Hilfe! Rechner hat tw über 100 Connections

#0
22.07.2004, 19:22
...neu hier

Beiträge: 1
#1 Hallo,
seit dem ich an meinem rechner dsl hab, hab ich mit diversen Spyware Problemen zu kämpfen! Mein Rechner hatte tw über 100 Connections, wenn ich nicht aktiv war. Und das zu Usern (z.B. xxx.dip-dialin.net). Also lie´ich mal Spybot durchlaufen: DSO-Exploit. Den habe ich behoben und das problem war auch weg.
Und heute: wieder das gleiche - DSO exploit. Also hab ich ihn über die Registry gelöscht - mit dem Erfolg, dass Spybot ihn jetzt nicht mehr findet, er also gelöscht ist.
Er stellt jedoch immer noch eine Verbindung zu unknown.sagonet.net:6667 her und von da aus wie oben beschrieben zu den Usern.
Wie bekomme ich das weg??
Am Besten poste ich mal gleich mein hijackthislog dazu:

Logfile of HijackThis v1.98.0
Scan saved at 19:21:59, on 22.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\lwcjbl.exe
C:\DOKUME~1\KONNY\LOKALE~1\TEMP\TEMPOR~2.ZIP\MT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\Dokumente und Einstellungen\Konny\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Epson Registrierungserinnerung] "C:\WINDOWS\temp\NavBrowser.exe" /r /i "C:\WINDOWS\temp\NavLoad.ini"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Web Service] lwcjbl.exe
O4 - HKLM\..\Run: [Meine Traffic] C:\DOKUME~1\KONNY\LOKALE~1\TEMP\TEMPOR~2.ZIP\MT.EXE
O4 - HKLM\..\RunServices: [Web Service] lwcjbl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Web Service] lwcjbl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{029861DC-C11C-40CC-8D9C-028213C38FAD}: NameServer = 217.237.151.161 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{029861DC-C11C-40CC-8D9C-028213C38FAD}: NameServer = 217.237.151.161 194.25.2.129

Wäre nett, wenn ihr mir helfen könntet!

mfg
Seitenanfang Seitenende
22.07.2004, 21:19
Member

Beiträge: 1095
#2 @Johnson2


Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)

O4 - HKLM\..\Run: [Web Service] lwcjbl.exe
O4 - HKLM\..\Run: [Meine Traffic] C:\DOKUME~1\KONNY\LOKALE~1\TEMP\TEMPOR~2.ZIP\MT.EXE
O4 - HKLM\..\RunServices: [Web Service] lwcjbl.exe
O4 - HKCU\..\Run: [Web Service] lwcjbl.exe

Dann neustart machen und nochmal logfile posten

Gruß paff
P.S.
Suche bitte die Dateien und schick Sie gezippt an virus@protecus.de
Bitte mit Link auf diesen Thread.
Danke
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 22.07.2004 um 21:24 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: