C:\WINDOWS\System32\ntddetect.exe<--Troj/Agent-CU |
||
---|---|---|
#0
| ||
05.04.2005, 20:50
...neu hier
Beiträge: 2 |
||
|
||
06.04.2005, 17:37
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Corben D.
Hijacker about:blank - se.dll\sp.html--> scanne mit dem Tool (im normalmodus und im abgesicherten Modus) http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\SKJOOR~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R3 - Default URLSearchHook is missing O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {28775001-66C9-4983-ACF1-043F0DCD52F9} - (no file) O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe<--Troj/Agent-CU O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} O18 - Protocol: start - {53B95211-7D77-11D2-9F82-00104B107C96} - C:\WINDOWS\System32\msxslab.dll<--CoolWebSearch parasite variant PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\ntddetect.exe C:\WINDOWS\System32\msxslab.dll PC neustarten CWShredder http://www.intermute.com/spysubtract/cwshredder_download.html * Double-click on CWShredder.exe. * Click "Fix ->" and click "OK" at the prompt. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml suchen und loeschen: ntddetect.dat perflibs__ und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: CCleaner http://www.ccleaner.com/ccdownload.asp •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten ___________________________________________________________________ Troj/Agent-CU ist ein Backdoor-Trojaner für die Windows-Plattform. # Ermöglicht Dritten den Zugriff auf den Computer # Reduziert die Systemsicherheit # Installiert sich in der Registrierung # Hinterlässt nicht infizierte Dateien auf dem Computer Troj/Agent-CU kann Dateien herunterladen und starten, die von remoten Eindringlingen über den Backdoor-Port gesendet wurden. Troj/Agent-CU ist ein Backdoor-Trojaner für die Windows-Plattform. Troj/Agent-CU öffnet eine Backdoor an einem beliebigen Port und teilt einer vorkonfigurierten remoten Website seine Präsenz mit. Der Trojaner versucht, Konfigurationsdaten von dem gleichen Speicherort herunterzuladen: *http://nicosiamurssnuset.biz* Troj/Agent-CU kopiert sich als "ntddetect.exe" in den Windows-Systemordner und erstellt eine Textdatei namens "ntddetect.dat" und die Datei "perflibs__" für seinen eigenen Gebrauch. Der Trojaner erzeugt folgende Registrierungseinträge, um automatisch bei der Computeranmeldung zu starten: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ ntddetect = %System%\ntddetect.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ ntddetect = %System%\ntddetect.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ ntddetect = %System%\ntddetect.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 18:41
...neu hier
Themenstarter Beiträge: 2 |
#3
vielen dank für die schnelle hilfe sabina :
hab erstmal folgendes gemacht: hab nur deinen ersten schritt gemacht...also mit hjack die von die aufgezeigten zeilen angekreuzt und gefixt-->>Neustart--->>neuer Scan mit Logfile--->Neuauswertung Ergebnis: scheinbar alles weg!? oder täuscht der schein? (war killbox, cwschredder, abgesichter modus nur zusatzmethoden falls es nich klappt? hab hier nochmal meine neue logfile Logfile of HijackThis v1.99.1 Scan saved at 18:31:03, on 06.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\FRITZ!DSL\Awatch.exe E:\system\tools\WINPAT~1\WinPatrol.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Mozilla Firefox\firefox.exe E:\System\Tools\HijackThis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Internet\Tools\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [WinPatrol] "e:\system\tools\WINPAT~1\WinPatrol.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: http://www.dedicatedgaming.com O15 - Trusted Zone: http://download.freenet.de O17 - HKLM\System\CCS\Services\Tcpip\..\{452593E7-2016-435B-BC91-0A3BC87140B8}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\System\Tools\TuneUp Utilities 2004\WinStylerThemeSvc.exe ...sieht irgentwie anders aus--->sind ntdetect mvav und msxlab jetzt gefixt? danke für deine hilfe |
|
|
||
06.04.2005, 18:45
Ehrenmitglied
Beiträge: 29434 |
#4
das Fixen mit dem HijackThis reicht nicht aus
Die Datein sind immer noch auf dem PC, solange du sie nicht loeschst. Zitat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hier meine log
Logfile of HijackThis v1.99.1
Scan saved at 20:48:24, on 05.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
E:\system\tools\WINPAT~1\WinPatrol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ntddetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
E:\System\Tools\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\SKJOOR~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {28775001-66C9-4983-ACF1-043F0DCD52F9} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Internet\Tools\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WinPatrol] "e:\system\tools\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://www.dedicatedgaming.com
O15 - Trusted Zone: http://download.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{452593E7-2016-435B-BC91-0A3BC87140B8}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F82-00104B107C96} - C:\WINDOWS\System32\msxslab.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\System\Tools\TuneUp Utilities 2004\WinStylerThemeSvc.exe
bin dankbar für jede analyse
ps.: irgentwas nervt in letzter zeit mit einer ntddetect.exe....aber antivir kriegt die weder gelöscht noch in quarantäne