irc - Backdoor oder so etwas gefunden !? Was nun ? |
||
---|---|---|
#0
| ||
19.06.2004, 21:22
...neu hier
Beiträge: 2 |
||
|
||
19.06.2004, 21:36
Member
Beiträge: 1122 |
#2
Fix mal:
O4 - HKLM\..\Run: [Microsoft Update Machine] niggaz.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] niggaz.exe O4 - HKCU\..\Run: [Microsoft Update Machine] niggaz.exe Kannst du mir die Datei dann mal schicken, an Spam-Email@gmx.net MFG DAFRA |
|
|
||
19.06.2004, 21:39
...neu hier
Themenstarter Beiträge: 2 |
#3
@ dafra
du würd ich gerne bloß find ich keine solche datei aufm rechner! habe nur nach "niggaz" gesucht ! Mein Virenprg hat ja nicht mal gemekkert aber das hat ja nix zu heißen! Wonach soll ich kucken? |
|
|
||
20.06.2004, 13:55
Ehrenmitglied
Beiträge: 29434 |
#4
Fixe mit dem HijackThis noch einmal
O4 - HKLM\..\Run: [Microsoft Update Machine] niggaz.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] niggaz.exe O4 - HKCU\..\Run: [Microsoft Update Machine] niggaz.exe dann starte neu Dann gehst du in die Regisytry Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dort loescht du auf der rechten Seite [Microsoft Update Machine] niggaz.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice dort loescht du auf der rechten Seite [Microsoft Update Machine] niggaz.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dort loescht du auf der rechten Seite [Microsoft Update Machine] niggaz.exe Mit der Suchfunktion von Windows =alle Dateien finden= einstellen C:\WINDOWS\System32\niggaz.exe muesstest du die niggaz.exe finden , an @Dafra schicken , als zip\Datei und dann loeschen koennen. Lade die mwav.exe und scanne http://www.mwti.net/antivirus/free_utilities.asp Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.06.2004 um 14:04 Uhr von Sabina editiert.
|
|
|
||
Habe da was sehr merkwürdiges auf meinem laptop entdeckt!
Aufgefallen ist mir die ganze Sache als ich daheim ins Netz wollte - Kabel rein los gehts! Wie sonst halt auch. Bloß das ich nicht ins internet konnte und meine anderen Rechner im Heimnetz waren auch nicht zu sehen!
Taskmanager ----> "niggaz.exe" ?????? Neu
und unter netstat /a baut mein rechener ne verbindung auf !!
hab das mal untersucht!
sobald ich das netzwerkkabel eingesteckt habe fängt der rechner an einen udp-port zu wechseln (den letzten in der liste) ca. alle 10 sek.
20079
20017
20115
20190
20065
.
.
dann nach ungfähr 1 min wird eine Verbindung hergestellt
so mehr dazu im hijack protokoll und dem netstat-auszug
Besten Dank im voraus Püppi_Berlin
Logfile of HijackThis v1.97.7
Scan saved at 20:51:43, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\System32\niggaz.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshmonitor.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshipm.exe
C:\WINDOWS\System32\cmd.exe
K:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.vivisimo.com/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.115.1:3128/proxy2000.kenins
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [Microsoft Update Machine] niggaz.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] niggaz.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] niggaz.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4536A982-F3C3-4D61-91C8-8F3C32260537}: NameServer = 192.168.115.1
C:\Dokumente und Einstellungen\Matzeken>netstat /a
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP Athlon64:auth Athlon64:0 ABHÖREN
TCP Athlon64:epmap Athlon64:0 ABHÖREN
TCP Athlon64:microsoft-ds Athlon64:0 ABHÖREN
TCP Athlon64:802 Athlon64:0 ABHÖREN
TCP Athlon64:1025 Athlon64:0 ABHÖREN
TCP Athlon64:2234 Athlon64:0 ABHÖREN
TCP Athlon64:8888 Athlon64:0 ABHÖREN
TCP Athlon64:netbios-ssn Athlon64:0 ABHÖREN
TCP Athlon64:2234 195.22.134.26:6667 SYN_GESENDET
UDP Athlon64:microsoft-ds *:*
UDP Athlon64:isakmp *:*
UDP Athlon64:802 *:*
UDP Athlon64:1026 *:*
UDP Athlon64:1064 *:*
UDP Athlon64:l2tp *:*
UDP Athlon64:20098 *:*
UDP Athlon64:netbios-ns *:*
UDP Athlon64:netbios-dgm *:*
C:\Dokumente und Einstellungen\Matzeken>