Backdoor.Bot

Computer Forum

Zurück   Computer Forum - PC Forum - ModernBoard.de > Computerprobleme > Viren, Würmer, Spyware
Seite neu laden Backdoor.Bot
Registrieren Hilfe Suchen Heutige Beiträge Alle Foren als gelesen markieren

Sie betrachten gerade: Backdoor.Bot


Antwort
Seite 1 von 2 1 2
Alt 13.12.2008, 17:04 Backdoor.Bot #1
Zrs
Erfahrener Benutzer
 
Registriert seit: 25.06.2008
Beiträge: 117
Standard Backdoor.Bot
Hallo.

Malwarebytes' Anti-Malware 1.31 hat dies gefunden:

Infizierte Dateien:
C:\WINDOWS\system32\system32.exe (Backdoor.Bot) -> Quarantined and deleted successfully.


Weiss jemand, ob da noch mehr vorhanden ist: Dazu ein weiteres logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:22, on 13.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=proxy.unibe.ch:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: AutorunsDisabled (User 'SYSTEM')
O4 - S-1-5-18 Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutorunsDisabled (User 'Default user')
O4 - .DEFAULT Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOCUME~1\Asterix~1\LOCALS~1\Temp\WZSE0.TMP\INST AL~1.EXE (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10555 bytes

Mfg Zrs

Alt 13.12.2008, 17:29 Backdoor.Bot #2
Super-Moderator
 
Benutzerbild von Leonixx
 
Registriert seit: 17.10.2007
Ort: NIX DO
Beiträge: 16.371
Standard Backdoor.Bot
Hallo,

du hast einen fiesen Wurm auf dem System der z.B. Mailadressen stiehlt. Auch bekannt als W32/Mari.

Anscheinend hat er schon dein System verändert.
O4 - S-1-5-18 Startup: AutorunsDisabled (User 'SYSTEM')

Du solltest in der Registry diesen Eintrag überprüfen. Start->Ausführen->Regedit eingeben-HKLM\Software\Microsoft\Windows
\CurrentVersion\Run\System32

Wenn der Eintrag vorhanden ist, dann löschen.

Lade dir Superantispyware, installieren, updaten, Kompletten Scan durchführen, Ergebnis hier posten.

Gruss Leonixx
Alt 13.12.2008, 18:10 Backdoor.Bot #3
Zrs
Erfahrener Benutzer
Themenstarter
 
Registriert seit: 25.06.2008
Beiträge: 117
Standard RE: Backdoor.Bot
Ok, danke für die Antwort!!!!

Habe versucht, den Wurm in der Registry zu finden.
Wusste aber nicht genau wie das funktioniert resp. habe einfach mit der Funktion Ctrl. + F den Pfad

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \System32

eingegeben und gewartet... Hat nichts gefunden..

Unter welchem Stammbaum muss ich suchen

HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG

und nach was (W32/Mari oder eben den erwähnte Pfad?) genau?

Sorry, bin überhaupt kein PC-Spezialist - leider...

Mfg Zrs
Alt 13.12.2008, 18:27 Backdoor.Bot #4
Super-Moderator
 
Benutzerbild von Leonixx
 
Registriert seit: 17.10.2007
Ort: NIX DO
Beiträge: 16.371
Standard Backdoor.Bot
HKLM=HKEY_LOCAL_MACHINE

Wie schon geschrieben. Klicke auf Start, dann Ausführen, dort gibst du regedit ein. Dann bist du in der Registry. Dann gehts weiter. Klicke auf den Ordner Hkey Local Machine, dann Ordner Software, dann Ordner Microsoft, dann Ordner Windows, dann Ordner Current Version, dann Ordner Run. Rechts erscheinen dann Einträge. Hier schaust du ob dieser Eintrag System32 dabei ist. Diesen dann löschen.

Der Registry Eintrag im Runordner bedeutet, dass sich der Wurm bei jedem Neustart wieder lädt und aktiv ist.
Alt 13.12.2008, 18:46 Backdoor.Bot #5
Zrs
Erfahrener Benutzer
Themenstarter
 
Registriert seit: 25.06.2008
Beiträge: 117
Standard RE: Backdoor.Bot
Also, habe folgendes gefunden. Weiss nicht, ob es der gemeinte Wurm ist:

Name:
KernelFaultCheck

Type:
REG_EXPAND_SZ

Data:
%systemroot%\system32\dumprep 0 -k


Wenn es dieser ist, wie lösche ich ihn? Markieren und delete?

Soll ich Superantispyware noch anwenden? Verwende Spybot, Ad Aware und a-squared..

Mfg
Alt 13.12.2008, 18:56 Backdoor.Bot #6
Super-Moderator
 
Benutzerbild von Leonixx
 
Registriert seit: 17.10.2007
Ort: NIX DO
Beiträge: 16.371
Standard Backdoor.Bot
Nein, diese Einträge nicht löschen. Der Eintrag wurde durch Malewarebytes beseitigt.

Lasse zur Sicherheit noch Superantispyware durchlaufen, falls der Wurm noch ein weiteres Schadprogramm nachgeladen hat.
Alt 13.12.2008, 19:01 Backdoor.Bot #7
Zrs
Erfahrener Benutzer
Themenstarter
 
Registriert seit: 25.06.2008
Beiträge: 117
Standard RE: Backdoor.Bot
Ok, sonst sehe ich nichts verdächtiges..

Werde es installieren. Es beeinträchtigt das System aber nicht, wenn ich als Hintergrundwächter Mc Afee habe?

Mfg Zrs
Alt 13.12.2008, 21:22 Backdoor.Bot #8
Super-Moderator
 
Benutzerbild von Leonixx
 
Registriert seit: 17.10.2007
Ort: NIX DO
Beiträge: 16.371
Standard Backdoor.Bot
Nein, kannst du parallel laufen lassen.
Alt 13.12.2008, 21:41 Backdoor.Bot #9
Zrs
Erfahrener Benutzer
Themenstarter
 
Registriert seit: 25.06.2008
Beiträge: 117
Standard RE: Backdoor.Bot
Der Scan ist jetzt zu ende:

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 12/13/2008 bei 10:13 PM

Version der Applikation : 4.23.1006

Version der Kern-Datenbank : 3674
Version der Spur-Datenbank : 1653

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:40:54

Gescannte Speicherelemente : 626
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 14003
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 77956
Erfasste Datei-Elemente : 0


Mfg Zrs
Alt 14.12.2008, 08:27 Backdoor.Bot #10
Erfahrener Benutzer
 
Benutzerbild von TIPower
 
Registriert seit: 26.03.2008
Beiträge: 2.188
Standard Backdoor.Bot
Der hat nixs gefunden.

Wenn der Virus Email Adressen klaut - Kannst du ja mal einen kollegen fragen den du in deinem Adressbuch hasst ob er Spam mails bekommt.
Antwort
Seite 1 von 2 1 2

RB

Thema: Backdoor.Bot


« aufgehende Fenster | Was ist das? »
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht
Linear-Darstellung Linear-Darstellung

Ähnliche Themen für: Backdoor.Bot
Thema Autor Forum Antworten Letzter Beitrag
Backdoor-Trojaner Graybird ?
Servus Leute, habe eben mal meinen Rechner komplett checken lassen mit Norton Internet Security 2009.....und es wurde eine Infizierung mit dem... 		honky Viren, Würmer, Spyware 3 16.08.2009 01:51
Trojaner Backdoor
Servus Leutz, habe mir vor einigen Tagen nen Trojaner namens: Backdoor.Win32.VB.brg eingefangen. Kann diesen durch kaspersky internet security... 		honky Viren, Würmer, Spyware 7 12.08.2008 11:38
Suspicious Backdoor
Hallo, oje ich entwickel mich ja langsam zum Sicherheitsfanatiker. Ich habe eben ein Hijackthis-Logfile angefertigt und dort auswerten lassen. ... 		hexe Viren, Würmer, Spyware 5 02.12.2007 20:00
BackDoor.Dosia
Hier eine Link wie ihr den wieder los werdet und was der so alles macht. http://virus-protect.org/virus/vssms32.html Sende Informationen über: ... 		splasch Viren, Würmer, Spyware 0 28.03.2007 10:55
Backdoor ?!?!
Hallo, ich habe ein Problem und zwar -Dropper DR /Agent.age.70- !!! Irgendwie befindet sich der Virus 42 mal auf meinem System doch kein... 		Saado Viren, Würmer, Spyware 3 02.03.2007 19:30

Zurück   Computer Forum - PC Forum - ModernBoard.de > Computerprobleme > Viren, Würmer, Spyware
Backdoor.Bot Backdoor.Bot

Besucher kamen mit folgenden Begriffen auf die Seite

backdoor.bot
Powered by vBadvanced CMPS v3.2.2


Sie betrachten gerade: Backdoor.Bot