|
Worm/Gobot.Y hallo, Antivir hatt mir vor kurzem gemeldet das ich den Wurm/Gobot.Y hab. Ich hab ihn dann mit Antivir gelöscht. Reicht das aus oder muss ich noch irgendwas machen? gruß |
Da es sich um einen Backdoortrojaner handelt, der Fremden uneingeschränkten Zugriff auf dein System verschafft, reicht löschen nicht => Gobot Poste ein HijackThis Logfile und scanne mit eScan im abgesicherten Modus und poste was gefunden wurde. Bei einer Infektion mit einem Backdoortrojaner ist aber allgemein das zu raten. |
hier meine logfile Logfile of HijackThis v1.98.2 Scan saved at 21:29:41, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\CTFMON.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Marc Kaiserauer\Eigene Dateien\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O17 - HKLM\System\CCS\Services\Tcpip\..\{467434D2-F5B9-4862-B868-2C71265DB5CB}: NameServer = 145.253.2.81 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{467434D2-F5B9-4862-B868-2C71265DB5CB}: NameServer = 145.253.2.81 145.253.2.203 vielen dank schonmal |
@Tyler_Durden ich rate dir das gleiche wie Haui45. wenn du "säubern" möchtest, dann wechsle in den abgesicherten modus und fixe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) wenn du diesen eintrag nicht kennst, dann löschen O4 - Global Startup: hpoddt01.exe.lnk = ? neu starten. nochmals es ist deine entscheidung chaosman |
Logfile schaut eigentlich sauber aus (also nichts gefährliches). Was sagt eScan? Aber wie schon gesagt, wenn du wirklich den Gobot drauf hattest bleib ich bei meiner vorigen Meinung. |
also der antivir guard hat ihn erwischt ich weiß nicht ob das das gleiche ist wie auf der festplatte haben.gruß |
Zitat:
Und vergiss Regel Nummer 1 nicht... ;) Gruß :daumenhoc Yopie |
logfile heißt C:\SYSTEM VOLUME INFORMATION\_RESTORE{9C09D4AC-9C5A-4657-8EDE-DE392FAD0F13}\RP243\A0044886.EXEgruß |
Zitat:
In diesem Thread: http://www.trojaner-board.com/showth...6&page=1&pp=10 hab ich schon mal etwas dazu geschrieben. Gruß :daumenhoc Yopei |
also escan durchlaufen lassen im abgesichterten modus, hab aber nur 2 dialer gefunden mehr nicht. allerdings kann ich die nicht löschen ohne escan zu kaufen. gruß |
Du musst die Dateien manuell löschen: Escan Dateien löschen: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen! Falls du nicht nur per DSL ins Web gehst, solltest du die Dateien vorher auf Diskette sichern. |
also nochmal danke für die schnelle hilfe. eine echt gute site ist das hier... gruß marc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board