rpc.exe \Sdbot irc-based backdoor |
||
---|---|---|
#0
| ||
12.10.2004, 20:49
Member
Beiträge: 39 |
||
|
||
14.10.2004, 15:55
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @Angelo23
Fixe mit dem HijackThis (04-Eintraege vorher im Taskmanager beenden), dann PC neustarten O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\Run: [Start Upping] svchostes.exe O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\medload.exe O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe O4 - HKCU\..\Run: [Start Upping] svchostes.exe O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\\Anwendungsdaten\soht.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/mmed.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=c668392eb5a7ccbea12bbf3d52c5eb1ae8b3619b545075d9f46bac9a 82aed0e3d248c03a5dd703c701422aa83095eab6cc356abe3d3b44fddf4cf013ad47dc:2897908bf511be2b6847fc1a7f1aedfb O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - neustarten gehe in den abgesicherten Modus (mit Internetverbindung) #Deaktivieren Wiederherstellung XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen (poste das Ergebnis) http://virusscan.jotti.dhs.org/ <C:\WINDOWS\medload.exe [Bagle.AO@mm] <C:\windows\180ax.exe [Adware.Ncase] <C:\WINDOWS\System32\rpc.exe [Exploit.Win32.Autorooter, RPC-1, Cirebot, Downloader-DM] <C:\WINDOWS\System32\svchostes.exe [W32Spybot Worm] #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen Loesche. <C:\WINDOWS\System32\rpc.exe <rpctest.exe <tftpd.exe <dcomx.exe <x.exe [l o l x.exe] <worm.exe http://www.f-secure.com/v-descs/rpc.shtml <C:\WINDOWS\medload.exe <<bawindo.exe <C:\Dokumente und Einstellungen\\Anwendungsdaten\soht.exe <C:\WINDOWS\System32\svchostes.exe [nicht mit der Windows-svchost.exe verwechseln !) Registry Start<Ausfuehren<regedit gib oben links in die Suchfunktion der Registry ein:180ax und loesche rechts in der Registry alles, was du findest und das hier auch (falls es da ist) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE # HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb # HKEY_CURRENT_USER\Software\180solutions Loesche: <C:\windows\180ax.exe <Msbb.exe <ncmyb.dll #CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm #Stinger http://vil.nai.com/vil/stinger/ Deaktiviere deinen Virenscanner (oder deinstalliere ihn) #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #Onlinescann" eTrust Antivirus"(nur mit IE moeglich) http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate= pscanca%20 #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Mache UNBEDINGT die WindowsUpdates Sygate free installieren <Sygate (Deutsch)Firewall http://www.sygate.de/ Dann poste das Log noch mal. mfg Sabin __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.10.2004 um 20:15 Uhr von Sabina editiert.
|
|
|
||
16.10.2004, 19:39
Member
Themenstarter Beiträge: 39 |
#3
#Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen (poste das Ergebnis):
<C:\WINDOWS\medload.exe [Bagle.AO@mm] <C:\windows\180ax.exe [Adware.Ncase] <C:\WINDOWS\System32\rpc.exe [Exploit.Win32.Autorooter, RPC-1, Cirebot, Downloader-DM] <C:\WINDOWS\System32\svchostes.exe [W32Spybot Worm] File: svchostes.exe.mwt Status: INFECTED/MALWARE Packers detected: EXESTEALTH AntiVir Worm/Rbot.QC (2.65 seconds taken) Avast No viruses found (4.61 seconds taken) BitDefender Backdoor.SDBot.Gen (9.31 seconds taken) ClamAV No viruses found (13.73 seconds taken) Dr.Web Win32.HLLW.MyBot.based (10.18 seconds taken) F-Prot Antivirus No viruses found (1.17 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (10.73 seconds taken) mks_vir Win32.4 (probable variant) (3.87 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (6.74 seconds taken) Norman Virus Control No viruses found (26.95 seconds taken) File: rcp.exe Status: OK Packers detected: None AntiVir No viruses found (1.23 seconds taken) Avast No viruses found (4.55 seconds taken) BitDefender No viruses found (2.73 seconds taken) ClamAV No viruses found (7.62 seconds taken) Dr.Web No viruses found (4.36 seconds taken) F-Prot Antivirus No viruses found (0.39 seconds taken) Kaspersky Anti-Virus No viruses found (4.72 seconds taken) mks_vir No viruses found (1.45 seconds taken) NOD32 No viruses found (2.43 seconds taken) Norman Virus Control No viruses found (3.25 seconds taken) |
|
|
||
16.10.2004, 20:05
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @Angelo23
Ich empfehle dir dringend eine Neuinstallation. (es sei denn, du versuchst die Reinigung mit diversen Antivirentools und postest das neue Log vom HijackThis noch mal)..UND NATUERLICH MUSST DU DIE SICHERHEITSUPDATES LADEN , SONST WIRST DU IMMER PROBLEME HABEN....... ____________________________________________________________________________ Neuinstallation XP http://8ung.at/chemikers-home/SETUP.html 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5)Antivirus installieren http://www.free-av.de/ 6) Sygate free installieren ( <Sygate (Deutsch)Firewall http://www.sygate.de/ 7.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren (Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren) 8.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen Alternativ/Mail zum Outlook http://www.alles-und-umsonst.de/kostenlos/email.html #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html Opera http://www.opera7.de/ 9)<PC-Selbsttest http://check.lfd.niedersachsen.de/start.php 10)TCPView 2.34 http://www.sysinternals.com/ntw2k/source/tcpview.shtml as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri) 11)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt http://www.almisoft.de/traxex2.htm 12) #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. 13) alles anhaken---protected #Spywareblaster http://www.javacoolsoftware.com/sbdownload.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.10.2004 um 20:14 Uhr von Sabina editiert.
|
|
|
||
16.10.2004, 21:10
Moderator
Beiträge: 7805 |
#5
Komisch, das das kein Scanner gefunden hat: C:\WINDOWS\System32\rpc.exe
Wenn du die Datei noch besitzt, schicke sie bitte an virus@protecus.de __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.10.2004, 21:57
Member
Themenstarter Beiträge: 39 |
#6
und wie schaut die Log Datei aus?
Logfile of HijackThis v1.98.2 Scan saved at 21:57:13, on 16.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\NoPopUp 2003\nopopup.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Downloaded Program Files\eBayTBar.exe C:\WINDOWS\System32\alg.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\EXPLORER.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Norton AntiVirus\OPScan.exe C:\Dokumente und Einstellungen\Goofiad\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe O4 - Global Startup: eBay Toolbar.LNK = C:\WINDOWS\Downloaded Program Files\eBayTBar.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O15 - Trusted Zone: http://www.computerbase.de O15 - Trusted Zone: http://signin.ebay.de O15 - Trusted Zone: http://www.ebay.de O15 - Trusted Zone: http://www.praktica.de O15 - Trusted Zone: http://www.vcdhelper.com O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{18903324-DE3F-49B6-A2A1-F8599AB68911}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{18903324-DE3F-49B6-A2A1-F8599AB68911}: NameServer = 217.237.151.97 217.237.150.33 |
|
|
||
16.10.2004, 22:18
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo @Angelo23
Du musst unbedingt die WindowsUpdates machen Start<Programme<WindowsUpdates ! Fixe (deaktiviere vorher im Taskmanager) O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe neustarten zippe die <rpc.exe< und schicke auch: autorooter.zip an virus@protecus.de Loesche (im abgesicherten Modus) <rpc.exe <rpctest.exe <tftpd.exe <dcomx.exe <lolx.exe <worm.exe <autorooter.zip http://www.f-secure.com/v-descs/rpc.shtml lade dieses Criticalupdate..und ueberhaupt, mache die WindowsUpdates !!!!!! http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx Mache diesen Onlinescan #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.10.2004 um 22:20 Uhr von Sabina editiert.
|
|
|
||
17.10.2004, 10:47
Member
Themenstarter Beiträge: 39 |
#8
die rcp.exe. ist nicht mehr zu finden bzw ich komme da nicht hin( ist unter Remote Procedure Call For Windows 32bit. )
die anderen was ich löschen soll sind auch nicht da wegen windows updates? da reicht so SP2 oder? laufen meine Proggis dann noch alle richtig? Dieser Beitrag wurde am 17.10.2004 um 11:26 Uhr von Angelo23 editiert.
|
|
|
||
17.10.2004, 13:06
Ehrenmitglied
Beiträge: 29434 |
#9
Mache die WindowsUpdates, SP1 oder auch SP2 und dann poste unbedingt das neue Log vom HijackThis noch mal..
mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.10.2004, 14:18
Member
Themenstarter Beiträge: 39 |
#10
und laufen dann meine Programme noch richtig nach dem Update?
Muss ich was beachten beim Update? Im abgesicherten Modus oder sowas? |
|
|
||
17.10.2004, 16:17
Ehrenmitglied
Beiträge: 29434 |
#11
Das Update von SP1 bringt keine Probleme mit sich. (bei SP 2 sind die Meinungen geteilt)
Du musst die Updates nicht im abgesicherten Modus durchfuehren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.10.2004, 14:57
Member
Themenstarter Beiträge: 39 |
#12
also ich habe es drauf gemacht das SP1 und das problem ist dass ich dann nicht mehr auf min rechner zugreifen kann weil ich kein administrator rechte habe
ich musst im abgesicherten modus das update wieder entfernen :-( hast du ein tipp für mich? |
|
|
||
25.10.2004, 12:52
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @Angelo23
Poste das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.10.2004, 13:12
Member
Themenstarter Beiträge: 39 |
#14
Logfile of HijackThis v1.98.2
Scan saved at 13:12:00, on 25.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\NoPopUp 2003\nopopup.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe D:\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\Downloaded Program Files\eBayTBar.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Internet Explorer\iexplore.exe E:\eMule\emule.exe D:\Trillian\trillian.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Norton AntiVirus\OPScan.exe C:\Dokumente und Einstellungen\Goofiad\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: eBay Toolbar.LNK = C:\WINDOWS\Downloaded Program Files\eBayTBar.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O15 - Trusted Zone: http://www.computerbase.de O15 - Trusted Zone: http://signin.ebay.de O15 - Trusted Zone: http://www.ebay.de O15 - Trusted Zone: http://www.praktica.de O15 - Trusted Zone: http://www.vcdhelper.com O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098002938437 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{18903324-DE3F-49B6-A2A1-F8599AB68911}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{18903324-DE3F-49B6-A2A1-F8599AB68911}: NameServer = 217.237.151.97 217.237.150.33 Dieser Beitrag wurde am 25.10.2004 um 14:21 Uhr von Sabina editiert.
|
|
|
||
25.10.2004, 14:16
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@Angelo23
Es hat keinen Zweck...du musst neu installieren: O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe wenn du das nicht dauerhaft geloescht bekommst. Du gehst ein grosses Risiko ein, wenn du es nicht tust...zumal du wichtige Passwort verwendest (ebay usw.) ________________________________________________________________________________ Fixe also diesen Eintrag, O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe starte den PC neu Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.rokop-security.de/board/index.php?showtopic=3867 * und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.10.2004 um 14:20 Uhr von Sabina editiert.
|
|
|
||
keine ahnung wie das gekommen ist aber mein rechner ist voll verseucht ..
webhancer, 180.ax, ov.ece. medload.exe, loads.exe und bloodhound glaub ich auch noch
hab schon adware, norton, spybot destroy ..drüber laufen lassen aber das alles nützt nichts
wenn ich was lösche dann gehen meine Explorer Seiten nicht mehr ( hab gelesen dass es an webhancer löschung liegt )
hat noch einer ne idee wie ich das alles wegbekomme?
Hab Windows Xp Home Edition, kein Service Pack
Logfile of HijackThis v1.98.2
Scan saved at 20:24:23, on 12.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\rpc.exe
C:\WINDOWS\System32\svchostes.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\180ax.exe
C:\WINDOWS\medload.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Dokumente und Einstellungen\Goofiad\Anwendungsdaten\soht.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Goofiad\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\medload.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O15 - Trusted Zone: http://www.computerbase.de
O15 - Trusted Zone: http://signin.ebay.de
O15 - Trusted Zone: http://www.ebay.de
O15 - Trusted Zone: http://www.praktica.de
O15 - Trusted Zone: http://www.vcdhelper.com
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=c668392eb5a7ccbea12bbf3d52c5eb1ae8b3619b545075d9f46bac9a
82aed0e3d248c03a5dd703c701422aa83095eab6cc356abe3d3b44fddf4cf013ad47dc:2897908bf511be2b6847fc1a7f1aedfb
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/mmed.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18903324-DE3F-49B6-A2A1-F8599AB68911}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{18903324-DE3F-49B6-A2A1-F8599AB68911}: NameServer = 217.237.151.97 217.237.150.33