Trojan medbot.x Einstellungen

[Thieminator]

Hallo,

hab seit längerem das Problem mit dem Medbot.X.

Mein größtes Problem ist dabei eigentlich, ich hab nirgenns gefunden, wie der arbeitet, bzw funktioniert und genau macht (d.h. welche Dateien erzeugt er, sendet er Daten? etc)

Wenn mir jemand natürlich genau erläutern kann, wie ich ihn loswerde, bin ich natürlich auch dankbar.

Ich versuche nämlich das Übel am der Wurzel zu packen...

MfG

Marcel

[Chaos64]

Habe Trojan medbot.x mal bei Google eingegeben und bin unter anderen bei Kaspersky fündig geworden,
Trojan medbot.x bei Viruslist

Folglich würde ich mal nen Online-Scann mit Kaspersky versuchen:

Kaspersky Onlinescanner

....ist so meine erste Eingebung , probiere es einfach mal

[Catweazle]

Hallo, post bitte mal ein HijackThis Log hier rein, das findest du http://sicher-ins-netz.info/analyse/hjt.html hier mit Anleitung Alternative kannst du mal einen Scan mit Ewido in betracht ziehen, das findest du hier http://www.ewido.net/de/ aber Bitte poste erst mal ein Hijackthis Log hier mit rein, ok

Catweazle

Habe Trojan medbot.x mal bei Google eingegeben und bin unter anderen bei Kaspersky fündig geworden,
Trojan medbot.x bei Viruslist

Folglich würde ich mal nen Online-Scann mit Kaspersky versuchen:

Kaspersky Onlinescanner

....ist so meine erste Eingebung , probiere es einfach mal

@ Thieminator

Bedenke aber Bitte daran das dieser Online Scan, keine Malware entfernen kann, er kann nur eventuelle Malware dir anzeigen, was auf dein System eventuell vorhanden ist, also keine ENTVERNUNG !!!

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 29.10.2006, 20:59

[Chaos64]

Bedenke aber Bitte daran das dieser Online Scan, keine Malware entfernen kann

sorry wusste ich nicht, das Kaspersky - Onlinescann keine Malware entfernt.

Alternativ wäre auch A-Squared -- Freeware


Hijackthis Log wäre auch nicht schlecht, da muss ich @Catweazle recht geben

[citro]

Ich versuche nämlich das Übel am der Wurzel zu packen...

Vielleicht bekommt man den Backdoor im abgesicherten Modus weg, aber ist das System dann noch vertrauenswürdig ?

citro

Der Beitrag wurde von citro bearbeitet: 29.10.2006, 21:39

[Gast_Dylan_*]

Vielleicht bekommt man den Backdoor im abgesicherten Modus weg, aber ist das System dann noch vertrauenswürdig ?

Nein,daß System ist nicht mehr vertrauenswürdig.
Da gibt es nur einen sicheren Weg --> formatieren
Oder man hat ein sauberes Image bereit.Zudem sollte man natürlich alle Passwörter schnellstmöglich ändern,vom einem sauberen System aus oder nach dem formatieren bzw. dem,sauberen,Image zurückspielen.

P.S.
Der Onlinscanner von F-Secure z.b. kann Malware entfernen.Zumindest ging das immer bis jetzt.
Oder man verwendet eine Boot CD.

Der Beitrag wurde von Dylan bearbeitet: 29.10.2006, 22:21

[Thieminator]

Hier das HiJack LogFile:



Natürlich schon mal Danke für Eure Hilfe/ Antworten.

Angehängte Datei(en)

 hijackthis.txt ( 6.83KB ) Anzahl der Downloads: 31

 

[Gast_Dylan_*]

Wie viele AV Scanner hast du da eigentlich laufen ?
Das ist sinnfrei.

Deine Hijack This Version ist veraltet.
Erstelle mit der aktuellen Version nochmals eine Logfile.

Wo und von welchem AV Programm wird der Schädling gemeldet ??
Bitte eine genau Pfadangabe.

Der Beitrag wurde von Dylan bearbeitet: 30.10.2006, 18:40

[Chaos64]

Deine Hijack This Version ist veraltet.

Hijack This Download 1.99.1

Dann nochmal posten

[Thieminator]

Also bei mir läuft ne ganze Menge, denn nicht jeder Scanner etc findet das, was andere auch finden...

BitDefender Antivirus 10
Spybot S&D
McAfee AntiSpyware
a2 AntiDialer
Avast Antivirus

+ ein OnlineScan über F-Secure...

Angehängte Datei(en)

 hijackthis.txt ( 7.19KB ) Anzahl der Downloads: 28

 

[Gast_Dylan_*]

Du hast meine Frage immer noch nicht beantwortet..

Wo und von welchem AV Programm wird der Schädling gemeldet ??
Bitte eine genau Pfadangabe.

Entscheide dich für einen Virenscanner,sonst kommen die sich in die Quere und das System kann instabiel laufen.
Kein Virenscanner wird alles finden !!
Man sollte darauf achten das erst gar keine Malware auf's System gelangt.
Hier mal eine kleine Lektüre,um sich zu informieren.
http://www.mathematik.uni-marburg.de/~wetz...compromise.html

Der Beitrag wurde von Dylan bearbeitet: 30.10.2006, 20:08

[Gast_Jens1962_*]

Wer soll denn diesen Buchstabensalat auswerten Kopier das Log so hier rein wie es alle anderen tun.

Läuft auf der Kiste außer TOSW und Schutzprogrammen überhaupt noch was?

[Lucky]

Jens wo hast du denn einen Buchstabensalat? Ich kanns lesen. Das einzige was mich wundert, wie schafft es dein System mit 3AV Programmen und A² noch vernünftig zu laufen?

Lucky

[Gast_Jens1962_*]

Ich kanns lesen.

OK, wenn ich die Datei erst herunterlade, dann kann ich das auch lesen.

[Chaos64]

Also ich erbarme mich mal und poste mal den Log :

aLogfile of HijackThis v1.99.1
Scan saved at 19:48:29, on 30.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Winpooch\Winpooch.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
c:\programme\mcafee.com\agent\mcdetect.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\programme\softwin\bitdefender10\bdmcon.exe
C:\DOKUME~1\SANDRA~2\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\SANDRA~2\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\SandraUndMarcel\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Winpooch] C:\Programme\Winpooch\Winpooch.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F251CD4-AA8B-4583-B99D-3A9B930686B5}: NameServer = 194.25.2.129 217.237.151.161
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\progra~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



mein Gott sicherer als Sicher geht ja nun mal nich, ich würde mal über die vielzahl an Sicherheits-Progs nachdenken

Ansonsten kann ich bei deinem Log nicht's ungewöhnliches entdecken.