FU/Rootkit oder spy agent dg 2b |
||
---|---|---|
#0
| ||
13.06.2005, 17:03
...neu hier
Beiträge: 9 |
||
|
||
14.06.2005, 22:11
Member
Beiträge: 239 |
#2
Ob es dir hilft????????
http://www.network-secure.de/index.php?option=com_content&task=view&id=3160&Itemid=734 Rolfs |
|
|
||
14.06.2005, 23:50
Ehrenmitglied
Beiträge: 29434 |
#3
Sleuny
der PC ist verseucht..... Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat. Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben: http://virus-protect.org/seite1.html * Entwenden oder Ändern von Kennwörtern oder Kennwortdateien * Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren) * Installieren von Software zur Aufzeichnung von Tastatureingaben * Konfigurieren von Firewall-Regeln * Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw. * Löschen und Bearbeiten von Dateien * Versenden von anstößigem/diskriminierendem Material (E-Mail-Benutzerkonto) * Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien * Löschen von Protokolldateien, um solche Aktivitäten zu verbergen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2005, 10:28
...neu hier
Themenstarter Beiträge: 9 |
#4
Hallo
Hab meine platten jetzt formatiert und xp neu aufgespielt. leider bin ich mir über nichts mehr sicher, denn mein system braucht immernoch ne gewisse zeit bis ich windows komponenten ausführen kann (kommt mir seltsam vor). Kann das an den Virenscannern liegen (brauchen die ne zeit um sich zu aktivieren? Die scanner finden zwar nix aber was heist das schon. |
|
|
||
15.06.2005, 10:42
Member
Beiträge: 1132 |
#5
Zitat Kann das an den Virenscannern liegen (brauchen die ne zeit um sich zu aktivieren? Die scanner finden zwar nix aber was heist das schon.Bedeutet das, dass Du mehrere Scanner gleichzeitig aktiv hast? Wenn ja, dann ist es kein Wunder, wenn Dein Rechner so langsam ist, denn die behindern sich ja gegenseitig! Deaktiviere alle Virenwächter bis auf einen. Wahrscheinlich geht es dann besser. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
15.06.2005, 10:56
...neu hier
Themenstarter Beiträge: 9 |
#6
Ne, hab nur noch den antivir guard drauf und adaware se, aber adaware hat ja keinen guard der sich beim booten aktiviert. oder sollte es da probs geben? (sorry hab mich da wohl falsch ausgedrückt mit virenscanner"n")
|
|
|
||
15.06.2005, 10:58
Member
Beiträge: 669 |
#7
Nein, die beiden behindern sich nicht (AdAware ist schließlich auch kein Virenscanner). Poste vielleicht nochmals ein HijackThis-Log.
Außerdem: Was meinst du mit "Windows Komponenten ausführen" ... spezielle Windows-Programme? Also nicht alle? Wenn ja, welche im Detail? __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
15.06.2005, 11:08
...neu hier
Themenstarter Beiträge: 9 |
#8
Also mit windowskomponenten meine ich zum beispiel den explorer oder die netzverbindung herstellen, genauso auf die systemsteuerung zugreifen oder die dateisuche ausführen.
Hier mal der aktuelle logfile. Logfile of HijackThis v1.99.1 Scan saved at 11:04:38, on 15.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\Dokumente und Einstellungen\GorPaNui\Desktop\hijackthis\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{20D0A36C-4967-49A8-9C0C-CA03EBB803BF}: NameServer = 195.50.140.252 145.253.2.81 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe |
|
|
||
15.06.2005, 11:45
Member
Beiträge: 669 |
#9
Ich seh da im Moment nichts. Nur dein Internet Explorer wirft fragen auf:
MSIE: Unable to get Internet Explorer version! Hast du mit dem irgendwas gemacht? Versucht zu deinstallieren oder kA was noch? __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
15.06.2005, 11:51
...neu hier
Themenstarter Beiträge: 9 |
#10
Ne, es gab bei der intallation von xp ein prob, da wurd ne datei nicht gefunden und das war wohl der IE. Bin da aber nicht sonderlich traurig drüber, da ich den IE eh nicht nutze. Kann es evtl an DSL/flat liegen das es was dauert (hab DSL noch nicht so lange aber seit dem dauerts bei mir so lange mit dem booten)?
|
|
|
||
15.06.2005, 12:54
Member
Beiträge: 239 |
||
|
||
15.06.2005, 13:05
...neu hier
Themenstarter Beiträge: 9 |
#12
Also der Bootvorgang an für sich geht recht zügig, dann kommt Willkommen und dann mein Desktop. von da an dauerts ca 1-1,5 min bis ich den explorer öffnen kann. (vorher hats vielleicht 30 sec gedauert bis alles in der taskleiste war) mein Antivir schirm geht auch erst nach 1,5 min auf und dann kann ich erst loslegen.
|
|
|
||
15.06.2005, 14:34
Member
Beiträge: 239 |
#13
Diese Zeit ist bei/mit einem AV Programm normal.
Mein PC -ich habe zwar nicht auf die Uhr geschaut- brauch auch ca. 1,5 bis 2 Minuten. |
|
|
||
15.06.2005, 15:01
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
15.06.2005, 18:20
Ehrenmitglied
Beiträge: 29434 |
#15
wenn du keinen IE hast und SP2 auch nicht als CD, bedeutet das, ...keine WindowsUpdates sind mehr moeglich und du wirst hier wohl Dauergast
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Hab mir da was eingefangen und weis nicht weiter. Hab schon Kaspersky,Antivir,Spybot S&D, Ad Aware se und Norton drüberlaufen lassen und nix hilft.
Bekomm immer nur ne meldung das FU/Rootkit und TR/Spy Agent dg 2b gefunden wird. Habs schon im abgesicherten modus mit deaktivierter systemwiederherstellung probiert (klappt auch nicht). Sobald ich online gehe fallen meine systemrecourcen so stark in den keller das nix mehr geht (nicht mal verbindung trennen oder herrunterfahren). Beim booten dauerts ewig und wenn Windows oben ist dauert es ca 2min bis ich windows komponeten öffnen kann.(hab XPpro)
Hab schon die windows updates installiert und den Hijackthis log erstellt
Logfile of HijackThis v1.99.1
Scan saved at 16:44:15, on 13.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
G:\2CDcover\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Update] wuamkop32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RNDc Test] wf32b.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop32.exe
O4 - HKLM\..\RunServices: [RNDc Test] wf32b.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RNDc Test] wf32b.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117894719218
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
Hoffe ihr könnt mir helfen, bin kurz vorm nervenzusammenbruch.
Hab nochmal gescannt und in system32 ne datei namens i gefunden die sich als "trojan-downloader.bat.ftp.ab" identifiziert und im selben ordner jedemenge tftp-dateien die 0 bytes gross sind gefunden (werden als "Backdoor.win32.codbot.ad" angezeigt)