Backdoor:IRC/RBot.0_66A.dam#2

Dieses Thema im Forum "Sicherheit" wurde erstellt von jabugo, 8. Oktober 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Hallo,

    ein Onlinescanner hat folgendes gemeldet:

    Scan started at 08.10.2004 08:42:26

    Scanning memory...
    C:\WINDOWS\system32\TFTP3944 - Backdoor:IRC/RXBot.0_66A.dam#2 -> Infected

    Scanned
    ============================
    Objects: 874
    Directories: 1
    Archives: 1
    Size(Kb): 153229
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 0

    Die Onlinescanner von Panda und Trend Micro haben nichts gemeldet.

    Ich habe danach die Reg. durchsucht, aber nichts gefunden. Kann mir jemand sagen, was ich machen soll?

    Gruß jabugo
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Prüfe dein System mit einem fest installierten Scanner. AntiVir und AVG gibts kostenlos.

    C:\WINDOWS\system32\TFTP3944
    Ist das eine Datei oder ein Ordner auf der Platte?
     
  3. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Hallo Doctor,
    danke für die Antwort. Ich habe TFTP3944 jetzt gefunden.
    Es ist eine Datei.

    Auf einem anderen Rechner mit XP habe ich diese Datei nicht gefunden. Bedeutet das, dass ich die löschen kann? Wenn ja, muß dann auch hier zuvor die Systemwiederherstellung deaktiviert werden und der Löchvorgang im abgesichertem Modus erfolgen?
    Gruß
    jabugo
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Hat diese Datei keine Endung? Und ist sie denn wirklich infiziert? Was sagen AntiVir und AVG?

    Wenn du sie löschen willst dann probiers doch erst mal im normalen Modus. Wenn das nicht geht dann machs im abgesicherten.
     
  5. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Habe mir AntiVir installiert und den Rechner damit geprüft. Es wurden 4 weitere Schädlinge gemeldet und gelöscht. Darunter ein Dialer. Erstaunlich! Wo doch der Onlinescanner von Panda bei einem Test durch Chip sehr gelobt wurde.

    TFTP 3944 wurde von AntiVir nicht erwähnt. Die Datei hat keine Endung. Da sie nicht zum XP-System gehört, werde ich sie löschen.

    Noch eine Frage:
    Zuvor hatte ich den Wurm W32 Spybot auf meinem Rechner. Das BSI teilte mit, dass der Wurm im laufenden Programm nicht beseitigt werden hann, dass vor der Beseitigung die Systemwiederherstellung deaktiviert werden muss und im abgesicherten Modus vorgegengen werden soll.

    Sind nicht alle gelöscte Viren wieder da, wenn ich einen Wiederherstellunspunkt wähle?
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Das kann durchaus passieren.

    Bei allem Respekt, dein System scheint ziemlich verseucht (gewesen) zu sein. Schon mal über ne Neuinstallation nachgedacht? Spybot ist immerhin ein Backdoor-Trojaner.

    Ausserdem solltest du dein Surfverhalten überdenken und dein System besser absichern. Von allein ist das Zeug ja nicht auf deinen Rechner gelangt.

    Stichworte sind hier Windows-Update und http://www.ntsvcfg.de/ sowie die Installation eines Virenwächters.

    .
     
  7. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Winows-Updates/Patches werden auf meinen Rechnern automatisch installiert. Mails
    mit unklaren Anhängen öffne ich niemals, auch mails unbekannter Herkunft öffne ich nicht. Alle unnötigen Dienste sind abgeschaltet. Wollte mich über Google kundig machen, was alles zum Begriff File-Sharing gehört. Dabei bin ich ungewollt mit KaZaa in Verbindung geraten und hatte mir den Spybot eingefangen. Woher die anderen Viren stammten ist mir nicht bekannt.

    Aber Du hast Recht. Ich werde formatieren und anschließend vorsichtiger sein. AntiVir gefällt mir gut und ich werde es nach der Formatierung erneut installieren.

    Nochmals danke für die Antworten.

    jabugo
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Die sind evtl. von Spybot nachgeladen worden oder haben von ihm geöffnete Lücken genutzt (is ne Vermutung).


    Kein Problem, dafür ist das Forum doch da. ;)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen