Ich weiss nicht, ob ich einen Spion habe!!! DSO Exploit |
||
---|---|---|
#0
| ||
10.08.2004, 21:41
...neu hier
Beiträge: 3 |
||
|
||
10.08.2004, 23:04
Member
Beiträge: 441 |
#2
Hallo,
das sieht leider gar nicht gut aus! Überprüfe zunächst folgende Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis: C:\WINDOWS\System32\wuamgrd.exe C:\WINDOWS\System32\secure.exe C:\WINDOWS\System32\explore.exe C:\WINDOWS\System32\MSltie.exe C:\WINDOWS\System32\explorer.exe C:\WINDOWS\system\rundll32.exe ec.exe __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 10.08.2004 um 23:04 Uhr von Cidre editiert.
|
|
|
||
10.08.2004, 23:15
...neu hier
Themenstarter Beiträge: 3 |
#3
Zu überprüfende Datei: wuamgrd.exe
wuamgrd.exe - packed with Petite wuamgrd.exe Infiziert: Backdoor.SdBot.jt Zu überprüfende Datei: secure.exe secure.exe - packed with UPX secure.exe Infiziert: Backdoor.Rbot.gen Zu überprüfende Datei: explore.exe explore.exe - packed with PELock explore.exe Infiziert: Backdoor.SdBot.jg Zu überprüfende Datei: MSltie.exe MSltie.exe - packed with UPX MSltie.exe Infiziert: Backdoor.SdBot.gen Zu überprüfende Datei: explorer.exe explorer.exe - packed with PELock explorer.exe Infiziert: Backdoor.Rbot.gen Zu überprüfende Datei: rundll32.exe rundll32.exe Ok Zu überprüfende Datei: ec.exe ec.exe - packed with UPX ec.exe Infiziert: Backdoor.Rbot.gen was kann ich jetzt tun??? danke |
|
|
||
11.08.2004, 00:00
Member
Beiträge: 441 |
#4
@ Trierer79
Dein System ist hochgradig mit Backdoor Trojaner kompromittiert. Daher gibt es für dich nur eine sichere Lösung, um wieder einen vertrauenswürdigen Zustand deines System herzustellen: Neuaufsetzen deines Systems! http://oschad.de/wiki/index.php/Kompromittierung Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29 http://de.wikipedia.org/wiki/Backdoor Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 6. Deine Passwörter ändern 7. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 8. Surfverhalten überdenken Für die Zukunft: Kompromittierung unvermeidbar? __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
11.08.2004, 18:50
Member
Beiträge: 1122 |
#5
Zitat Zitat von CidreErstelle es nicht nur, sondern benutze es auch. Als Admin im Inet zu surfen oder zu Spielen ist hochgeradig dumm. MFG DAFRA |
|
|
||
11.08.2004, 19:16
...neu hier
Themenstarter Beiträge: 3 |
#6
ich danke euch!!!
machts gut |
|
|
||
ich habe seit ein paar tagen eine sehr hohe senderate, egal ob ich browser oder icq offen habe oder nicht, ca. 5-12 bytes pro sekunde.
ich habe antivir und 0190warner installiert und nichts gefunden. dann habe ich spybot drüberlaufen lassen und habe DSO Exploit gefunden und entfernen lassen. aber es hat sich nichts geändert. ich habe dann noch den online scan von trend micro ausprobiert und jetzt habe ich die datei payload.dat gefunden, allerdings ohne den dazugehörigen virus... ich habe alles gelöscht, aber nichts passiert... hier ist mein hijack scan:
Logfile of HijackThis v1.98.2
Scan saved at 21:29:20, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\secure.exe
C:\WINDOWS\System32\explore.exe
C:\WINDOWS\System32\MSltie.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\system\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\MSltie.exe
C:\PROGRA~1\GMXPRO~1\GMXINT~1\GMX_Internet_Manager.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft AUT Update] secure.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] ec.exe
O4 - HKLM\..\Run: [Micros0ft Update] explore.exe
O4 - HKLM\..\Run: [Configuration Load] MSltie.exe
O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system\rundll32.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft AUT Update] secure.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] ec.exe
O4 - HKLM\..\RunServices: [Micros0ft Update] explore.exe
O4 - HKLM\..\RunServices: [Configuration Load] MSltie.exe
O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft AUT Update] secure.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] ec.exe
O4 - HKCU\..\Run: [Micros0ft Update] explore.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Configuration Load] MSltie.exe
O4 - HKCU\..\Run: [WindowsRegKey Autoupdate] explorer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ConferenceRoom Java Client - http://chat.interlatin.com/java/cr.cab
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/038e938b8708f9a7dc21/netzip/RdxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9FE798E-56CF-498E-92E4-E3FAE8A8410F}: NameServer = 217.237.150.33 194.25.2.129
kann mir bitte jemand helfen? ich bin total verzweifelt... danke!!!
michael