Ich weiss nicht, ob ich einen Spion habe!!! DSO Exploit

#0
10.08.2004, 21:41
...neu hier

Beiträge: 3
#1 hallo leute,

ich habe seit ein paar tagen eine sehr hohe senderate, egal ob ich browser oder icq offen habe oder nicht, ca. 5-12 bytes pro sekunde.
ich habe antivir und 0190warner installiert und nichts gefunden. dann habe ich spybot drüberlaufen lassen und habe DSO Exploit gefunden und entfernen lassen. aber es hat sich nichts geändert. ich habe dann noch den online scan von trend micro ausprobiert und jetzt habe ich die datei payload.dat gefunden, allerdings ohne den dazugehörigen virus... ich habe alles gelöscht, aber nichts passiert... hier ist mein hijack scan:

Logfile of HijackThis v1.98.2
Scan saved at 21:29:20, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\secure.exe
C:\WINDOWS\System32\explore.exe
C:\WINDOWS\System32\MSltie.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\system\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\MSltie.exe
C:\PROGRA~1\GMXPRO~1\GMXINT~1\GMX_Internet_Manager.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft AUT Update] secure.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] ec.exe
O4 - HKLM\..\Run: [Micros0ft Update] explore.exe
O4 - HKLM\..\Run: [Configuration Load] MSltie.exe
O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system\rundll32.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft AUT Update] secure.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] ec.exe
O4 - HKLM\..\RunServices: [Micros0ft Update] explore.exe
O4 - HKLM\..\RunServices: [Configuration Load] MSltie.exe
O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft AUT Update] secure.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] ec.exe
O4 - HKCU\..\Run: [Micros0ft Update] explore.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Configuration Load] MSltie.exe
O4 - HKCU\..\Run: [WindowsRegKey Autoupdate] explorer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ConferenceRoom Java Client - http://chat.interlatin.com/java/cr.cab
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/038e938b8708f9a7dc21/netzip/RdxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9FE798E-56CF-498E-92E4-E3FAE8A8410F}: NameServer = 217.237.150.33 194.25.2.129

kann mir bitte jemand helfen? ich bin total verzweifelt... danke!!!

michael
Seitenanfang Seitenende
10.08.2004, 23:04
Member

Beiträge: 441
#2 Hallo,

das sieht leider gar nicht gut aus!

Überprüfe zunächst folgende Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis:

C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\secure.exe
C:\WINDOWS\System32\explore.exe
C:\WINDOWS\System32\MSltie.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\system\rundll32.exe
ec.exe
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 10.08.2004 um 23:04 Uhr von Cidre editiert.
Seitenanfang Seitenende
10.08.2004, 23:15
...neu hier

Themenstarter

Beiträge: 3
#3 Zu überprüfende Datei: wuamgrd.exe

wuamgrd.exe - packed with Petite
wuamgrd.exe Infiziert: Backdoor.SdBot.jt

Zu überprüfende Datei: secure.exe

secure.exe - packed with UPX
secure.exe Infiziert: Backdoor.Rbot.gen

Zu überprüfende Datei: explore.exe

explore.exe - packed with PELock
explore.exe Infiziert: Backdoor.SdBot.jg

Zu überprüfende Datei: MSltie.exe

MSltie.exe - packed with UPX
MSltie.exe Infiziert: Backdoor.SdBot.gen

Zu überprüfende Datei: explorer.exe

explorer.exe - packed with PELock
explorer.exe Infiziert: Backdoor.Rbot.gen

Zu überprüfende Datei: rundll32.exe

rundll32.exe Ok

Zu überprüfende Datei: ec.exe

ec.exe - packed with UPX
ec.exe Infiziert: Backdoor.Rbot.gen


was kann ich jetzt tun??? danke
Seitenanfang Seitenende
11.08.2004, 00:00
Member

Beiträge: 441
#4 @ Trierer79

Dein System ist hochgradig mit Backdoor Trojaner kompromittiert. Daher gibt es für dich nur eine sichere Lösung, um wieder einen vertrauenswürdigen Zustand deines System herzustellen: Neuaufsetzen deines Systems!
http://oschad.de/wiki/index.php/Kompromittierung

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29
http://de.wikipedia.org/wiki/Backdoor

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
6. Deine Passwörter ändern
7. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
8. Surfverhalten überdenken

Für die Zukunft:
Kompromittierung unvermeidbar?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
11.08.2004, 18:50
Member
Avatar Dafra

Beiträge: 1122
#5

Zitat

Zitat von Cidre
1. Eingeschränktes Benutzerkonto erstellen
Erstelle es nicht nur, sondern benutze es auch.
Als Admin im Inet zu surfen oder zu Spielen ist hochgeradig dumm.
MFG
DAFRA
Seitenanfang Seitenende
11.08.2004, 19:16
...neu hier

Themenstarter

Beiträge: 3
#6 ich danke euch!!!
machts gut
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: