NetBus/MyDoom - Rechner infiziert?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Calyx, 2. Januar 2009 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 2. Januar 2009
    Moin!

    Hoffe mir kann hierbei jmd helfen. In letzter Zeit bekomme ich desöfteren, wenn ich ins Internet connecte, Warnungen von meiner Firewall dass Programme mit den Namen NetBus und MyDoom über Port 12345 versuchen auf meinen Rechner zuzugreifen. Dass es sich dabei um Remote-Tools handelt die unter anderem meine Passwörter rausfinden wollen hab ich durch googlen schon rausgefunden. Bin ansonsten nicht so bewandert in diesen Dingen ...

    Meine Firewall sagt immer, dass diese Verbindungen blockiert wurden. Mach mir aber trotzdem Sorgen dass mein Rechner unsicher ist. Lasse fast täglich mein Antivirenprogramm (F-Secure) meine Festplatten abscannen, es wird aber nichts gefunden. Auch hab ich verdächtige Dateien, die ich zuletzt runtergeladen hab bei virustotal.com hochgeladen und checken lassen...ohne Erfolg.

    Hab im Netz diverse Beschreibungen gefunden, in welchen Ordnern/Dateien sich die Programme einnisten...finde aber nichts.

    Wie kriege ich diesen Mist ohne zu formatieren wieder vom PC? Wäre über Hilfe sehr dankbar!
     
  2. 2. Januar 2009
    AW: NetBus/MyDoom - Rechner infiziert?

    Mach bitte einen HijackThis log und poste den, damit man sehen kann, ob sich in deinem Autostart irgendwo was eingenistet hat oder nicht!
     
  3. 2. Januar 2009
    AW: NetBus/MyDoom - Rechner infiziert?

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:40:32, on 02.01.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Arcor\Common\FSM32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    E:\Programme\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\CNAB4LAK.EXE
    C:\WINDOWS\system32\CNAB4RPK.EXE
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Arcor\Anti-Virus\fsgk32st.exe
    C:\Programme\Arcor\Anti-Virus\FSGK32.EXE
    C:\Programme\Arcor\Common\FSMA32.EXE
    C:\Programme\Arcor\Common\FSMB32.EXE
    C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
    C:\Programme\Arcor\Common\FCH32.EXE
    E:\Programme\nTune\nTuneService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\oodag.exe
    C:\Programme\Arcor\Anti-Virus\fsqh.exe
    C:\Programme\Arcor\Common\FAMEH32.EXE
    C:\Programme\Arcor\FSGUI\fsguidll.exe
    C:\Programme\Arcor\FSAUA\program\fsaua.exe
    C:\Programme\Arcor\Anti-Virus\fssm32.exe
    C:\Programme\Arcor\FWES\Program\fsdfwd.exe
    C:\Programme\Arcor\FSAUA\program\fsus.exe
    C:\Programme\Arcor\Anti-Virus\fsav32.exe
    E:\Programme\ICQ6\ICQ.exe
    E:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Arcor\FSGUI\fsavgui.exe
    E:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://raidrush-ws/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Programme\FlashFXP\IEFlash.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [amd_dc_opt] E:\Programme\CoreOptimizer\amd_dc_opt.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Arcor\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Arcor\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: rasphone.exe.lnk = C:\WINDOWS\system32\rasphone.exe
    O4 - Global Startup: Canon LBP2900 Statusfenster.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\CNAB4LAK.EXE
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Office12\REFIEBAR.DLL
    O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C1A807A3-CBDD-4E97-AAD5-5A427728DEEC}: NameServer = 195.50.140.114 195.50.140.252
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\Office12\GR99D3~1.DLL
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Arcor\Anti-Virus\fsgk32st.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\Arcor\FSAUA\program\fsaua.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Arcor\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\Arcor\Common\FSMA32.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - E:\Programme\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    
    --
    End of file - 7367 bytes
     
  4. 2. Januar 2009
    AW: NetBus/MyDoom - Rechner infiziert?

    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll FIXXEN!

    O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll FIXXEN!

    O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing) FIXXEN !

    O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing) FIXXEN!


    Allerdings seh ich da jetzt nix wirklich verseuchtes ^^
     
  5. 2. Januar 2009
    AW: NetBus/MyDoom - Rechner infiziert?

    Stell außerdem bitte sicher, dass diese Arcor-Dateien alle sicher sind. Ich weiß nicht, wie es normalerweise aussieht und kann deswegen auch nicht sagen, ob die alle ihre richtigkeit haben. Aber das von DaNi solltest du auf jeden Fall machen!
     
  6. 2. Januar 2009
    AW: NetBus/MyDoom - Rechner infiziert?

    Ok, die Sachen sind gefixt.

    Würds Sinn machen eventuell mir noch andere Antiviren-Programme zu besorgen und die auch noch mal durchlaufen zu lassen? Die Arcor-Dateien gehören zu meinem "Sicherheitspaket" was ich von denen hab...
     
  7. 2. Januar 2009
    AW: NetBus/MyDoom - Rechner infiziert?

    Naja andere Virenprogramme hätten zwar andere Virendefinitionsdateien, aber da die beiden von dir angegebenen Viren shcon älter sind, sollten sie von allen gägnigen Scannern erkannt werden.

    Ich würde es jetzt erstmal so lassen und wenn nochmal was auftaucht meldest du dich einfach wieder.

    Chillikid
     
  8. 3. Januar 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: NetBus/MyDoom - Rechner infiziert?

    Erstmal danke für die Tipps.

    Grad nach der Nachtschicht nach hause gekommen...Rechner angemacht, bisschen Fallout3 gezockt, dann nach 20 Minuten holt mich das hier aus dem Spiel:

    Bild

    Ich weiß nicht ob ich da vielleicht ein wenig zu besorgt bin, es wundert mich nur das ich ständig solche Meldungen erhalte...hab zurzeit wieder mein DSL-Modem dran und F-Secure als Schutzproggi. Als ich noch meinen Router angeschlossen hatte + Antivir hab ich nie irgendwas gehabt... kommt mir alles ziemlich komisch vor.
     
  9. 3. Januar 2009
    AW: NetBus/MyDoom - Rechner infiziert?

    Also wenn ich das richtig verstanden habe, kriegst du Meldungen, dass jemand von ausserhalb auf deinen PC zugreifen will?
    Solange auf deinem PC keine schädliche Software ist, die auf dem Port "horcht" und antwortet kann dir da nichts passieren. Ein DSL-Modem hat meistens eine eingebaute Hardwarefirewall, z.B. wie die Fritzbox, daher ist es gut möglich, dass du durch den Wechsel zu dem einfachen Modem diese Meldungen überhaupt erst kriegst! Voher wurden die alle von der HW-Firewall geblockt.

    Lass außerdem bitte mal das hier durchlaufen und poste das Ergebnis:
    http://www.port-scan.de/lynx/tcp.php
     
  10. 3. Januar 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: NetBus/MyDoom - Rechner infiziert?

    Bild

    Hmm is nur 1 Port offen...und die FW sagt ja auch immer dass alles geblockt wurde. Ich vertrau dem Ding jetzt einfach mal und hab die Alarmbenachrichtigungen aus gestellt. Du hast recht, wahrscheinlich wurde sonst immer alles von der Router internen fw geblockt und ich mach mir jetzt unbegründet Sorgen weil hier ständig F-Secure aufpoppt

    ...danke für die Hilfe! Closed
     
  11. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.