tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.10.2004, 10:35
Ehrenmitglied
Beiträge: 29434 |
||
|
||
07.10.2004, 10:49
Ehrenmitglied
Beiträge: 29434 |
#17
Hallo @Gong
Hier erst mal die Infos zu Trojanerrn\Backdoors: Warnung Trojaner klauen Bank-Kunden PINs und TANs: http://www.heise.de/newsticker/meldung/50793 #Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung _____________________________________________________________________________ #oeffne noch mal das HijackThis, scan, dann hake an, was ich schreibe, druecke auf <fix< und neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s O4 - HKLM\..\Run: [aap] qff.exe O4 - HKLM\..\RunServices: [aap] qff.exe O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) Neustarten #Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Suche diese C:\\explorer.cab! (es kann sein, dass sie in WinRar ist, da eine gepackte Datei und loesche sie (weil es eine gepackte Datei ist, kann der Antivirus sie nicht loeschen) #Suche und loesche: Start<Ausfuehren <reinkopieren oder reinschreiben : %temp% C:\WINDOWS\TEMP\ICD1.TMP\EXPLORER.EXE (Aber keine andere Explorer.exe loeschen, nur, falls du eine in den Temporary-Dateien findest (!) #Suche und loesche: C:\WINDOWS\system32\qff.exe C:\WINDOWS\sp.exe ........................................................ #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen #Lade Spoonweg (um zu loeschen:sp.exe "Trojan.Win32.Spooner.f\ntsearch Adware BHO") http://www.trojaner-info.de/news/spoonweg.shtml # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Deaktiviere deinen Virenscanner und Lade diese Testversion und scanne im abgesicherten Modus: #Testversion "F-Secure Internet Security 2005" http://esd.element5.com/demoreg.html?productid=544568&sessionid=145499584&random=a990a1793c30e7d127a6bce39bc82919&sessionid=145499584&random=a990a1793c30e7d127a6bce39bc82919 <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #RegSupreme: http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/ RegSupreme Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt. Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann. #Dann berichte, was vom Virenscanner gefunden wurde und poste das neue Log vom HijackThis noch einmal. ____________________________________________________________________________________ Tips: #TCPView 2.34 http://www.sysinternals.com/ntw2k/source/tcpview.shtml as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri) #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt h http://www.almisoft.de/traxex2.htm #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.10.2004 um 11:25 Uhr von Sabina editiert.
|
|
|
||
07.10.2004, 10:50
...neu hier
Beiträge: 4 |
#18
Hi !,
ich habe/hatte den gleichen Trojaner wie Pechvogel. Hab die Datei explorer.cab auch erst mal gelöscht und so sieht jetzt mein log file aus: Logfile of HijackThis v1.98.2 Scan saved at 10:38:50, on 07.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE d:\catia\intel_a\code\bin\CATSysDemon.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\notepad.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\AVPersonal\INETUPD.EXE C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA8FC01-3FD0-4F04-8D07-16305A45D0E5}: NameServer = 217.237.151.97 217.237.150.33 Ist mein Rechner jetzt clean ? Vielen Dank für jede Antwort, Liam |
|
|
||
07.10.2004, 11:29
Ehrenmitglied
Beiträge: 29434 |
#19
Hallo @Liam
Das Log ist sauber (auch wenn ich nicht sehen kann, ob die Startseite verstellt ist) aber: Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! #Windows-Dienste abschalten"! http://www.dingens.org/ http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.10.2004, 12:29
...neu hier
Beiträge: 4 |
#20
Vielen Dank Sabina, habe REGSVC.EXE deaktiviert.
Kann es sein, dass sich noch irgendwelche Reste des Trojaners auf meinem Rechner verstecken ? |
|
|
||
07.10.2004, 13:14
Ehrenmitglied
Beiträge: 29434 |
#21
Hallo @Liam
Scanne mit Antirus im abgesicherten und im Normalmodus. Wenn nichts angezeigt wird , muesse der PC sauber sein. Konfiguriere Antivirus : <alle Dateien< und <Heuristik: mittel < mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.10.2004, 19:01
...neu hier
Beiträge: 2 |
#22
Hi ihr,
auch ich konnte mich nicht vor diesem trojaner fernhalten und habe ihn mir leider eingefangen (laut antivir). hab dann auch gleich die explorer.cab in C:\ gelöscht. Nun bitte ich euch, meine Log durchzuschauen um nicht doch eventuelle reste aufzustöbern. wäre furchtbar nett von euch: Logfile of HijackThis v1.97.7 Scan saved at 18:59:46, on 13.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\minixampp\apache\bin\Apache.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\Logitech\iTouch\iTouch.exe E:\minixampp\apache\bin\Apache.exe E:\Trojancheck\tcguard.exe E:\Logitech\MouseWare\system\em_exec.exe E:\ZoneAlarm\zlclient.exe E:\MULTICLIPBOARD\MCLIPBOARD.EXE C:\Programme\Internet Explorer\iexplore.exe E:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\notepad.exe E:\AVPersonal\AVGUARD.EXE E:\AVPersonal\AVGNT.EXE C:\DOKUME~1\Compi\LOKALE~1\Temp\HijackThis.exe E:\Microsoft Office\Office\OUTLOOK.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck\tcguard.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "E:\ZoneAlarm\zlclient.exe" O4 - Global Startup: MCLIPBOARD.lnk = E:\MULTICLIPBOARD\MCLIPBOARD.EXE O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38040.268587963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225 Ich danke euch schon mal recht herzlich und werde mich nach den antworten nochmal melden! |
|
|
||
13.10.2004, 19:36
Ehrenmitglied
Beiträge: 29434 |
#23
Hallo @Murkel
Hat der Antivirus den Trojaner in Quarantaene genommen ? Scanne mal mit dem Antivirus und poste hier das Log vom Scann. (den infizierten Teil) und lade bitte die neue Version vom HijackThis: http://www.downloads.subratam.org/hijackthis.zip mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.10.2004 um 19:38 Uhr von Sabina editiert.
|
|
|
||
13.10.2004, 20:48
...neu hier
Beiträge: 2 |
#24
ah vielen dank, hab ich gleich runtergeladen.
so und nun nochmal zu dem trojaner. also ob er es in quarantäne genommen hat knn ich ned sagen aber denke eher nicht, da die meldung kam "In einem oder mehreren Archiven wurden Viren bzw. unerwünschte Programme gefunden! Infizierte Dateien in Archiven werden nicht gelöscht oder repariert!" und die datei ja noch in c:\ war. hab sie dann also manuell gelöscht. die damalige meldung von antivir: Laufwerk: C: C:\ explorer.cab ArchiveType: CAB (Microsoft) --> explorer.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR so, hab jetzt gleich nochmal mit antivir gescannt und schwups hat mein pc ne andere datei gefunden mit demselben trojaner, hier die meldungen: C:\RECYCLER\S-1-5-21-1417001333-343818398-839522115-1003 Dc57.cab ArchiveType: CAB (Microsoft) --> explorer.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR das sagt mir, dass ich auch mal den papierkorp mit der infizierten datei löschen muss hier nun auch der log der aktuellen version: Logfile of HijackThis v1.98.2 Scan saved at 20:49:23, on 13.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\minixampp\apache\bin\Apache.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\Logitech\iTouch\iTouch.exe E:\minixampp\apache\bin\Apache.exe E:\Trojancheck\tcguard.exe E:\Logitech\MouseWare\system\em_exec.exe E:\ZoneAlarm\zlclient.exe E:\MULTICLIPBOARD\MCLIPBOARD.EXE E:\AVPersonal\AVWUPSRV.EXE E:\AVPersonal\AVGUARD.EXE E:\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\iexplore.exe E:\AVPersonal\AVWIN.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\notepad.exe E:\PowerArchiver\POWERARC.EXE C:\DOKUME~1\Compi\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck\tcguard.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "E:\ZoneAlarm\zlclient.exe" O4 - Global Startup: MCLIPBOARD.lnk = E:\MULTICLIPBOARD\MCLIPBOARD.EXE O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{22CA9DCE-8492-4020-8E77-B06E945636B7}: NameServer = 217.237.151.33 217.237.149.225 |
|
|
||
13.10.2004, 21:32
...neu hier
Beiträge: 2 |
#25
Hallo Sabina,
hatte 'ne Woche Urlaub und habe deshalb nicht sofort Deine Tipps bzw. Lösungen testen können. Deine angegeben Zeilen habe ich angehakt und gefixt - ebenso die explorer.cab gelöscht. Die Dateien qff.exe und sp.exe habe ich nicht gefunden!?! Spoonweg habe ich probiert zu download - ging aber nicht, da er eine andere url wollte. Habe dann nochmals Antivir upgedated und siehe da - er findet den Trojaner nicht mehr??! Hurra - ist das möglich? Ich habe Dir nochmals das aktuelle log beigefügt, wenn's Dir nicht zuviel ausmacht, könnest Du nochmals drüberschau'n. Wenn wirklich wieder alles o.k. ist schon jetzt vielen vielen Dank!!!! Logfile of HijackThis v1.98.2 Scan saved at 21:37:28, on 13.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\WINDOWS\MXOALDR.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\WINDOWS\twain_32\A4CIS600\WATCH.exe C:\WINDOWS\System32\txtuser.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe C:\t-online\Browser\browser.exe C:\t-online\EMAIL4\mail.exe C:\Dokumente und Einstellungen\Günther\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab O16 - DPF: {0BE0E0B4-3E03-4EB6-99B2-00948505A067} (Media Client ActiveX Installer) - http://www.downloadcoach.com/MCInstaller.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/298627804d37ddf9cc05/netzip/RdxIE601_de.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://phobos.apple.com/detection/ITDetector.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F011903D-3DF5-42D0-BE45-FB8D06F128A7}: NameServer = 217.237.150.141 217.237.150.97 |
|
|
||
14.10.2004, 10:44
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo @Gong
Es ist sauber. Fixe noch. O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU) Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.10.2004 um 10:53 Uhr von Sabina editiert.
|
|
|
||
14.10.2004, 10:46
Ehrenmitglied
Beiträge: 29434 |
#27
Hallo @Murkel
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen Loesche: <C:\RECYCLER\S-1-5-21-1417001333-343818398-839522115-1003 Dc57.cab <C:\explorer.cab <C:\WINDOWS\TEMP\ICD1 (Suche auch in: C:\Windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5 ) Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen (alles) #Dein System braucht die aktuellesten Patches und Updates -> http://windowsupdate.microsoft.com #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html Opera http://www.opera7.de/ Dann scanne noch mal mit Antivirus mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.10.2004 um 11:03 Uhr von Sabina editiert.
|
|
|
||
14.10.2004, 11:26
...neu hier
Beiträge: 5 |
#28
Hallo zusammen,
ich habe mir unter Win ME den gleichen Wurm eingefangen, er steckt bei mir in der Datei Explorer[7].cab und kann von Antivir nicht entfernt werden, da dies eine Archivdatei ist. Selbst komme ich an die Datei auch nicht ran zum löschen. Habe aber schon mehrfach von HiJackthis gelesen und auch angefertigt. Kann nur darauf nichts ungewöhnliches finden. Trotzdem hier nochmal die LOG.Datei: Logfile of HijackThis v1.98.2 Scan saved at 19:14:10, on 10.10.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startseite.de/search2 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ O1 - Hosts: 66.40.16.218 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.de Kann mir bitte jemand helfen, ich weiß nicht mehr weiter! Vielen Dank im voraus. |
|
|
||
14.10.2004, 12:35
Ehrenmitglied
Beiträge: 29434 |
#29
Hallo @Lion1979
Oeffne das HijackThis, hake an, was ich schreibew, <fix< und neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startseite.de/search2 O1 - Hosts: 66.40.16.218 auto.search.msn.com O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.2001.0001\DE\MSNTB.DLL neustarten #Deinstalliere: C:\PROGRAMME\MSN APPS\MSN TOOLBAR #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* ...hier ist die Datei Explorer[7].cab . mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.10.2004 um 12:41 Uhr von Sabina editiert.
|
|
|
||
14.10.2004, 22:48
...neu hier
Beiträge: 5 |
#30
Hallo Sabina,
zunächst vielen Dank für Deine superschnelle Antwort! Ich hab alles genau so gemacht wie Du aufgeschrieben hast. Aber jetzt kommts, leider ist der blöde Trojaner immer noch nicht weg. Aber es wird zumindest etwas kurios. Folgendes ist nun passiert: - AdAware findet gar nichts - EScan hatte gestern noch gemeldet: - C:\Windows\Temporary\Internet Files\Content.IE5\OD2ZOTEJ\ explorer7[1].cab infected by "Trojan.Win32.Dialer.eb" Virus. .... also den Trojaner TR/dldr.small.or und - C: Windows\System\IEAccess2.dll tagged as not-a-virus: PornWare.Dialer.Minidial. (heute nach Deiner ausgeführten Anweisung findet EScan nur noch den Dialer; diesen habe ich aber gelöscht, indem ich die IEAccess2.dll gelöscht habe) - Antivir (neu installiert) findet nach wie vor den TR/dldr.small.or außerdem sagt mir Antivir, dass der Archivheader mehrerer *.cab Dateien defekt sei. Übrigens, die Datei explorer7[1].cab kann kein Suchprogramm finden. Auch mein Temp-Verzeichnis und mein Temporary Internet Files-Verzeichnis befinden sich nur direkt unter Windows. Ist das schlimm, oder nur eine andere Version vom Betriebssystems? Wie kann das sein? Ist der Trojaner nun weg oder nicht? Was ist ein defekter Archivheader??? Übrigens wenn ich mit meiner Firewall ZoneLab ins Internet gehen möchte kommt ein BlueScreen ohne Hinweis und der Rechner ist abestürzt. Was soll ich nun tun, kannst Du mir nochmal weiterhelfen? Vielen Dank im voraus. Mfg Lion1979 |
|
|
||
Nach allem, was du hier bis jetzt gelesen hast, duerftest du eigentlich nicht fragen, ob du den sehr gefaehrlichen Backdoor vpc32.exe "loeschen darfst"
Die Netbios kannst du aktiviert halten.
Es kann sein, ein Programm benoetigt sie.
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit