Virus und trojaner warnung nach neuinstallation |
||
---|---|---|
#0
| ||
02.10.2004, 08:46
...neu hier
Beiträge: 9 |
||
|
||
02.10.2004, 09:03
Moderator
Beiträge: 6466 |
#2
Leider völlig unzureichende Informationen:
- Welches Service-Pack ? - Welche Version hat der IE ? - Welcher Virenscanner zeigt Dir die Info "TR/Dldr.Small.Qd.3" oder kommt diese Meldung einfach als Windows-Popup ? Am besten ein HijackThis-Log posten, das beantwortet einiges. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
02.10.2004, 10:53
...neu hier
Themenstarter Beiträge: 9 |
#3
hi,
hab serviece-pack 4 ie 6.0. +sp1 AvGuard zeigt mir diese "TR/Dldr.Small.Qd.3" info an und TheCleaner zeigt HKCU/Software/Microsoft/Windows/CurrentVersion/Run & HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices an öhm,was ist ein HijackThis-Log und wie mach ich sowas?? MFG Z00M |
|
|
||
02.10.2004, 12:29
Moderator
Beiträge: 6466 |
#4
So poste ich ein Hijack-Log. Bitte das komplette Log hier posten.
__________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
02.10.2004, 19:18
...neu hier
Themenstarter Beiträge: 9 |
#5
Logfile of HijackThis v1.98.2
Scan saved at 19:16:06, on 02.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe e:\Programme\AVPersonal\AVGUARD.EXE e:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\Explorer.EXE E:\Programme\The Cleaner\tca.exe E:\Programme\The Cleaner\tcm.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINNT\system32\cnstat.exe E:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\WMP23.exe C:\WINNT\system32\mntcgf032.exe E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe e:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE e:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe E:\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [tcactive] e:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] e:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [blah service] msnmsgrr.exe O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe O4 - HKLM\..\Run: [AVGCtrl] "e:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Microsoft WinUpdate] mntcgf032.exe O4 - HKLM\..\Run: [Start Upping] svchostes.exe O4 - HKLM\..\Run: [Windows Media Player] WMP23.exe O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe O4 - HKLM\..\RunServices: [Microsoft WinUpdate] mntcgf032.exe O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe O4 - HKLM\..\RunServices: [Windows Media Player] WMP23.exe O4 - HKCU\..\Run: [System Failure Statistic] cnstat.exe O4 - HKCU\..\Run: [Microsoft WinUpdate] mntcgf032.exe O4 - Global Startup: Reboot.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{28AD508C-9DD0-4366-8D9E-7500EB6468A1}: NameServer = 217.237.150.97 217.237.149.161 hmm,hoffe ihr werdet daraus schlau |
|
|
||
03.10.2004, 11:54
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @Z00M
Dein System ist voellig verseucht ...... Scanne noch mal mit dem HijackThis, dann hake an, was ich schreibe und <fix< , dann sofort neustarten: O4 - HKLM\..\Run: [blah service] msnmsgrr.exe O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe O4 - HKLM\..\Run: [Microsoft WinUpdate] mntcgf032.exe O4 - HKLM\..\Run: [Start Upping] svchostes.exe O4 - HKLM\..\Run: [Windows Media Player] WMP23.exe O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe O4 - HKLM\..\RunServices: [Microsoft WinUpdate] mntcgf032.exe O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe O4 - HKLM\..\RunServices: [Windows Media Player] WMP23.exe O4 - HKCU\..\Run: [System Failure Statistic] cnstat.exe O4 - HKCU\..\Run: [Microsoft WinUpdate] mntcgf032.exe neustarten #CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm #Stinger http://vil.nai.com/vil/stinger/ #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt und dann "abgesicherter Modus waehlen" http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Gehe wieder in den Normalmodus und scanne noch mal. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' 1.Aendere eventuell vorhandene nicht verschluesselte Passworte 2.Lade den Browser <Firefox< und surfe nur mit ihm http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe 3. Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst http://www.ntsvcfg.de/ oder www.dingens.org 4. Deinstalliere Antivirus (ist zerstoert) und lade neu. Dann konfiguriere im Scanner UND im Guard: "alle Dateien" und "Hueristik: mittel" #Antivirus (free) http://www.free-av.de/ Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.10.2004 um 12:00 Uhr von Sabina editiert.
|
|
|
||
03.10.2004, 22:52
...neu hier
Themenstarter Beiträge: 9 |
#7
huhu und danke für die hilfe das ist der neue log:
Logfile of HijackThis v1.98.2 Scan saved at 22:48:49, on 03.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\Explorer.EXE E:\Programme\SpeedFan\speedfan.exe E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe e:\Programme\AVPersonal\AVWUPSRV.EXE e:\Programme\AVPersonal\AVGUARD.EXE e:\Programme\AVPersonal\AVGNT.EXE E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe e:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE E:\blup\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: SpeedFan.lnk = E:\Programme\SpeedFan\speedfan.exe O4 - Global Startup: Reboot.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab |
|
|
||
04.10.2004, 10:31
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo @Z00M
Das Log ist sauber Deaktiviere jetzt noch die Wiederherstellung, danach kannst du sie wieder aktivieren. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Windows Me mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.10.2004 um 10:31 Uhr von Sabina editiert.
|
|
|
||
04.10.2004, 14:35
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
15.12.2004, 20:47
...neu hier
Themenstarter Beiträge: 9 |
#10
huhu ihr,hab mal wieder viren probs.
und zwar öffnet IE nicht sehr schöne seiten obwohl ich firefox benutze OS: winxp und hier mal die log, hoffe ihr könnt mir wieder helfen Logfile of HijackThis v1.98.2 Scan saved at 20:37:41, on 15.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\taksmgr.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\The Cleaner\tca.exe D:\Programme\The Cleaner\tcm.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\explorer.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe d:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE c:\sasadaa.exe c:\sasadaa.exe c:\sasadaa.exe D:\Programme\ICQ\Icq.exe D:\Programme\firefox\firefox.exe D:\hjack\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Start Upping] taksmgr.exe O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzvs32.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [tcactive] d:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] d:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Start Upping] taksmgr.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8C1D72C1-877A-49C5-B21B-AC07D472E6FD}: NameServer = 217.237.150.97 217.237.149.161 |
|
|
||
15.12.2004, 23:49
Ehrenmitglied
Beiträge: 29434 |
#11
Das hast du SELBST geladen...Kamel
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe: O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll O4 - HKLM\..\Run: [Start Upping] taksmgr.exe O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzvs32.exe O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe O4 - HKCU\..\Run: [Start Upping] taksmgr.exe neustarten..in den abgesicherten Modus !!!! KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" http://www.bleepingcomputer.com/files/killbox.php C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll C:\windows\system32\kalvzvs32.exe c:\sasadaa.exe C:\WINDOWS\System32\taksmgr.exe Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.12.2004 um 23:50 Uhr von Sabina editiert.
|
|
|
||
16.12.2004, 13:47
...neu hier
Themenstarter Beiträge: 9 |
#12
Zitat Sabina postete Dieser Beitrag wurde am 16.12.2004 um 13:49 Uhr von Z00M editiert.
|
|
|
||
16.12.2004, 14:16
Ehrenmitglied
Beiträge: 29434 |
#13
Nun die Backdoors waren drauf...ja wieso ???? -->Netzwerkfreigabe
C:\WINDOWS\EliteToolBar\EliteToolBar hast du selbst geladen. Gehe in die Registry Start<Ausfuhren<regedit loesche jeweils rechts in der Registry: HKEY_CLASSES_ROOT\CLSID\{02C20140-76F8-4763-83D5-B660107BABCD} HKEY_CLASSES_ROOT\CLSID\{0A1D22C3-37BE-470C-9C29-E3074EE0574B HKEY_CLASSES_ROOT\CLSID\{BE8D0059-D24D-4919-B76F-99F4A2203647} HKEY_CLASSES_ROOT\CLSID\{A74CD7DD-EA6F-11D4-ABF3-000102378429} HKEY_CLASSES_ROOT\CLSID\{ED103D9F-3070-4580-AB1E-E5C179C1AE41} HKEY_CLASSES_ROOT\CGBand.BHO HKEY_CLASSES_ROOT\CGBand.BHO.1 HKEY_CLASSES_ROOT\CGBand.UICGBandObj HKEY_CLASSES_ROOT\CGBand.UICGBandObj.1 HKEY_CLASSES_ROOT\CGBand.CGBandObj HKEY_CLASSES_ROOT\CGBand.CGBandObj.1 HKEY_CLASSES_ROOT\PLOT.PlotCtrl.1 HKEY_CLASSES_ROOT\Interface\{276B0903-EB4B-46FF-8304-F093DEF69DE7} HKEY_CLASSES_ROOT\Interface\{4AFF987A-773B-48E4-AEE8-08EBDDBDADF8} HKEY_CLASSES_ROOT\Interface\{CAAB3B3F-E815-47D9-94FD-8BB9143C0077} HKEY_CLASSES_ROOT\Interface\{ED646219-20BF-41E5-80FD-EE49021DA599} HKEY_CLASSES_ROOT\TypeLib\{8AA59E15-6E81-415C-B299-1ADFB50C8E1A} HKEY_LOCAL_MACHINE\Software\Elitum HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED103D9F-3070-4580-AB1E-E5C179C1AE41} NEUSTARTEN suche/loesche: C:\WINDOWS\EliteToolBar\ #C:\WINDOWS\EliteToolBar\EliteToolBar 58.dll #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html ______________________________________________________________ Info: W32/Rbot-QK O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe Verbreitungsweise * Netzwerkfreigabe W32/Rbot-QK ist ein Netzwerkwurm, der versucht, sich auf Netzwerkfreigaben zu verbreiten. Der Wurm verfügt über Backdoor-Funktionen, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglichen. Der Wurm verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern und entweder über die LSASS-Sicherheitslücke (MS04-011) oder die RPC-DCOM-Sicherheitslücke (MS04-012). Wenn er gestartet wird, verschiebt sich W32/Rbot-QK als Datei namens taksmgr.exe mit den Attributen "Lesen", "Versteckt" und "System" in den Windows-Systemordner. Der Wurm erstellt dann die folgenden Registrierungseinträge, so dass er entweder bei der Benutzeranmeldung oder beim Computerneustart aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Start Upping taksmgr.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Start Upping taksmgr.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Start Upping taksmgr.exe Sobald er installiert ist, versucht W32/Rbot-QK, einen SOCKS4-Proxyserver einzurichten, Dateien aus dem Internet herunterzuladen und zu starten, sich an MS SQL-Servern anzumelden und EXEC-Befehle zu senden, um eine Command-Shell auf dem Server zu öffnen, an Distributed-Denial-of-Service-Attacken teilzunehmen, Tastenfolgen zu speichern und CD-Schlüssel zu stehlen, wenn er entsprechend von einem remoten Anwender angewiesen wird. http://www.sophos.de/virusinfo/analyses/w32rbotqk.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.12.2004 um 14:27 Uhr von Sabina editiert.
|
|
|
||
16.12.2004, 15:50
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
10.02.2005, 16:21
...neu hier
Themenstarter Beiträge: 9 |
#15
ich bins mal wieder und hab wieder das gleiche prob. nach neuinstallation -----------------------------------------------------
Logfile of HijackThis v1.99.0 Scan saved at 16:16:49, on 10.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe e:\Programme\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe E:\Programme\Speed Disk\nopdb.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe e:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE E:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\rspc.exe C:\WINNT\system32\USBhardware32c.exe e:\Programme\AVPersonal\AVWUPSRV.EXE e:\Programme\AVPersonal\AVGUARD.EXE e:\Programme\AVPersonal\AVGNT.EXE E:\Programme\firefox\firefox.exe D:\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [ToADiMon.exe] e:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [RSPC Driver] rspc.exe O4 - HKLM\..\Run: [AVGCtrl] "e:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{26F0B166-DC55-4F29-AC79-3D8677077CA6}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - e:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Norton Unerase Protection - Symantec Corporation - e:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - E:\Programme\Speed Disk\nopdb.exe --------------------------------------------------- hoffe ich nerve nicht langsam *g* aber bekomm es nicht weg. |
|
|
||
seit ich win2k neuinstalliert hat bekomme ich folgenede meldungen:
virusscanner:
TR/Dldr.Small.Qd.3
Trjanerscanner:
An Alarm has gone off on the following monitored item. This means the data within the item has changed. What would you like do??
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
&
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
hab mal den stinger drüberlaufen lassen,der findet einige würmer und löscht sie dann, aber irgendwie sind die dann nach nem neustart wieder drauf.
MFG