regelmäßig W32-Randex, -IRCBOT, backdoor roxy

#16 tekno4u postete sein Hijackthis.log

@Raman & @Joschi: Könnt ihr aus dem Log-File etwas erkennen?
Danke für eure Zeit


Logfile of HijackThis v1.97.3
Scan saved at 23:10:02, on 08.11.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
L:\WINNT\System32\smss.exe
L:\WINNT\system32\winlogon.exe
L:\WINNT\system32\services.exe
L:\WINNT\system32\lsass.exe
L:\WINNT\system32\svchost.exe
L:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
L:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
L:\WINNT\system32\LEXBCES.EXE
L:\WINNT\system32\spoolsv.exe
L:\WINNT\system32\LEXPPS.EXE
L:\WINNT\System32\CTSvcCDA.exe
L:\WINNT\System32\svchost.exe
L:\WINNT\system32\GEARSEC.EXE
L:\Programme\Norton AntiVirus\navapsvc.exe
L:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
L:\WINNT\system32\regsvc.exe
L:\Programme\Norton AntiVirus\SAVScan.exe
L:\WINNT\system32\MSTask.exe
L:\WINNT\system32\stisvc.exe
L:\WINNT\System32\WBEM\WinMgmt.exe
L:\WINNT\system32\svchost.exe
L:\WINNT\Explorer.EXE
L:\WINNT\system32\devldr32.exe
D:\sound\live_value\AudioHQ\AHQTB.EXE
D:\sound\live_value\Launcher\CTLauncher.exe
L:\WINNT\system32\atiptaxx.exe
L:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
L:\Programme\Alcatel\Dragdiag.exe
D:\sound\iTunes\iTunesHelper.exe
L:\Programme\iPod\bin\iPodService.exe
L:\winnt\system32\task32.exe
E:\DOWNLOAD\Viren_Removal_Tools\hijackthis1973\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.utanet.at"); (L:\Programme\Netscape\Users\maier203\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\tools\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - L:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - L:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - L:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - L:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AudioHQ] d:\sound\live_value\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [UpdReg] L:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Speed racer] d:\sound\live_value\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [Creative Launcher] d:\sound\live_value\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [PrinTray] L:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RegShave] L:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\brenner\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "L:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "L:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "D:\sound\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KEWelcomeReBoot] O:\welcome_S500.exe
O4 - HKLM\..\Run: [Run32dll] l:\winnt\system32\temp.exe task32.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\sound\iTunes\iTunesHelper.exe
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {2F0D1DA3-F3E4-4C67-BB5C-5AFD70C1A4A5} (UDConnect Class) - http:// 01.sharedsource.org/html/UDConn.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1408.g.akamai.net/7/1408/ 9955/20031016/akamai.info.apple.com/iTunes4/WW/win/061-0848.20031022.TtzS4/ iTunesSetup.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http:// v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37877.6085648148
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/ partners/nike/nikemagiafootball/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http:// download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F38A585-B391-4119-94B9-A45D8E19860D}: NameServer = 195.70.224.45 213.90.38.3

Zitat

Hab meine richtige Antwort unter falschem Beitrag gepostet. Doppelt posten darf man nicht. Wie bekomme ich die Antwort hierher unter diese Einträge??

, klar kannst Du es hier doppelt reinposten, der andere Post wird so oder so gelöscht
__________
Durchsuchen --> Aussuchen --> Untersuchen

#17

Zitat

raman postete
Ja, die Sachen werden aus der Registrierung geloescht und ja, nimm das welcome auch raus.

Mann, Raman (gehe davon aus dass du zu meiner "spezies" gehörst)

ich freue mich echt über diese beiden eindeutigen ja

danke und los gehts!!!!!

p.s. lass uns in kontakt bleiben, vielleicht kann ich mich mal revanchieren!

#18 Und joschi,

für dich gilt das Selbe....

Danke Mann

#19 Kein Problem. Denke bitte daran die Dateien temp.exe und task32.exe aus deinem System32 Ordner zu loeschen.
__________
MfG Ralf
SEO-Spam Hunter

#20 Hey Mann....kein Problem
__________
Durchsuchen --> Aussuchen --> Untersuchen

#21 Was ist aus der guten alten Boot-Disk / -CD mit einem Virenscanner geworden?

Kennt den Trick noch jemand hier?

Ein System, das nicht gestartet wird, kann auch keine Viren laden oder schützen ...


Gruss

Aahz

#22 Wie Bootdisk? Ist das eine SChwimmhilfe?

Es ist ganz einfach, es wird hier keine benoetigt. Man braucht sich nicht die Muehe machen es jemanden beizubringen, wenn diese Person keine CD hat. Vor allem ist es schwer wenn man von einer anderen Bootquelle startet, die Registrierung zu aendern. Als zweites gibt es ja noch das NTFS Problem. Da hilft dir auch (noch!) keine Linux Bootdisk. Da muss schon eine Windows PE-CD her.
Der Aufwand ist (meistens) zu gross, bei Trojanerbefall.
__________
MfG Ralf
SEO-Spam Hunter

#23 @raman:

In Falle EINES Befalles hast Du sicher recht. Aber EINmal eine 'NTFS-Bootdisk' zurechtgebastelt, hat man nie wieder Probleme mit solchen Sachen.

Und was die Registry angeht, kann die auch nur das laden, was noch vorhanden ist. Werden alle verseuchten Dateien von der Festplatte gelöscht, kann in der Registry wohl mehr oder weniger stehen, was will - die zu ladenden Dateien sind dann einfach nicht mehr vorhanden.

Und über dadurch eventuell auftretende Startprobleme hilft ein protokollierter Start mit einem Blick in die "bootlog.txt" und anschliessendem REGEDIT, ggf. im abgesicherten Modus, ziemlich schnell hinweg.


Gruss

Aahz

#24

Zitat

Aahz postete
und anschliessendem REGEDIT, ggf. im abgesicherten Modus

Wo wir wieder beim Anfang sind, wozu brauchst du eine Bootcd, wenn du die Arbeit im abgesicherten Modus machen musst/kannst!

Und bei echtem Viren(!)befall hilft IMO eh nur "System neuaufsezten"!
__________
MfG Ralf
SEO-Spam Hunter

#25 @raman

Im abgesicherten Modus wird aber die Registry verarbeitet, daher ist die Idee mit der "BootCD" garnicht so abwegig...
NAV z.B. ist Bootfähig und kann daher auch von CD scannen, Nachteil natürlich ist die Virenaktualisierung auf CD zu bekommen
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#26 ...welches wiederum keinen Zugriff auf NTFS Laufwerke ermoeglicht!

Aber ihr habt schon recht, eine Bootcd ist nie verkehrt, Knoppix nicht und eine Bootcd vom [url=www.nu2.nu/pebuilder]pebuilder[/url] sowieso nicht.
__________
MfG Ralf
SEO-Spam Hunter

#27 warum kein Knoppix?
Ist doch ne schöne Sache, WinPE (offiziel verboten) is natürlich die Sahneschnitte
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#28 Wow, Jungs....

hier geht's ab. Und abschließend würde ich auch noch was dazu sagen. Seit ich getan, was mir von masta raman (be)empfohlen, sind die Alarm-Schreie des NAV versiegt --- jetzt ist Ruhe im Karton sozusagen ---
es war nicht sehr aufwendig, sobald mit Hilfe von Sir Joschi das Übel erst mal ergründet war. Ende gut alles gut und es hat auch nicht sehr lange gedauert, bis die ersten Tipps da waren (nochmals Danke)

Evil und Aahz zu spät gekommen sind. Gewesen seid ihr wo, als groß war das Problem? :-)
aber Danke trotzdem

#29

Zitat

Evil postete
warum kein Knoppix?
Ist doch ne schöne Sache, WinPE (offiziel verboten) is natürlich die Sahneschnitte

Knoppix ist gut, ein komplettes System auf CD, sprich sie ist dafuer besser als eine WindowsPE Cd! Aber da Knoppix NTFS(schreiben) nicht unterstuetzt, ist sie fuer diese Zwecke(Malwarebeseitigung) nicht so geeignet.

BTW: PEBuilder ist nicht verboten. Microsoft ha sein Okay zu der 3er Version gegeben.

@tekno4u
Hier geht es nicht ab, wir diskutieren nur ein wenig!
Hier geht es ab: http://www.rokop-security.de/board/index.php?showtopic=888&st=120
__________
MfG Ralf
SEO-Spam Hunter

#30 @tekno4u:

Im Bett wahrscheinlich - oder unterwegs. Darf ich gelegentlich auch mal schlafen?


@Evil:

Zum reinen Scannen ist Knoppix sicher nicht verkehrt.

Aber wie von 'raman' schon gesagt: Knoppix ist für solche Fälle eher eine Krücke, weil der Schreib-Zugriff auf NTFS-Laufwerke immer noch "experimentellen" Charakter hat. Möglicherweise hast Du anschliessend zwar den Virus / die Malware getötet, aber deine Partition gleich mit.

Ich verstehe nicht, warum Mickeysoft keine anständige Boot-CD / -Disk mehr mitliefert.

Allerdings habe ich die Möglichkeiten der Reparatur-Konsole noch nicht ganz ausgelotet, was das angeht.


Gruss

Aahz