irc - Backdoor oder so etwas gefunden !? Was nun ?

#0
19.06.2004, 21:22
...neu hier

Beiträge: 2
#1 Hallo liebe Leute!

Habe da was sehr merkwürdiges auf meinem laptop entdeckt!

Aufgefallen ist mir die ganze Sache als ich daheim ins Netz wollte - Kabel rein los gehts! Wie sonst halt auch. Bloß das ich nicht ins internet konnte und meine anderen Rechner im Heimnetz waren auch nicht zu sehen!

Taskmanager ----> "niggaz.exe" ?????? Neu

und unter netstat /a baut mein rechener ne verbindung auf !!

hab das mal untersucht!

sobald ich das netzwerkkabel eingesteckt habe fängt der rechner an einen udp-port zu wechseln (den letzten in der liste) ca. alle 10 sek.

20079
20017
20115
20190
20065
.
.

dann nach ungfähr 1 min wird eine Verbindung hergestellt

so mehr dazu im hijack protokoll und dem netstat-auszug

Besten Dank im voraus Püppi_Berlin

Logfile of HijackThis v1.97.7
Scan saved at 20:51:43, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\System32\niggaz.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshmonitor.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshipm.exe
C:\WINDOWS\System32\cmd.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.vivisimo.com/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.115.1:3128/proxy2000.kenins
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [Microsoft Update Machine] niggaz.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] niggaz.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] niggaz.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4536A982-F3C3-4D61-91C8-8F3C32260537}: NameServer = 192.168.115.1




C:\Dokumente und Einstellungen\Matzeken>netstat /a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP Athlon64:auth Athlon64:0 ABHÖREN
TCP Athlon64:epmap Athlon64:0 ABHÖREN
TCP Athlon64:microsoft-ds Athlon64:0 ABHÖREN
TCP Athlon64:802 Athlon64:0 ABHÖREN
TCP Athlon64:1025 Athlon64:0 ABHÖREN
TCP Athlon64:2234 Athlon64:0 ABHÖREN
TCP Athlon64:8888 Athlon64:0 ABHÖREN
TCP Athlon64:netbios-ssn Athlon64:0 ABHÖREN
TCP Athlon64:2234 195.22.134.26:6667 SYN_GESENDET
UDP Athlon64:microsoft-ds *:*
UDP Athlon64:isakmp *:*
UDP Athlon64:802 *:*
UDP Athlon64:1026 *:*
UDP Athlon64:1064 *:*
UDP Athlon64:l2tp *:*
UDP Athlon64:20098 *:*
UDP Athlon64:netbios-ns *:*
UDP Athlon64:netbios-dgm *:*

C:\Dokumente und Einstellungen\Matzeken>
Seitenanfang Seitenende
19.06.2004, 21:36
Member
Avatar Dafra

Beiträge: 1122
#2 Fix mal:
O4 - HKLM\..\Run: [Microsoft Update Machine] niggaz.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] niggaz.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] niggaz.exe

Kannst du mir die Datei dann mal schicken, an

Spam-Email@gmx.net

MFG
DAFRA
Seitenanfang Seitenende
19.06.2004, 21:39
...neu hier

Themenstarter

Beiträge: 2
#3 @ dafra

du würd ich gerne bloß find ich keine solche datei aufm rechner!

habe nur nach "niggaz" gesucht !

Mein Virenprg hat ja nicht mal gemekkert aber das hat ja nix zu heißen!

Wonach soll ich kucken?
Seitenanfang Seitenende
20.06.2004, 13:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Fixe mit dem HijackThis noch einmal
O4 - HKLM\..\Run: [Microsoft Update Machine] niggaz.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] niggaz.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] niggaz.exe

dann starte neu


Dann gehst du in die Regisytry
Start\Ausfuehren\regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dort loescht du auf der rechten Seite
[Microsoft Update Machine] niggaz.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice
dort loescht du auf der rechten Seite
[Microsoft Update Machine] niggaz.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dort loescht du auf der rechten Seite
[Microsoft Update Machine] niggaz.exe

Mit der Suchfunktion von Windows =alle Dateien finden= einstellen
C:\WINDOWS\System32\niggaz.exe
muesstest du die niggaz.exe
finden , an @Dafra schicken , als zip\Datei und dann loeschen koennen.

Lade die mwav.exe und scanne
http://www.mwti.net/antivirus/free_utilities.asp

Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.06.2004 um 14:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: