!!!bin infiziert mit Droppers DR/Bridge.A.2 und worm random1 |
||
---|---|---|
#0
| ||
31.08.2004, 16:49
...neu hier
Beiträge: 2 |
||
|
||
31.08.2004, 17:05
Moderator
Beiträge: 7805 |
#2
Dein system ist die reine Virenschleuder:
c:\NTupdates.exe C:\WINDOWS\System32\Msbb.exe C:\WINDOWS\System32\wmplayer.exe C:\WINDOWS\System32\winu32.exe C:\WINDOWS\System32\taskmenaagr.exe ... sind alles aktive bots zu deinen anderen Sachen, die sich in deinen Temp Ordnern befinden. Du solltest dir ernsthaft ueberlegen, ob du nicht dein System neu aufsetzen solltest. Vor dem aktivieren deines XPs solltest du die Winxp Firewall aktivieren und danach alle Updates von www.windowsupdate.com installieren. Packe vorher die oben genannten Dateien in ein Zip oder Rar Archiv und schicke es bitte an virus@rokop-security oder zumindest an heuristik@antivir.de gib in beiden bitte einen Link zu diesem Thread. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
31.08.2004, 17:31
...neu hier
Themenstarter Beiträge: 2 |
#3
hallo ralf,
klingt ja übelst - meinst du nicht es geht ohne neuaufsetzen? wenn ich mit fixen escan abgesicherter modus usw probiere? wenn ja - bitte sag mir welche einträge ich aus dem hijack fixen soll und...wenn ich alles neu aufsetze.und zum 1. mal wieder online gehe, habe ich ja wieder keinen schutz ohne die windows updates - und werde doch gleich wieder infiziert.... nochmals danke! gruß oxmox |
|
|
||
31.08.2004, 17:40
Moderator
Beiträge: 7805 |
#4
DU musst nur vor dem ersten Onlinegehen die Windowsfirewall aktivieren und erstmal nur die Updates laden. Die Firewall schuetzt dich ersteinmal vor solchen Bots.
Man kann auch dein System von bekannten "Plagen" reinigen lassen, so wie du es vorgeschlagen hast( Warum hast du das eigentlich nicht erst versucht? ). Nur solltest du dir das mal duchlesen: http://www.heise.de/newsticker/meldung/46634 http://oschad.info/wiki/index.php/Virenscanner Wenn du aber trotzdem lieber eine Reinigung versuchen moechtest, lasse ersteinmal Escan deinen Rechner pruefen und poste dann ein neues Log. Packe die oben von mir genannten Dateien im abgesicherten Modus in ein Archiv (nicht die Dateien loeschen, da Escan sonst nicht alle Eintraege sauber reinigt) und lasse dann Escan ran. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
habe euer superforum gestern entdeckt - ist ja super wie ihr hier den leuten helft - ich hab sicher ein ähnliches porblem wie viele: hier meine "daten":
Das zeigt „ANTIVIR“:
C:\DOKUME~1\HAARST~1\LOKALE~1\TEMP\GSF5\IPCFG.EXE
Ist das Trojanische Pferd TR/Flood.BI
C:\DOKUME~1\HAARST~1\LOKALE~1\TEMP\ICD2.TMP\BRIDGE.DLL
Enthält Signatur des Droppers DR/Bridge.A.2
C:\DOKUME~1\HAARST~1\LOKALE~1\TEMP\GSF5\SOCKS.TXT
Enthält Signatur des Wurmes Worm/Randon.1
Das ist ein Auszug dem ANTIVIR Report:
C:\Dokumente und Einstellungen\Haarstudio\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SXEBSHQF
bridge[1].cab
ArchiveType: CAB (Microsoft)
--> bridge.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
--> jao.dll
[FUND!] Ist das Trojanische Pferd TR/Spy.Briss.G
Das ist die Seite, die immer automatisch kommt:
http://tpbot69.rg.tripod.com/sbc.html
hier mein logfile aus hijackthis
habe es immer wieder gefixt . die beiden – o17 einträge – bei jedem einwählen ins internet erscheint sie wieder
habe immer alle temp dateiein gelöscht, trotzdem immer wieder
hier ist das logfile:
Logfile of HijackThis v1.98.2
Scan saved at 16:21:47, on 31.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Msbb.exe
C:\WINDOWS\System32\wmplayer.exe
C:\WINDOWS\System32\winu32.exe
C:\WINDOWS\System32\taskmenaagr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\NTupdates.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Downloads\Schutz+Saübern\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Media Player] wmplayer.exe
O4 - HKLM\..\Run: [update service] winu32.exe
O4 - HKLM\..\Run: [Task manager] taskmenaagr.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Task manager] taskmenaagr.exe
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [Task manager] taskmenaagr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FACA073-09C0-4671-A1BF-911FD0537CCC}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FACA073-09C0-4671-A1BF-911FD0537CCC}: NameServer = 217.237.150.33 194.25.2.129
vielen Dank im voraus!!!! für eure hilfe
gruß oxmox