virus/trojaner (socks.exe + command) |
||
---|---|---|
#0
| ||
31.07.2004, 16:57
...neu hier
Beiträge: 4 |
||
|
||
31.07.2004, 18:41
Moderator
Beiträge: 7805 |
#2
Mal das hier abarbeiten:
http://www.trojaner-info.de/hijacker/escan.shtml und wenn Bedarf besteht, danach noch ein Hijackthis log posten: http://board.protecus.de/t9391.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.08.2004, 00:13
...neu hier
Themenstarter Beiträge: 4 |
#3
ok folgende dateien wurden gekillt:
D:\WINDOWS\Console.exe infected by "Trojan.Win32.Small.aa" Virus. Action Taken: File Deleted. File D:\WINDOWS\Socks.exe infected by "TrojanProxy.Win32.Small.n" Virus. Action Taken: File Deleted. File D:\WINDOWS\System.exe infected by "Trojan.PSW.LdPinch.gen" Virus. Action Taken: File Deleted. das problem ist nur wenn ich windows wieder neu starte dann sind diese wieder im d:windows drinne... gehe ich dann wieder in den abgesicherten modus, dann und lasse das programm wieder laufen, dann werden die files wieder gekillt. startet man dann aber windows normal sindse immer noch da... also das programmm killt die nicht wirklich die sind immer wieder da beim neustat von windows als virus ( |
|
|
||
01.08.2004, 00:50
Member
Beiträge: 441 |
#4
@ rexxxx
Dann erstelle ein Log-File mit HiJackThis und poste es hier rein. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
01.08.2004, 01:35
...neu hier
Themenstarter Beiträge: 4 |
#5
ok hier der log:
Logfile of HijackThis v1.98.0 Scan saved at 01:35:08, on 01.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\System32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\Programme\Sygate\SPF\smc.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\System32\GEARSec.exe D:\Programme\Network Associates\Common Framework\FrameworkService.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\Programme\Network Associates\VirusScan\Mcshield.exe D:\Programme\Network Associates\VirusScan\VsTskMgr.exe D:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe D:\WINDOWS\System.exe D:\WINDOWS\Socks.exe D:\Programme\Network Associates\VirusScan\SHSTAT.EXE D:\Programme\Network Associates\Common Framework\UpdaterUI.exe D:\Programme\NetLimiter\NetLimiter.exe D:\Programme\KlipFolio\KlipFolio.exe D:\Programme\Meaya\Popup Ad Filter\PopFilter.exe D:\Programme\TGTSoft\StyleXP\StyleXP.exe D:\WINDOWS\Console.exe D:\Programme\CursorXP\CursorXP.exe D:\Programme\TVgenial\TVgenial.exe D:\Programme\NoPopUp 2003\nopopup.exe D:\Programme\Rainlendar\Rainlendar.exe E:\Aufsetzen\PowerMenu_1_5_1\PowerMenu.exe D:\WINDOWS\twain_32\CIS600X\WATCH.exe D:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE I:\miranda-im-v0.3.3.1\miranda32.exe D:\Programme\ReGetDx\regetdx.exe I:\FlashFXP 2.1 Build 924\FlashFXP.exe F:\Appz\Sonstiges\dvbdream\dvbdream.exe D:\Dokumente und Einstellungen\mttg\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smartstartpage.de/redirect.php?id=1221-bvbbvb R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 65.247.204.195:3128 F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: BitBeamer IE Plugin - {4BD9653E-D4C7-454B-9151-A8517B84BA08} - D:\Programme\BitBeamer\ieplugin.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [NetLimiter] D:\Programme\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [KlipFolio] "D:\Programme\KlipFolio\KlipFolio.exe" /BOOT O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Popup Ad Filter] D:\Programme\Meaya\Popup Ad Filter\PopFilter.exe O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [CursorXP] D:\Programme\CursorXP\CursorXP.exe O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d O4 - HKCU\..\Run: [NoPopUp] D:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe O4 - Startup: Verknüpfung mit PowerMenu.exe.lnk = E:\Aufsetzen\PowerMenu_1_5_1\PowerMenu.exe O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\CIS600X\WATCH.exe O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - D:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Allow Popups - D:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js O8 - Extra context menu item: Download All with BitBeamer - res://D:\Programme\BitBeamer\ieplugin.dll/getlinks O8 - Extra context menu item: Download with BitBeamer - res://D:\Programme\BitBeamer\ieplugin.dll/download O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - D:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{0986F73C-4EAC-4A18-8A18-35A278ED95E9}: NameServer = 194.8.194.60,215.168.112.60 O17 - HKLM\System\CCS\Services\Tcpip\..\{C8EA076F-FA44-4832-8755-BBB45DC739A8}: NameServer = 194.8.194.60,215.168.112.60 O21 - SSODL: Systask - {5A11AFF7-0A49-4444-A207-81DF1660CDDB} - dllsys2.dll (file missing) |
|
|
||
01.08.2004, 02:00
Member
Beiträge: 441 |
#6
@ rexxxx
An deiner Stelle würde ich, über ein Neuaufsetzen deines Systems nachdenken, denn keine deiner Dateien und Passwörter sind mehr vertrauenswürdig und somit als bekannt anzusehen. Warum wurdest du von deiner Sygate Firewall und deinen Mc Afee Antivirus nicht gewarnt? Soviel zum Thema Scheinsicherheit durch Software. http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html http://schad.dyndns.org/index.php/Kompromittierung Zur Information was diser Trojan.PSW.LdPinch.gen (D:\WINDOWS\System.exe) alles kann: Der Trojaner versucht in regelmäßigen Abständen, vertrauliche Daten an eine remote Stelle zu senden. Zu den Daten gehören: * Computerdaten (OS-Version, Speicher, CPU etc.) * verfügbare Laufwerke (Laufwerksbuchstabe, Typ und freier Speicher) * Hostname und IP-Adresse * Daten über das Volume mit dem Windows-Ordner * Installationsdaten und Daten, die für bestimmte Software in der Registrierung gespeichert werden, darunter ICQ und Trillian * Kennwörter und vertrauliche Daten aus dem "Protected Storage" * POP3- und IMAP-Serverdaten, -Benutzernamen und -Kennwörter * FTP-Benutzernamen und -Kennwörter * RAS-Einwahlverbindungseinstellungen http://www.sophos.de/virusinfo/analyses/trojldpinchfam.html Der Trojaner läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den Computer an Port 2050. Ein remoter Eindringling kann sich mit diesem Port verbinden und eine Command Shell erhalten. Zur Info was der TrojanSpy.Win32.Small (socks.exe und console.exe) Die DLL-Komponente überwacht die Internetnutzung und versucht, Zugangsdaten für Konten auf verschiedenen Banken zu stehlen. http://www.sophos.de/virusinfo/analyses/trojwebmoneye.html Das sollte eigentlich Grund genug sein, um dein System nicht mehr zu vertrauen! Nach dem Neuaufsetzen und vor der ersten Internet Verbindung bitte diese Punkte abarbeiten (Reihenfolge einhalten): 1. Eingeschränktes Benutzerkonto erstellen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. Deine Passwörter ändern 6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder Browserwechsel wie z.B. Mozilla oder Firefox 7. Image deiner Systempartition erstellen 8. Surfverhalten überdenken __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 01.08.2004 um 02:03 Uhr von Cidre editiert.
|
|
|
||
01.08.2004, 19:47
...neu hier
Themenstarter Beiträge: 4 |
#7
ok danke für die vielen infos, hab mein system jetzt neu aufgesetzt...
wo das zeugs herkommt kann ich mir beim besten willen nicht erklären, da ich eigenltich immer sehr stark auf sicherheit gehe, spirch, kein ie nur mozilla... jeden tag das neueste viren update, einmal in der woche die neuen updates von ms überprüfen, keine mails öffnen die ich nicht kenne und so... hoffe der gute hat nicht zuviel von mir, dass einzigste was "gehackt" wurde war meine icq nr, auf die war der wohl auch scharf drauf (war eine 6stellige). und der gute kam aus russland... hoffe nur mal der hat nicht mehr angepackt... |
|
|
||
01.08.2004, 20:21
Member
Beiträge: 441 |
#8
@ rexxxx
Zitat hab mein system jetzt neu aufgesetztEine weise Entscheidung Zitat wo das zeugs herkommt kann ich mir beim besten willen nicht erklärenEventuell unvorsichtig beim öffnen von eMail Anhängen gewesen siehe hier: http://www.dslteam.de/news1751.html Zitat hoffe nur mal der hat nicht mehr angepacktIch hoffe es für dich. Viel Glück Gruß Cidre __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
habe ein ziemliches problem mit einem troiner/ virus.
Folgendes passiert beim Systemstart:
Nach kurzer Zeit taucht im Taskmanager eine
socks.exe auf die die cpu auf 100% anschlagen lässt.
Als nächstes gesellt sich eine command dazu.
Darauf folgen verdammt viele cmd's so das gar nichts mehr geht am pc.
danch meldet mein mcafee eine dll.dll als gelöschten trojaner.
Nur durch ein löschen der socks.exe und command lässt sich wieder normal arbeiten.
Da ich aber icht jedesmal beim systemstart die beiden sachen löschen will bin ich jetzt nun schon seit 2 tagen verzweifelt am versuchen den guten zu killen, leider ohne erfolg.
ich habe zunächst einmal normal versucht zu scannen, nichts gefunden.
dann habe ich die systemwiederherstellung deaktiviert und im abgesicherten modus gescannt, leider auch vergebens.
nun weiß ich wirklich nicht mehr weiter was ich noch machen soll,
ich hoffe hier kann mir einer helfen bin schon am verzweifeln