W32/Rbot-JF Hilfe!

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von cable, 26. Januar 2009 .

Schlagworte:
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 26. Januar 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Hey!

    Mir wurde vor geraumer Zeit mein Steam Acc geklaut. Direkt danach habe ich mein System gescannt (SpyBot, HiJackThis, NOD32, BitDefender) und habe eine aktuelle Firewall installiert. Ca 1,5 Wochen später ging der Accoutn schon wieder nicht mehr. Dann habe ich mir AnitVir geladen + alle neusten Updates aber nix gefunden, bis auf einen Bifrost Troj Eintrag in der Registry und einer Updates.exe in C:\WINDOWS\system32\, welche ein Bifrost Trojaner sein sollte.
    Nun habe ich das Problem, dass die Updates.exe alle 2 min neu im Ordner ist, auch wenn ich sie lösche. Als iczh nach updates.exe gegooglet habe, fande ich: W32/Rbot-JF.

    Nur leider finde ich das Backdoor nicht bzw den Bot. Ich weiß nicht wo der Bot immer wieder die Bifrost Sche**e herbekommt.

    Hab allle Windows Updates gmeacht (WinXP SP 2).

    Hab den Troajner mal auf xup geschoben, also !VORSICHT!:
    No File | xup.in

    Kann mir jemand sagen, wie ich den Dreck runterbekomme? (Also den Bot, nicht den Trojaner).

    greez
     

  2. Anzeige
  3. #2 26. Januar 2009
    AW: W32/Rbot-JF Hilfe!

    Hijackthis Log?

    Im schlimmsten Fall: Formatieren, alle Passwörter ändern
     
  4. #3 26. Januar 2009
    AW: W32/Rbot-JF Hilfe!

    Hab ich schon mal gemacht, aber nix auffälliges gefunden:

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:58:52, on 26.01.2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
    C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
    C:\Programme\Siemens\Gigaset USB Adapter 108\OdHost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\FlashFXP\flashfxp.exe
    C:\Programme\QIP Infium\infium.exe
    C:\Programme\Winamp\winamp.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\notepad.exe
    
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [S60TrayApplication] C:\PROGRA~1\Samsung\SAMSUN~2\LAUNCH~1.EXE -onlytray
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Infium] "C:\Programme\QIP Infium\infium.exe"
    O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Samsung\Samsung PC Studio 7\PcSync2.exe /NoDialog (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Programme\Samsung\Samsung PC Studio 7\PcSync2.exe /NoDialog (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
    O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\Rob\Anwendungsdaten\Wuala\Roaming\Wuala.exe
    O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232962932312
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - 
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O24 - Desktop Component 0: (no name) - (no file)
    
    --
    End of file - 7664 bytes
    
    greez
     
  5. #4 26. Januar 2009
    AW: W32/Rbot-JF Hilfe!

    Ich kann da jetzt auf den ersten Blick nichts verdächtiges entdecken.
    Aber ich rate dir zu formatieren und dein System neu aufzusetzen, wenn du einmal einen trojaner hast wirst du ihn sonst nie wieder mit sicherheit los.
     
  6. #5 26. Januar 2009
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: W32/Rbot-JF Hilfe!

    Jup. Ich kann auch nichts wirklich Verdächtiges finden.

    Wie kann man den Bifrost Trojaner entfernen? Anleitung zum finden der infizierten Datei(en).

    Würde aber nicht davon ausgehen, dass damit dein PC wieder komplett Virenfrei ist.

    Formatieren = sicherste Methode!
     
  7. #6 27. Januar 2009

  8. Videos zum Thema
Die Seite wird geladen...
Similar Threads - W32 Rbot
  1. Antworten:
    5
    Aufrufe:
    2.303
  2. Antworten:
    11
    Aufrufe:
    6.098
  3. Antworten:
    12
    Aufrufe:
    3.559
  4. W32.Pinfi

    inheartum , 16. August 2009 , im Forum: Sicherheit & Datenschutz
    Antworten:
    4
    Aufrufe:
    663
  5. Antworten:
    4
    Aufrufe:
    918