regelmäßig W32-Randex, -IRCBOT, backdoor roxy

#0
02.11.2003, 21:30
Member

Beiträge: 12
#1 Hallo,

Mein Norton AV 2004 findet Viren und kann diese sofort löschen, in regelmäßigen Abständen (mehrmals pro Stunde) entdeckt er sie wieder und löscht sie und so weiter -- gerade eben ist es abermals passiert

wieso verschwinden die nicht? Bitte helft mir! Es nervt und ich weiß nicht ob die Viren nicht in Wirklichkeit dauernd aktiv sind

Vielleicht hilft euch folgende Entdeckung, mir zu helfen: In der NAV-Protokolldatei steht einmal: IRC Trojan und am ende: zugriff verweigert

und unter Details:
Quelle: L:\WINNT\system32\txp\sysboot.dll
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: IRC Trojan

was soll ich tun?
Danke für rasche Hilfe
euer Tekno
Seitenanfang Seitenende
03.11.2003, 08:27
Moderator

Beiträge: 7804
#2

Zitat

tekno4u postete

wieso verschwinden die nicht?


Entweder ist dein PC noch anfaellig gegen RPC "attacken", oder du hast deine Laufwerke noch in Richtung Internet geoeffnet.

Du solltest mal deinen Rechner im abgesicherten Modus mit NAV testen.

http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=randex&product=11
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.11.2003, 10:00
Moderator
Avatar joschi

Beiträge: 6466
#3 Für viele Trojaner/Backdoors gilt:
Sie tragen sich selbst in entsprechenden Registry-Zweigen ein, um so mit dem System gestartet zu werden und gleich aktiv zu sein.
Wenn Du dafür sorgen kannst, dass dieser Trojaner nicht mehr mit dem Systemstart aktiv ist, kann ihn das AV-Programm auch löschen.

Symantec führt ein grosses Online-Lexikon, in dem alle erforderlichen Infos zu der jeweiligen Malware stehen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
05.11.2003, 18:09
Member

Themenstarter

Beiträge: 12
#4 Vielen Dank,

an joschi und raman. Was ich gleich versuchen werde ist der NAV-Test im abgesicherten Modus. Das kann ich nachvollziehen und traue ich mir zu.

Das mit dn Registrys scheint sehr kompliziert, auch die von joschi angegebene site hat mir nicht geholfen. dort steht etwas von auslesen der Hkeys.

ich weiß schon wo die sind (glaub ich) aber heißt auslesen denn: LÖSCHEN??

kannst du mir vielleicht eine anleitung geben, joschi.
ich wäre dir sehr verbunden

in der zwischenzeit sind wieder drei viren gefunden und gelöscht worden...
ich verstehe das nicht!!!
Seitenanfang Seitenende
05.11.2003, 21:15
Moderator
Avatar joschi

Beiträge: 6466
#5 Wenn Du Regedit öffnest sind auf der linken Seite die Zweige/Ordner zu sehen.
Wenn Du nun an besagte Stelle navigierst und auf der linken Seite einen Eintrag findest, der eindeutig einem deiner Schädlinge zuzuordnen ist, so markierst Du ihn und löschst ihn. wie gesagt, Du solltest deiner Sache sicher sein den entsprechenden Zweig zuvor sichern (Datei=>exportieren).
Im Registryeditor mal 50% vom Gas gehen und jeden Schritt lansgam und mit Bedacht ausführen. ;)

Prüfe lt. Symantecs Beschriebung folgende Zweige:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
und zusätzlich noch
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Zitat

in der zwischenzeit sind wieder drei viren gefunden und gelöscht worden...

Dieselben, oder welche ? Bitte etwas ausführlicher, ich versuche auch möglichst keine Information zu vergessen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
06.11.2003, 14:58
Member

Themenstarter

Beiträge: 12
#6 Ok.

Hier die aktuellen erscheinungen: W32.IRCBot.Gen (2X), Randex.F (2x aber dazwischen einmal dieser: Backdor.IRC.Tastyred,

Ganz dubios: Dialer.Global (WURDE NICHT gelöscht) es steht im Protokoll: keine Maßnahme ergriffen

Übrigens: das Scannen mit NAV im abgesicherten Modus brachte nichts

Wie hilft mir das Programm regcleaner, das hat mir vor längerem ein bekannter installiert
Seitenanfang Seitenende
06.11.2003, 18:46
Moderator

Beiträge: 7804
#7 Hier hilft uns wohl nur ein Hijackthis.log. Hole dir die Infos, wo du es herbekommst und wie du es bedienen musst hier: http://board.protecus.de/t6819.htm
Du musst auch sehen, das du ein laengeres/staerkeres Passwort fuer deinen Windowsnutzer waehlst.

[Edit: da musste ich einiges korrigieren)
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 08.11.2003 um 23:07 Uhr von raman editiert.
Seitenanfang Seitenende
08.11.2003, 22:50
Member

Themenstarter

Beiträge: 12
#8 Vielen Dank für eure Geduld und Hilfe!

ich versuche was Raman mir geraten,

Danke
LG Tekno
Seitenanfang Seitenende
08.11.2003, 23:27
Member

Themenstarter

Beiträge: 12
#9 Oooooops!

Hab meine richtige Antwort unter falschem Beitrag gepostet. Doppelt posten darf man nicht. Wie bekomme ich die Antwort hierher unter diese Einträge??
Seitenanfang Seitenende
08.11.2003, 23:28
Member

Themenstarter

Beiträge: 12
#10 Die antwort ist dort gelandet:

http://board.protecus.de/t6300.htm
Seitenanfang Seitenende
08.11.2003, 23:53
Moderator

Beiträge: 7804
#11 Deaktiviere mal
O4 - HKLM\..\Run: [UpdReg] L:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Run32dll] l:\winnt\system32\temp.exe task32.exe
damit weiss ich nicht wohin:
O4 - HKLM\..\Run: [KEWelcomeReBoot] O:\welcome_S500.exe

Das kannst du mit Hijackthis machen(ankreutzen und "fix"en) ode du machst es mit (Start/Ausfuehren/)msconfig,exe

Mache danach einen Neustart und einen Onlinescan mit RAV: http://www.rav.ro/scan/indexie.php
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 08.11.2003 um 23:53 Uhr von raman editiert.
Seitenanfang Seitenende
09.11.2003, 00:01
Member

Themenstarter

Beiträge: 12
#12 Vielen Dank,

werde es gleich versuchen.
Mit Welcome_S500 kann ich auch nichts anfangen. wie finde ich heraus zu was das gehört und ob ich es brauche?

LG

Tekno
Seitenanfang Seitenende
09.11.2003, 00:08
Member

Themenstarter

Beiträge: 12
#13 Ist es erwünscht, dass beim "fix" die angekreuzten (von dir empfohlenen) Sachen gelöscht werden?

Hijackthis fragt mich das nämlich. Soll ich bestätigen???????

Danke nochmals
Seitenanfang Seitenende
09.11.2003, 00:10
Member

Themenstarter

Beiträge: 12
#14 Und noch etwas: das Laufwerk O: ist mein CD-Laufwerk
Seitenanfang Seitenende
09.11.2003, 09:24
Moderator

Beiträge: 7804
#15 Ja, die Sachen werden aus der Registrierung geloescht und ja, nimm das welcome auch raus.;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: