tr/dldr.small.or

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.11.2004, 11:25
Member

Beiträge: 21
#136 hi...
ich hätte da nochmal eine frage...
was passiert mit den dateien im !submit - ordner??

greetz

the crow
Seitenanfang Seitenende
07.11.2004, 15:37
...neu hier

Beiträge: 4
#137 hi allerseits

hatte den agobot-wurm am pc, der zwar von antivir gefunden aber nicht isoliert werden konnte. darauf hab ich die escan-killbox prozedur gemacht und auch drei infizierte dateien löschen können:
MSLti64.exe
msmin32.exe
winhlpp32.exe (alle drei im system32-ordner)

jetzt kämpfe ich aber mit dem hijackthis-logfile, da ich nicht weiß, was ich "checken" soll.
so schaut das log aus:

Logfile of HijackThis v1.98.2
Scan saved at 15:28:12, on 07.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Philips\PSA2\skin\QveCplSk.EXE
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Plextor\PlexTool.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\killbox\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\RECYCLER\bin376.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QveCtl2Tray] E:\Programme\Philips\PSA2\skin\QveCplSk.EXE E:\Programme\Philips\PSA2\skin
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = E:\Programme\Plextor\PlexTool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://surovyirap.nm.ru/index.chm::/vmmon32.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?998473287876
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/sj/en/check/qdiagh.cab?322


kann mir da jemand helfen? danke schon im voraus, felix
Seitenanfang Seitenende
07.11.2004, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#138 Hallo@felixled

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten


O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\RECYCLER\bin376.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://surovyirap.nm.ru/index.chm::/vmmon32.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/sj/en/check/qdiagh.cab?322

neustarten

Oeffne das HijackThis:

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\RECYCLER\bin376.dll
PC neustarten

suche und loesche:
<vmmon32.exe
<evewntuell noch eine vmmon32.dll

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren< reinschreiben : cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.11.2004 um 16:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.11.2004, 16:24
Moderator

Beiträge: 7805
#139

Zitat

ich hätte da nochmal eine frage...
was passiert mit den dateien im !submit - ordner??
Die kannst du loeschen oder aufbewahren. ;) In dem Ordner sind sie auf jeden fall ungefaehrlich.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.11.2004, 16:32
...neu hier

Beiträge: 4
#140 danke für die tipps!

hab die liste mal durchgearbeitet, ich hoffe es funktioniert jetzt.

eine frage noch: woher weißt du, wenn du die hijackthis-logdatei siehst, welche einträge du checken musst und was du dann löschen musst? ich fürchte, der wurm wird mich noch öfter plagen...
Seitenanfang Seitenende
07.11.2004, 18:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#141 Hallo@felixled

Poste das neue log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.11.2004, 21:08
...neu hier

Beiträge: 4
#142 Hi Sabina!

So sieht mein HiJackThis-Log nach der prozedur aus:


Logfile of HijackThis v1.98.2
Scan saved at 21:06:39, on 07.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\Philips\PSA2\skin\QveCplSk.EXE
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Plextor\PlexTool.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\ledi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QveCtl2Tray] E:\Programme\Philips\PSA2\skin\QveCplSk.EXE E:\Programme\Philips\PSA2\skin
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = E:\Programme\Plextor\PlexTool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?998473287876


schaut doch ganz gut aus, oder?

bye, felix
Seitenanfang Seitenende
07.11.2004, 23:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#143 Hallo@felixled

Dein Log saehe noch viel besser aus, wenn du den IE aktualisieren wuerdest ;)

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

und die WindowsUpdates machen:
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#Alternativbrowser zum IE (stelle unter "Option" deine Startseite ein)
Firefox
http://www.mozilla.org/products/firefox/index.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.11.2004 um 23:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.11.2004, 14:50
...neu hier

Beiträge: 4
#144 naja, windows updates sind so eine sache, da wir nur "geborgte" windowsversionen besitzen lässt microsoft uns nicht service packs installieren. und den IE möchte ich eigentlich nicht benutzen, da bleib ich lieber bei firefox ;) auf jeden fall vielen dank für alle mühen rund um die viren!
mfg, felix
Seitenanfang Seitenende
08.11.2004, 14:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#145 Hallo@felixled

Besorge dir eine legale XP (!) In den heutigen Zeiten (Viren... agobot-wurm) ist das wichtig.

Lade inzwischen (ohne Problem) :p
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

ohne Problem: :p
#Update Pack XP SP1 Version 1.8 - Deutsch...ueber DOS
http://download.winboard.org/downloads.php?release_id=649

Dann gehe in die WindowsUpdates und lade alle CriticalUpdates (alles ausser, was SP und SP1 ist)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.11.2004 um 15:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.11.2004, 18:19
...neu hier

Beiträge: 1
#146 Logfile of HijackThis v1.98.2
Scan saved at 18:00:48, on 08.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\mirc\mirc.exe
C:\bnc-mirc\mirc.exe
C:\Programme\eMule\emule.exe
C:\Programme\Opera\opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MARIO-~1\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097766005560
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DAF87E7-7961-41D0-87BC-C3A8088E062E}: NameServer = 217.237.150.141 217.237.150.97

help please danke im vorraus
Dieser Beitrag wurde am 09.11.2004 um 11:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.11.2004, 19:33
...neu hier

Beiträge: 4
#147 so, hoffe nun ist alles ok... ??? ;)

Logfile of HijackThis v1.98.2
Scan saved at 19:34:58, on 08.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\abc\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEFAB768-F49A-4C0C-9E51-6E4644D36A00}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA8AEAD-7616-4187-9E31-31FA2673711A}: NameServer = 192.168.120.252,192.168.120.253
Seitenanfang Seitenende
09.11.2004, 11:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#148 Hallo@blub

Du postest einfach so dein Log...ohne irgendwas dazu zu schreiben....

W32/Rbot-NY verbreitet sich über verschiedene Betriebssystem-Schwachstellen und über Netzwerkfreigaben, die durch einfache Kennwörter geschützt sind.

Über die Backdoor-Komponenten kann ein Angreifer den infizierten Computer steuern und verschiedene Funktionen starten, u.a.:

Speichern von Tastenfolgen
Distributed-Denial-of-Service-Attacken
Packet-Sniffing
Remote-Login
Erstellen von Video-Aufnahmen
Dateiübertragung
Proxyserver


Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Gehe in die Registry

Start<Ausfuehren<regedit

loesche rechts in der Registry folgende Eintraege:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
CRC Value Verifier = "crsss64.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
CRC Value Verifier = "crsss64.exe"

HKCU\Software\Microsoft\OLE\
CRC Value Verifier = "crsss64.exe"

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe [W32/Rbot-NY]
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

neustarten

#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren:
C:\WINDOWS\system32\crsss64.exe
PC neustarten

Deinstalliere deine Virenscanner fuer 15 Tage und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#klicke auf: awn2k3e.exe (eScan) und scanne.

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
___________________________________________________
Dann poste das neue Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.11.2004 um 11:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.11.2004, 11:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#149 Hallo@Hauke.1

Das Log ist sauber ;)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2004, 12:00
...neu hier

Beiträge: 3
#150 Hallo Sabina,

erstmal großes Lob für die Mühe, die Du hier aufwendest! Es gibt doch noch nette Menschen ;-)

Ich will Deine Mühe nicht ausnutzen, aber da auch ich den Trojahner "TR/DLDR Small WV OR" soeben mit Antivir entdeckte würde ich Dich bitten, doch einmal einen Blick auf die Hijacklog zu werfen!

Antivir hat den Trojahner wohl gelöscht.
Schätze mal unter "R1" ist was faul! "017" kommt mir aber auch komisch vor. Aber schau bitte mal selbst:

Logfile of HijackThis v1.98.2
Scan saved at 11:55:08, on 09.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\KMaestro\KMaestro.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\KMaestro\WTS_KEY.EXE
C:\WINDOWS\update\start.exe
C:\WINDOWS\update\WinUpdate.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\Jorgy\Desktop\HijackThis.exe
C:\PROGRA~1\MICROS~2\Office10\WINWORD.EXE
C:\WINDOWS\update\pv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.search-space.com/
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = home.net
O17 - HKLM\Software\..\Telephony: DomainName = home.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = home.net
Dieser Beitrag wurde am 09.11.2004 um 12:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: