Backdoor.Rbot Lässt sich trotz AVG Anti Spyware nicht löschen ! |
||
---|---|---|
#0
| ||
23.07.2007, 19:01
Member
Beiträge: 12 |
||
|
||
24.07.2007, 11:12
Moderator
Beiträge: 7805 |
#2
Arbeite bitte dieses ab und poste die erstellten Reporte: http://board.protecus.de/t23188.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.07.2007, 11:40
Member
Themenstarter Beiträge: 12 |
#3
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38, on 2007-07-24 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Tanja.STENDER\Desktop\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182774716326 O17 - HKLM\System\CCS\Services\Tcpip\..\{DF85597C-34D7-4BF8-9F52-F2C4A60171E3}: NameServer = 195.50.140.114 195.50.140.252 O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe -- End of file - 2843 bytes Also ,das mit dem Combofix hat nicht funktioniert !! Bin den aweisungen gefolgt und er macht dann gar nix mehr !! Ich habe allersdings so wenig erfahrung ,das ich nicht weiss ,ob das so okay war !! . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8885-3AEB Verzeichnis von C:\WINDOWS\system32 2007-07-24 09:03 0 TFTP960 2007-07-23 13:28 238,080 TFTP1268 2007-07-23 13:27 0 TFTP1228 2007-07-23 11:52 12,980 wpa.dbl 2007-07-22 18:39 279,552 swreg.exe 2007-07-22 11:29 106,496 TFTP1124 2007-07-22 11:28 89,600 TFTP1484 2007-07-22 11:28 0 TFTP1392 2007-07-22 11:28 0 TFTP932 2007-07-19 13:29 0 TFTP1680 2007-07-18 14:35 0 TFTP1888 2007-07-18 10:40 0 TFTP1720 2007-07-13 12:26 0 TFTP1084 2007-07-12 13:05 0 TFTP1172 2007-07-07 20:30 0 ne1.exe 2007-07-07 20:30 60 i 2007-07-02 12:35 900 NiroFile.exe-up.txt 2007-07-02 12:34 0 TFTP1792 2007-06-30 11:41 0 TFTP388 2007-06-29 10:43 0 TFTP172 2007-06-28 17:13 0 TFTP2016 2007-06-26 19:18 110,992 FNTCACHE.DAT 2007-06-05 23:38 15,747,032 MRT.exe 2007-04-24 11:32 1,485,696 LegitCheckControl.dll 2007-04-16 22:47 33,624 wups.dll 2007-04-16 22:47 30,040 wuapi.dll.mui 2007-04-16 22:47 30,040 wuaucpl.cpl.mui 2007-04-16 22:45 1,710,936 wuaueng.dll 2007-04-16 22:45 549,720 wuapi.dll 2007-04-16 22:45 325,976 wucltui.dll 2007-04-16 22:45 216,408 wuaucpl.cpl 2007-04-16 22:45 92,504 cdm.dll 2007-04-16 22:45 53,080 wuauclt.exe 2007-04-16 22:45 43,352 wups2.dll 2007-04-16 22:45 20,824 wuaueng.dll.mui 2007-04-16 22:44 34,136 wucltui.dll.mui 2007-04-16 22:43 203,096 wuweb.dll . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8885-3AEB Verzeichnis von C:\DOKUME~1\TANJA~1.STE\LOKALE~1\Temp 2007-07-24 11:42 86,548 datfind.txt 2007-07-24 11:19 16,384 Perflib_Perfdata_550.dat 2 Datei(en) 102,932 Bytes 0 Verzeichnis(se), 8,831,856,640 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8885-3AEB Verzeichnis von C:\WINDOWS 2007-07-24 09:02 0 0.log 2007-07-24 09:01 1,147,811 WindowsUpdate.log 2007-07-24 08:59 2,048 bootstat.dat 2007-07-23 22:26 32,558 SchedLgU.Txt 2007-07-23 16:23 416,758 setupapi.log 2007-07-21 19:52 116 NeroDigital.ini 2007-07-20 00:47 109,056 catchme.exe 2007-07-13 21:57 216 wiadebug.log 2007-07-13 18:38 50 wiaservc.log 2007-06-27 18:58 230,878 ntbtlog.txt 2007-06-27 17:28 68,641 xpsp1hfm.log 2007-06-27 17:28 21,766 KB828741.log 2007-06-27 17:28 6,854 KB828741Uninst.log 2007-06-26 18:50 28,656 comsetup.log 2007-06-26 18:50 13,585 iis6.log 2007-06-26 18:50 17,388 ntdtcsetup.log 2007-06-26 18:50 1,374 imsins.log 2007-06-26 18:50 32,872 tsoc.log 2007-06-26 18:50 3,284 Q810833.log 2007-06-26 18:50 34,720 ocgen.log 2007-06-26 18:50 2,968 ocmsn.log 2007-06-26 18:50 4,298 msgsocm.log 2007-06-26 18:50 86,555 FaxSetup.log 2007-06-26 18:49 2,759 Q815021.log 2007-06-26 18:49 1,374 imsins.BAK 2007-06-26 18:34 26,770 KB835732.log 2007-06-26 17:41 999 KB884020.log 2007-06-26 17:38 437 Q815021Uninst.log 2007-06-26 17:10 6,307 KB835732Uninst.log 2007-06-26 17:04 1,128 Q329115.log 2007-06-26 16:44 15,382 KB833407.log 2007-06-26 16:43 12,274 Q329834.log 2007-06-26 16:43 13,508 KB823559.log 2007-06-26 16:42 11,930 Q329048.log 2007-06-26 16:41 10,254 Q810577.log 2007-06-26 16:40 12,733 WgaNotify.log 2007-06-26 16:34 7,134 Q811630.log 2007-06-26 16:28 5,696 Q329441.log 2007-06-26 16:26 2,957 Q329170.log 2007-06-26 16:24 1,216 Q329390.log 2007-06-26 16:23 964 Q323255.log 2007-06-25 14:38 7,597 KB892130.log 2007-06-25 14:37 5,856 KB842773.log 2007-06-25 14:37 4,407 setupact.log 2007-06-17 00:11 51,200 nircmd.exe 2007-04-29 18:13 65,536 DUMP99b2.tmp 2007-04-28 18:09 1,140 mozver.dat 2007-04-28 18:00 0 nsreg.dat 2007-03-23 19:47 316,640 WMSysPr9.prx 2007-02-19 18:33 400 ODBC.INI 2007-02-19 18:31 600 win.ini 2007-02-16 19:01 0 SwSys2.bmp 2007-02-16 19:01 0 SwSys1.bmp 2007-02-16 17:48 820 OEWABLog.txt 2007-02-16 17:42 8,192 REGLOCS.OLD 2007-02-16 17:34 0 control.ini 2007-02-16 17:34 299,552 WMSysPrx.prx 2007-02-16 17:33 4,161 ODBCINST.INI 2007-02-16 17:30 749 WindowsShell.Manifest 2007-02-16 17:27 36 vb.ini 2007-02-16 17:27 37 vbaddin.ini 2007-02-16 17:21 0 Sti_Trace.log 2007-02-16 17:16 231 system.ini 2007-02-16 17:15 0 setuperr.log Dieser Beitrag wurde am 24.07.2007 um 11:47 Uhr von nanni editiert.
|
|
|
||
24.07.2007, 12:15
Moderator
Beiträge: 7805 |
#4
Dein Windows ist nicht aktuell, daher die Probleme. Ich sehe derzeit keine aktive Malware, zumindest, was man aus einem Hijackthis log sehen kann. Besuche einmal www.windowsupdate.com und installiere alle dort als wichtig eingestuften Updates. Das kann bis zu 2 Std. dauern.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
Das AVG meldet : Spuren gefunden C:\Windows\system32\TFTP1468
C:\Windows\system32\config.exe
C:\Windows\system32\mssmpp.exe
Ich weiss nicht weiter ,mir fehlt die nötige Erfahrung ! Ausserdem ist der Rechner unheinlich langsam !!