nachdem ich in den letzten Wochen so ziemlich jeden neuen Virus/Trojaner/Wurm auf meinen Rechner hatte bin ich es leid. Habe meinen Virenscanner gewechselt (von Norton auf Antivir), scheint aber noch immer kein Ende zu haben mit den hartnäckigen Dingern.

Habe letzte Tage Antivir draufgehauen, der fand auch glatt 4 Würmer/Trojaner/Viren. Die dann natürlich runtergehauen, nochmal scannen lassen, Antivir hat darauf nix mehr gefunden.

Allerdings habe ich die Vermutung, dass mein Rechner noch immer net sauber is. Dateien wie ati2vid und msnmsgrr.exe deuteten meiner Meinung nach noch immer auf Schädlinge hin. Hab also dann einen E-Scan gemacht, der hat dann auch nochmal 3 gefunden, diese dann gelöscht.

Heute dann in der Registry gesehen, dass sich da noch Exe-Dateien tümmelten, diese manuell gelöscht, neu gestartet und wieder einen Blick in die Registry geworfen und siehe da: ati2vid.exe ist schon wieder da.

Die Datei muss etwas virenmäßiges sein, da ich eine andere Grafikkarte habe.

Wäre super, wenn jemand Rat wüsste.

DevilsSmile

*Christian* 12.10.2004 19:38
Poste mal HijackThis-Log: http://filepony.de/download-hijackthis/

Interessant wäre zu wissen, welche Trojaner/Backdoors eigentlich gefunden wurden?

DevilsSmile 12.10.2004 20:07
Hallo,

ich danke Dir für die Antwort. Hier mein HJT-Log:

Logfile of HijackThis v1.98.2
Scan saved at 20:59:40, on 12.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Eigene Dateien\EXE-Dateien\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{13F0C14A-27A1-4FE0-986B-545392569BF3}: NameServer = 217.237.151.225 217.237.150.225

So, hier der Log.

Also die Würmer, die ich noch im Kopf habe bzw. aufgeschrieben habe hießen:

Rbot.HI (gleich 2 x)
Rbot.GU
Rbot.GJ
Rbot.GEN (gleich 3 x, nur mit E-Scan gefunden)

Hoffe diese Angaben nutzen.

DevilsSmile

Cidre 12.10.2004 20:20
Hallo,
Zitat:
Backdoor Functionality

Rbot's main function is to act as an IRC controlled backdoor. It attempts to connect to a predefined IRC server and join a specific channel so that the victim's computer can be controlled. The IRC server, port number, channel and password differ with each variant.

Rbot also listens on TCP port 113 to provide ident services, which are required by some IRC servers.

Once the victim's computer is under control, the overseer is able to instruct Win32.Rbot to attempt to perform malicious operations such as spreading via administrative shares with weak passwords or the DCOM RPC exploit. The backdoor can also be instructed to:

* download and execute files from the Internet
* retrieve system information such as Operating System details
* retrieve CD keys for certain computer games, if present
* start a SOCKS proxy
* perform denial of service (DoS) attacks
* start several other servers: rlogin, http, tftp. The ports used for these are configurable.
* log keystrokes
* capture video from a webcam, if present
* send e-mail

Process Termination

Win32.Rbot can also be configured to terminate certain processes. These processes are usually related to anti-virus and other security software, but also include processes used by other malware. For example:

regedit.exe
msconfig.exe
netstat.exe
msblast.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
taskmon.exe
PandaAVEngine.exe
sysinfo.exe
mscvb32.exe
MSBLAST.exe
teekids.exe
Penis32.exe
bbeagle.exe
SysMonXP.exe
winupd.exe
winsys.exe
ssate.exe
rate.exe
d3dupdate.exe
irun4.exe
i11r54n4.exey
Quelle: Backdoor Rbot.gen

Daher lautet meine Empfehlung: http://www.trojaner-board.de/showpos...28&postcount=2

DevilsSmile 13.10.2004 07:48
Hallo Cidre,

danke Dir, befürchte auch, dass ich net mehr drumrum komme zu formatieren. Obwohl ich die Dateien zurzeit net mehr sehe, aber sicher ist sicher.

Danke Euch beiden für die schnellen Antworten.

DevilsSmile

Eye_of_Drakonius 13.10.2004 09:03
Moin!!!

Sag mal haste schon mal Kaspersky, PestPatrol probiert.

Htte auch Probleme mit Anti_Vir,da es zwar Viren/Trojaner fand, aber mein Rechner immer noch nicht halbwegs sauber war. Probier die beiden Versionen mal und scan es dananch HiJackthis und poste dann mal.

viel Glück

Hoffe damit ist dir erstmal geholfen


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131