Backdoor.Gobot.i
 

Hallo bin neu sollte ich fehler machen bitte sagt es mir :heilig:
Also ich hab den TC drauf und heute nach den einkaufen hab ich gesehen das er mir einfach die autoexe.bat gelöscht hat :heulen: Beim näheren überprüfen hat sich herrausgestellt das ich auf sämtliche partitionen und der haubtplatte eine !ReadMe.exe drauf hatte. Kapersky meinte das das ein Backdoor.Gobot.i ist. sämtliche online virenscanner hab ich sofort durchlaufen lassen und der Av hat ihn dann gekillt. Aber ich bin mir noch unsicher ob ich nicht noch was drauf habe :heulen: Google hat mir nicht wirklich weitergeholfen es gab nur 2 einträge dazu aber da waren nur alle Backdoor aufgelistet. Was ist das für einer ein trojaner ein Virus?
Ich hab einen Hijack wären des suchens im internet laufen lassen.:
Logfile of HijackThis v1.98.2
Scan saved at 00:48:28, on 05.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\SYSTEM\DDHELP.EXE
C:\WIN98\EXPLORER.EXE
C:\WIN98\TASKMON.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\HAMSTER\HAMSTER.EXE
C:\WIN98\SYSTEM\WMIEXE.EXE
C:\CCPROXY\CCPROXY.EXE
C:\WIN98\SYSTEM\RNAAPP.EXE
C:\WIN98\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\WIN98\SYSTEM\PSTORES.EXE
C:\TOTALCMD\TOTALCMD.EXE
C:\WIN98\TEMP\$WC\HIJACKTHIS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PMXInit] C:\WIN98\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunOnce: [PMXInit] C:\WIN98\SYSTEM\pmxinit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Hamster.lnk = C:\Hamster\Hamster.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WIN98\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WIN98\SYSTEM\MSJAVA.DLL
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28177.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28177.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28177.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

ich hoffe das war so richtig sollten weidere fragen sein sagt bitte bescheid. Danke euch grüße conny

Was ich noch vergessen hatte. Dieser Backdoor.gobot.i hat auch den TC zerstört das heist ich konnte die TC.exe nicht mehr öffnen. Aber gleichzeitig hat er gefragt ob er die neue autoexe.bat zufügen soll. Jetzt geht der TC wieder nachtem ich ihn neu aufgespeilt habe.

Fixe mit HijackThis dies:

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab28177.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binar...kr.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab28177.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...wn.cab28177.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe....all/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab


Im Log sehe ich nix mehr.

Scanne aber mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo scices,

überprüfe mit virusscan.jotti.dhs.org:

C:\Hamster\Hamster.exe

--> Ergebnis? - bitte mitteilen.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

-----------

Wenn Du tatsächlich den Backdoor.Gobot.i auf dem System hast, und es spricht alles dafür, dass dem so ist, hast Dir ein sehr gefährliches Tierchen eingefangen. Hast Du einen Online-Scan mit Kaspersky gemacht? Ich wundere mich, wie Du auf Kaspersky kommst, da ich ihn nicht auf Deinem System finde.

Solltest Du online-Banking betreiben oder vertrauliche Informationen, Kundendatenbanken und ähnliches auf dem System haben, sichere sie auf Diskette oder CD.

Information zu W32/Gobot-.., es handelt sich hierbei um eine grössere Familie Peer-to-Peer-Wurm und ein IRC-Backdoortrojaner (Gobot)

All diese Würmer und Trojaner mit Backdoor-Charakter ermöglichen Dritten den Zugriff auf den Computer und reduzieren die Systemsicherheit.

Ich kann Dir - im Falle dass es sich um diesen Virus handelt - leider nur raten, Dein System so schnell wie möglich aus dem Netz zu nehmen, da Dein System eine Gefahr für Dich und für andere darstellt. Hierzu folgende Tips:

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Festplatte Formatieren - Schritt für Schritt

SD

So hab die Hamster exe einmal durchgejagt
Hier das ergebnis Service load:
0% 100%
File: Hamster.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (1.99 seconds taken)
Avast
No viruses found (4.87 seconds taken)
BitDefender
No viruses found (2.95 seconds taken)
ClamAV
No viruses found (4.12 seconds taken)
Dr.Web
No viruses found (5.32 seconds taken)
F-Prot Antivirus
No viruses found (0.39 seconds taken)
Kaspersky Anti-Virus
No viruses found (4.70 seconds taken)
mks_vir
No viruses found (1.87 seconds taken)
NOD32
No viruses found (3.82 seconds taken)
Norman Virus Control
No viruses found (1.17 seconds taken)

Statistics
Last piece of malware found was Backdoor.Win32.Wootbot.gen in mplayer.exe, detected by:

Scanner Malware name Time taken
AntiVir X 1.92 seconds
Avast X 4.65 seconds
BitDefender Backdoor.Agobot.3.Gen 12.06 seconds
ClamAV X 3.12 seconds
Dr.Web X 4.47 seconds
F-Prot Antivirus X 0.38 seconds
Kaspersky Anti-Virus Backdoor.Win32.Wootbot.gen 5.47 seconds
mks_vir X 5.81 seconds
NOD32 X 3.94 seconds
Norman Virus Control X 47.89 seconds.

Ich hab den Free-av drauf und wenn ich mir was einfange lass ich das grundsätzlich mit Kapersky oder Houscall durchlaufen. Deswegen kam ich auf Kapersky. escan werd ich auch noch gleich machen danke schön ;-)

@ scices --> danke

SD

Sorry für den Link ist schon weg
Also im abgesicherten Modus hab ich jetzt durchlaufen lassen und das ist das ergebnis.
mit infected hoffe das ist so richtig kenn mich nicht so damit aus.
Fri Nov 05 15:39:29 2004 => Total Disinfected Files: 0
Was bedeutet das jetzt?

@ scices

hilf mir mal bitte auf die Sprünge ...
hast Du den "mplayer.exe" auf Deinem System (gehabt)? Ich finde ihn nämlich nicht in Deinem Logfile.

Hast Du den eScan bereits durchlaufen lassen - wie in der Anleitung beschrieben? Welches Ergebnis?

SD

Ja den mplayer wenn den hatte ich mal auf meinen rechner hab ihn aber wieder rundergeschmissen ich hab dafür den Windows media player drauf gemacht ;-)
Den escan hab ich jetzt durchlaufen lassen im abgesicherten modus poste mal das ergebnis rein sollte der ganze log gebraucht werden dann setzte ich ihn natürlich auch mit rein.
Fri Nov 05 15:39:29 2004 => ***** Scanning complete. *****

Fri Nov 05 15:39:29 2004 => Total Files Scanned: 1524
Fri Nov 05 15:39:29 2004 => Total Virus(es) Found: 0
Fri Nov 05 15:39:29 2004 => Total Disinfected Files: 0
Fri Nov 05 15:39:29 2004 => Total Files Renamed: 0
Fri Nov 05 15:39:29 2004 => Total Deleted Files: 0
Fri Nov 05 15:39:29 2004 => Total Errors: 0
Fri Nov 05 15:39:29 2004 => Time Elapsed: 00:01:33
Fri Nov 05 15:39:29 2004 => Virus Database Date: 2004/11/06
Fri Nov 05 15:39:29 2004 => Virus Database Count: 108663

Fri Nov 05 15:39:29 2004 => Scan Completed.

Fri Nov 05 15:39:44 2004 => Virus Database Date: 2004/11/06
Fri Nov 05 15:39:44 2004 => Virus Database Count: 108663
Fri Nov 05 15:40:04 2004 => AV Library Unloaded (3)...

Unter Infected hat er nur das gefunden
Fri Nov 05 15:39:29 2004 => Total Disinfected Files: 0

@ scices

SOPHOS Virusinformation: Backdoor.Agobot.3.gen und Backdoor.Win32.Wootbot.gen, bitte genau durchlesen, auch "Erläuterung und "Erweitert". Das Ziel dieser beiden Backdoor-Trojaner ist es, Dritten den Zugriff auf den Computer zu ermöglichen. Beide Backdoor-Trojaner graben sich in die Registry ein. Löschen dieser Backdoor-Trojaner genügt nicht.

Ich halte Dein System für kompromittiert, auch wenn JETZT keine Viren auf Deinem System zu finden sind. Ich rate Dir dies: System neu aufzusetzen

SD

Danke schön :daumenhoc für deine hilfe. Werde deinen rat folgen und mein systhem neu aufspielen.