netcmd.exe öfffnet sich automatisch

#0
15.08.2007, 14:50
...neu hier

Beiträge: 4
#1 hallo,

seit gestern abend habe ich mir irgendetwas eingefangen.. jedesmal wenn ich boote startet er automatisch netcmd.exe und den iexplorer. und es wird versucht auf "kurdsoft.com" oder so etwas zu connecten. beide prozesse kann ich ohne probleme schließen.. allerdings würde ich gerne wissen was es genau ist. hier sind mal meine logs:

HJT:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SYSTEM32\NETCMD.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Jabba.Inc\Desktop\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/5meen_us/107?Plcid=0407&CLCID=0407&Country=00&BrandID=msmsgs&INI=Messengerw11.ini&Other=SearchTerm%3d8004882d%26H_APP%3dWindows%2520Live%2520Messenger%26S_Text%3dKlicken%2520Sie%2520auf%2520ein%2520Thema%252C%2520um%2520Hilfe%2520zu%2520diesem%2520Windows%2520Live%2520Messenger%2520zu%2520erhalten%253A%26ContactUs%3d%26v4%3dDH_FREE&Version=8.0
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169679657046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177193003421
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Unknown owner - C:\WINDOWS\system32\pr2agqwb.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe


Datfind:

Directory of C:\WINDOWS\system32

15.08.2007 14:20 395.604 perfh009.dat
15.08.2007 14:20 57.954 perfc009.dat
15.08.2007 14:20 460.224 PerfStringBackup.INI
15.08.2007 03:15 43.520 CmdLineExt03.dll
05.08.2007 13:37 2.278 wpa.dbl
22.07.2007 22:24 664 d3d9caps.dat
29.06.2007 21:05 520.192 ati2sgag.exe
27.06.2007 03:59 344.064 ATIDEMGX.dll
27.06.2007 03:58 269.312 ati2dvag.dll
27.06.2007 03:56 307.200 atiiiexx.dll
27.06.2007 03:51 143.360 atipdlxx.dll
27.06.2007 03:51 122.880 Oemdspif.dll
27.06.2007 03:51 26.112 Ati2mdxx.exe
27.06.2007 03:50 43.520 ati2edxx.dll
27.06.2007 03:50 118.784 ati2evxx.dll
27.06.2007 03:49 483.328 ati2evxx.exe
27.06.2007 03:48 53.248 ATIDDC.DLL
27.06.2007 03:44 8.232.960 atioglx2.dll
27.06.2007 03:41 2.940.992 ati3duag.dll
27.06.2007 03:31 1.519.744 ativvaxx.dll
27.06.2007 03:30 3.107.788 ativva5x.dat
27.06.2007 03:30 3.107.788 ativvaxx.dat
27.06.2007 03:30 972.072 ativva6x.dat
27.06.2007 03:19 5.435.392 atioglxx.dll
27.06.2007 03:17 266.240 atikvmag.dll
27.06.2007 03:16 17.408 atitvo32.dll
27.06.2007 03:14 176.128 atiok3x2.dll
27.06.2007 03:10 376.832 ati2cqag.dll
10.06.2007 13:26 21.840 SIntfNT.dll
10.06.2007 13:26 17.212 SIntf32.dll
10.06.2007 13:26 12.067 SIntf16.dll
05.06.2007 19:40 149.278 atiicdxx.dat
01.06.2007 11:22 91.088 FNTCACHE.DAT

Directory of C:\WINDOWS

15.08.2007 14:26 2.048 bootstat.dat
15.08.2007 14:25 2.832 WindowsUpdate.log
15.08.2007 02:11 69 NeroDigital.ini
01.08.2007 18:00 1.409 QTFont.for
01.08.2007 18:00 54.156 QTFont.qfn
28.07.2007 22:56 321 WPE PRO.INI
22.07.2007 23:26 10 WININIT.INI
26.06.2007 23:05 31.628 DIIUnin.dat
10.06.2007 13:16 2.829 DIIUnin.pif
10.06.2007 13:16 106.496 DIIUnin.exe

Directory of C:\DOCUME~1\Jabba.Inc\LOCALS~1\Temp

15.08.2007 14:27 107.386 datfind.txt
15.08.2007 14:27 14.554 t801.htm
15.08.2007 14:27 16.384 ~DFAC6D.tmp
15.08.2007 14:16 16.384 ~DFABAC.tmp
15.08.2007 13:54 16.384 ~DF8CCB.tmp
15.08.2007 13:24 16.384 ~DFABF4.tmp
15.08.2007 03:15 4.592 SIntfIcn.ani
15.08.2007 03:15 24.744 SIntfNT.dll
15.08.2007 03:15 20.016 SIntf32.dll
15.08.2007 03:15 12.305 SIntf16.dll
15.08.2007 03:07 16.384 ~DFAC23.tmp

Directory of C:\WINDOWS\Downloaded Program Files

24.01.2007 20:49 65 desktop.ini
09.11.2006 15:36 5.019 swflash.inf
09.09.2005 18:45 1.516 wvc1dmo.inf
26.05.2005 05:19 291 wuweb.inf
26.05.2005 04:19 293 muweb.inf
16.02.2005 16:15 401.408 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe

ich weiss das ich eigentlich nur die letzten 3. monate kopieren sollte.. allerdings hat netcmd.exe das erstellungsdatum von 1999 Oo (wobei ich den pc erst vor 1 jahr formatiert habe.) und hier ist es auch drin:

05.07.1999 00:00 34.857 netcmd.exe (windows system32)

05.07.1999 00:00 34.857 netconfig.exe (windows)


edit: das hier hab ich noch gefunden:

kurdifonts.exe hat an Ihrer Systemregistrierung die folgenden Änderungen vorgenommen.:

ADD [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU]
ADD MRUListEx=hex:ff,ff,ff,ff

CHANGE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]
ADD Kartika (TrueType)="kartika.ttf"
ADD Vrinda (TrueType)="vrinda.ttf"

kurdifonts.exe hat an Ihrer Festplatte die folgenden Änderungen vorgenommen.:

ADD c:\temp\unzip\kdahura.TTF
ADD c:\temp\unzip\kdardlnweb.TTF
ADD c:\temp\unzip\kdasinger.TTF
ADD c:\temp\unzip\kdbabanweb.TTF
ADD c:\temp\unzip\kdbotanweb.ttf
ADD c:\temp\unzip\kdhemin.TTF
ADD c:\temp\unzip\kdhewler.TTF
ADD c:\temp\unzip\kdkurdi.TTF
ADD c:\temp\unzip\kdkurdistan.TTF
ADD c:\temp\unzip\kdkurdiweb.ttf
ADD c:\temp\unzip\kdlane.TTF
ADD c:\temp\unzip\kdlence.TTF
ADD c:\temp\unzip\kdmem.TTF
ADD c:\temp\unzip\kdmukweb.TTF
ADD c:\temp\unzip\kdnaske.TTF
ADD c:\temp\unzip\kdnaz.TTF
ADD c:\temp\unzip\kdnaze.TTF
ADD c:\temp\unzip\kdnewroz.TTF
ADD c:\temp\unzip\kdsefin.TTF
ADD c:\temp\unzip\kdsewe.TTF
ADD c:\temp\unzip\kdshem.TTF
ADD c:\temp\unzip\kdsiabend.TTF
ADD c:\temp\unzip\kdsoranweb.TTF
ADD c:\temp\unzip\kdzaraweb.ttf
ADD c:\temp\unzip\kdzin.TTF
ADD c:\temp\unzip\kdzorab.TTF
Dieser Beitrag wurde am 15.08.2007 um 14:59 Uhr von telefonmann editiert.
Seitenanfang Seitenende
15.08.2007, 15:03
Moderator

Beiträge: 7805
#2 Datumsangaben kann man aendern, wie man will, die sagen nicht viel aus. Teste die Datei bei Jotti oder Virustotal und sag, was dabei heeraus kommt. Dein Hijackthis Log ist nicht Komplett, welches Betriebsystem und Patchsatus hast du? Windows 2003?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.08.2007, 15:05
...neu hier

Themenstarter

Beiträge: 4
#3 Logfile of HijackThis v1.99.1
Scan saved at 14:27:36, on 15.08.2007
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

windows server 2003 ja.. ich lass mal eben den scanner durchlaufen mom.
Seitenanfang Seitenende
15.08.2007, 15:08
Moderator

Beiträge: 7805
#4 Habs mir fast gedacht. Du arbeitest aber nicht mit Admin Rechten auf dem Rechner, oder? BZW wozu brauchst du die Serverversion?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.08.2007, 15:14
...neu hier

Themenstarter

Beiträge: 4
#5 wollte nur mal was anderes testen ^^. das mit den admin rechten ist underschiedlich aber zur zeit nicht.

AhnLab-V3 2007.8.15.0 2007.08.14 Win-Trojan/Xema.variant
AntiVir 7.4.1.62 2007.08.15 TR/Crypt.FKM.Gen
Authentium 4.93.8 2007.08.15 W32/Backdoor.BKDL
Avast 4.7.1029.0 2007.08.13 Win32:VB-DAJ
AVG 7.5.0.476 2007.08.14 PSW.Generic4.RHA
BitDefender 7.2 2007.08.15 Trojan.Spy.Vb.NB
CAT-QuickHeal 9.00 2007.08.14 -
ClamAV 0.91 2007.08.15 Trojan.VB-1049
DrWeb 4.33 2007.08.15 -
eSafe 7.0.15.0 2007.08.10 suspicious Trojan/Worm
eTrust-Vet 31.1.5061 2007.08.15 -
Ewido 4.0 2007.08.15 -
FileAdvisor 1 2007.08.15 -
Fortinet 2.91.0.0 2007.08.15 -
F-Prot 4.3.2.48 2007.08.14 W32/Backdoor.BKDL
F-Secure 6.70.13030.0 2007.08.15 Backdoor.Win32.VB.aya
Ikarus T3.1.1.12 2007.08.15 Backdoor.Win32.VB.aya
Kaspersky 4.0.2.24 2007.08.15 Backdoor.Win32.VB.aya
McAfee 5097 2007.08.14 -
Microsoft 1.2704 2007.08.15 Spyware:Win32/AYOSpy.A
NOD32v2 2463 2007.08.15 a variant of Win32/Spy.VB.NB
Norman 5.80.02 2007.08.14 -
Panda 9.0.0.4 2007.08.14 Trj/Ayoxlogger.O
Prevx1 V2 2007.08.15 SPYWARE.VB.NB
Rising 19.36.22.00 2007.08.15 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.14 Trojan-PSW.Win32.Hooker.24.c
Symantec 10 2007.08.15 Infostealer
TheHacker 6.1.8.168 2007.08.14 Backdoor/VB.aya
VBA32 3.12.2.2 2007.08.14 P2P-Worm.Win32.Polip.a
VirusBuster 4.3.26:9 2007.08.14 -
Webwasher-Gateway 6.0.1 2007.08.15 Trojan.Crypt.FKM.Gen

also gut sieht dat nich aus ^^
Seitenanfang Seitenende
15.08.2007, 15:19
Moderator

Beiträge: 7805
#6 Nicht wirklich. Ich wuerde die "kiste" platt machen und mir ein AV-Programm fuer 2003 installieren.l Wobei ich nicht weiss, welches sich unter einem Serverbetriebsystem installieren laesst. Antivir nicht und Avast glaube ich auch nicht.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.08.2007, 15:27
...neu hier

Themenstarter

Beiträge: 4
#7 danke erstma.. aber ich denke ich versuch den kack erstma irgendwie los zu werden.
doch die programme laufen.. muss nur was geändert werden. ich lasse jez erstmal nen scanner komplett durchlaufen.. mal schauen was der so findet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: