w32/jeefo Backdoor.Win32.Rbot.gen usw

#0
26.09.2004, 15:54
...neu hier

Beiträge: 10
#1 Hey ich hab ein prob ich habe vile Viren und so drauf wie bekomme ich die weg hier ein auszug von Hijack this

Logfile of HijackThis v1.98.2
Scan saved at 15:48:28, on 26.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Neu machen\Ventrilo\Ventrilo.exe
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\DOKUME~1\Ludger\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Ludger\LOKALE~1\Temp\kavss.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Ludger\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [MSChoExE] suge.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096086246265
O17 - HKLM\System\CCS\Services\Tcpip\..\{31DB2840-7565-439F-BEFC-98A197F1488A}: NameServer = 217.237.151.225 217.237.150.225

bitte helft mir
Seitenanfang Seitenende
26.09.2004, 19:00
Member

Beiträge: 441
#2 Hallo,

der Grund für die Kompromittierung durch diverse Backdoors http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39437
liegt an deinem nicht gepatchtes System.
Daher wäre es imho am sinnvollsten, wenn du dein System neu aufsetzen würdest, damit dies wieder vertrauenswürdig wird.
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/security/meissbu/notiz-outlookconfig/outlook-config.html oder http://www.datenschutz-bremen.de/tipps/verteidigung/angriffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html


Du solltest dich mehr über PC Sicherheit einlesen und dich nicht nur auf die Sicherheitssoftware verlassen. Hier findest du einige Tipps um die Sicherheit deines Systems zu erhöhen:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://faq.underflow.de/#SECTION000110000000000000000
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
26.09.2004, 19:11
...neu hier

Themenstarter

Beiträge: 10
#3 Ich hab aber alle updates außer die vom service pack 2

gibt es ne möglichkeit ums formatiern rum komme ??
Dieser Beitrag wurde am 26.09.2004 um 19:12 Uhr von Darki2k editiert.
Seitenanfang Seitenende
26.09.2004, 19:28
Member

Beiträge: 441
#4

Zitat

Ich hab aber alle updates außer die vom service pack 2
Das glaube ich nicht, siehe

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Zitat

gibt es ne möglichkeit ums formatiern rum komme ??
Ich würde es nicht so handhaben, aber du kannst es mit eScan versuchen und dann die Virus Log Information posten: http://www.trojaner-board.de/showpost.php?p=61922&postcount=1
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 26.09.2004 um 19:28 Uhr von Cidre editiert.
Seitenanfang Seitenende
26.09.2004, 21:06
Moderator

Beiträge: 7804
#5 Davon abgesehen, ob irgendwas ausspioniert wurde( Passwoerter) oder zusaetzlich etwas von dem Bot installiert wurde, hast du noch das grosse Problem, das du einen echten Virus hast/hattest, der Dateien infiziert und das machen die nicht immer korrekt und infizieren diese Dateien "kaput", bzw was die Viren nicht machen, machen dann die Reinigungstool. Die sind nicht in der lage Dateien in den Orginalzustand zu versetzen, das wiederum bedeutet, das dein System so nie wieder richtig Stabil laufen wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.09.2004, 00:29
...neu hier

Themenstarter

Beiträge: 10
#6 File C:\WINDOWS\System32\suge.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\sys32snd.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\TikTo.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Ludger\Eigene Dateien\Meine empfangenen Dateien\Tr[A]x Script\Tr[A]x Script\dlls\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Dokumente und Einstellungen\Ludger\Eigene Dateien\Meine empfangenen Dateien\Tr[A]x Script\Tr[A]x Script\TrAx.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Dokumente und Einstellungen\Ludger\Eigene Dateien\Meine empfangenen Dateien\Tr[A]x Script.rar tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\SVXHOST.EXE.VIR infected by "Backdoor.Win32.Agent.cf" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\winsysi.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\Programme\OCRANA-IRC\fun\sheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Programme\OCRANA-IRC\games\sheep\sheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Programme\OCRANA-IRC\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Programme\OCRANA-IRC\OCRANA-IRC.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Programme\OCRANA-IRC\programs\PortScan.exe tagged as not-a-virus:NetTool.Scanner.Scan.12. No Action Taken.
File C:\Programme\OCRANA-IRC\system\bin\dll\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP16\A0009878.EXE infected by "TrojanDownloader.Win32.Small.wa" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP16\A0009880.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP16\A0009885.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP16\A0010071.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP16\A0010074.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP19\A0014566.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP22\A0018162.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP22\A0018163.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FAC0A362-546B-4643-B149-A7685C4091C5}\RP22\A0018164.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File D:\95b49767c434057faf733cbaef7e\update\update.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

hier hast du dne auszug vom e scan
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: