C:\WINNT\secure.html

#0
09.04.2004, 21:41
Moderator

Beiträge: 7805
#46 Loeschen solltest du sie schon. Aber natuerlich solltest du die Eintraege in der Registrierung, also das was Hijackthis anzeigt bereinigen......
Von dem, was ich bis jetzt weiss, sind es keine Trojaner/Backdoors usw sondern wirklich "nur" Spy/Adware bzw Hijacker..
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.04.2004, 05:05
...neu hier

Beiträge: 1
#47 Hallo alle zusammen!
Habe jetzt die ganze Nacht mit meinen PC rumgekämpft und ihn nun wieder einigermaßen zum laufen gebracht. Wäre aber sehr dankbar, wenn ihr auf mein log noch mal einen Blick werfen könntet!
Vielen Dank im Voraus!

Logfile of HijackThis v1.97.7
Scan saved at 05:02:11, on 10.04.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\System32\MsiExec.exe
C:\Programme\Logitech\iTouch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Online Secuirity] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38050.182650463
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73D0BC04-6567-4C9C-B781-E460C6660ECF}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{73D0BC04-6567-4C9C-B781-E460C6660ECF}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{73D0BC04-6567-4C9C-B781-E460C6660ECF}: NameServer = 192.168.0.1
Seitenanfang Seitenende
10.04.2004, 14:33
Member

Beiträge: 1095
#48 Hi Hido5

Das ist sehr verdächtig, zu 99% Malware
O4 - HKLM\..\Run: [Online Secuirity] C:\WINNT\svchost.exe

Teste die Datei mal bei einem OnlineCheck oder schick Sie mir bitte
gezippt an mike_hangover@gozomail.com.

Das kann raus, muß aber nicht
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.06.2004, 11:17
...neu hier

Beiträge: 3
#49 Koenntet Ihr bitte bei mir einmal drueberschauen.
AD-Aware, und S&D finden nichts und der CWShredder fixed 6 Eintraege, die dann aber wieder auftauchen. MWAV hilft auch nicht wirklich weiter.

Logfile of HijackThis v1.97.7
Scan saved at 10:48:34, on 16.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\WINNT\System32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\hjavaw.exe
C:\WINNT\System32\PGPsdkServ.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\JavaSoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\Suss.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\System32\SWDist.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\System32\PRPCUI.exe
C:\WINNT\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Atheros\ACU\Utility\ACU.exe
C:\Programme\FileNET\IDM\fnsysmgr.exe
C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Programme\WinPortrait\wpctrl.exe
C:\WINNT\system32\config\services.exe
C:\Programme\Babylon\Babylon.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\PGP Corporation\PGP\PGPtray.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\Programme\WinPortrait\floater.exe
C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\WINNT\System32\wuauclt.exe
C:\WINNT\explorer.exe
C:\Notes\NLNOTES.EXE
C:\Programme\SecureCRT 3.0\SecureCRT.EXE
C:\Programme\Radmin\radmin.exe
D:\Security\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [ACU_QSB] C:\Programme\Atheros\ACU\Utility\ACU.exe
O4 - HKLM\..\Run: [0FileNET System Manager] C:\Programme\FileNET\IDM\fnsysmgr.exe
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINNT\System32\IKAutoUp.exe /LOG
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP Corporation\PGP\PGPtray.exe
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.0259837963
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Vielen Dank im voraus
dago
Seitenanfang Seitenende
16.06.2004, 11:47
Member

Beiträge: 1095
#50 @dagobertl

Virenscanner updaten oder einen Neuen besorgen und installieren
z.B. www.antivir.de
Die neuste Version con CWShredder hier besorgen
http://www.spywareinfo.com/~merijn/downloads.html

Dann in den abgesicherten Modus gehen
http://www.bsi.de/av/texte/winsave.htm

WICHTIG ab jetzt, NICHT den INTERNET EXPLORER ÖFFNEN

Dann die Einträge in HiJackThis fixen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html

mit Virenscanner die ganze Platte scannen
mit CWShredder scannen und säubern

Die Datei "C:\WINNT\secure.html" suchen und löschen

Dann neustart machen

als allererstes das HiJackThis Logfile erstellen und hier posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 16.06.2004 um 11:51 Uhr von paff editiert.
Seitenanfang Seitenende
16.06.2004, 12:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 @Hido5

die O4 - HKLM\..\Run: [Online Secuirity] C:\WINNT\svchost.exe
musst du mit dem HijackThis fixen und dann im abgesicherten Modus...F8 beim Hochfahren druecken loeschen und auch in der Registry


Start\Ausfuehren\regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run.............................svchost.exe


Dann mache, ebenfalls im abgesicherten Modus einen Vollscann mit dem Norton /Antivirus
.............................................................................................................
Dann lade die mwav.exe, scanne und loesche manuell, was das Tool anzeigt.
http://www.mwti.net/antivirus/free_utilities.asp

MfG
Sabina
http://securityresponse.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 12:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.06.2004, 13:53
...neu hier

Beiträge: 3
#52 @paff

Vielen Vielen Dank. Hat scheinbar sehr gut gefunkt.
Ich bin zwar nicht in den abgesicherten Modus gekommen(Ist ein Firmennotebook habe aber Admin-Rechte).
Aber funktioniert hat es jetzt trotzdem. Habe den neuen CWShredder heruntergeladen. Daraufhin gescannt und es ist nichts mehr gekommen.

Gruß dago

Logfile of HijackThis v1.97.7
Scan saved at 13:43:21, on 16.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINNT\System32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\hjavaw.exe
C:\WINNT\System32\PGPsdkServ.exe
C:\Programme\JavaSoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\Suss.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\System32\PRPCUI.exe
C:\WINNT\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Atheros\ACU\Utility\ACU.exe
C:\Programme\FileNET\IDM\fnsysmgr.exe
C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\Babylon\Babylon.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\PGP Corporation\PGP\PGPtray.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\WINNT\MS\SMS\CORE\BIN\Boot32wn.exe
C:\Programme\WinPortrait\floater.exe
C:\WINNT\System32\wuauclt.exe
C:\WINNT\explorer.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
D:\Security\hjt.exe


O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [ACU_QSB] C:\Programme\Atheros\ACU\Utility\ACU.exe
O4 - HKLM\..\Run: [0FileNET System Manager] C:\Programme\FileNET\IDM\fnsysmgr.exe
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP Corporation\PGP\PGPtray.exe
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.0259837963
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
16.06.2004, 14:17
Member

Beiträge: 1095
#53 @dagobertl

Da sind noch ein paar Sachen die du überprüfen sollest

Zum Beispiel läuft ein Prozess namens
"C:\WINNT\System32\r_server.exe"

Das könnte dies sein
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59325&VName=TROJ_RADMIN.A&VSect=T

Du sollest mal dringand den Virenscanner updaten und mal die Festpaltte scannen oder lade dir die "mwav.exe" hier.
http://www.mwti.net/antivirus/free_utilities.asp

Dann bruacht dein Rechner dringend ein Windowsupdate.
Vor allem der Internet Explorer (WICHTIG!!!!!!!!!!!!!!!!!!!!!!!!!)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.06.2004, 14:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 @Dagobertl

http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx
1.IE 6 SP 1 aktualisieren

2.C:\WINNT\system32\regsvc.exe
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.........SICHERHEITSRISIKO
...................................................................................................................
3. r_server.exe
First of all, Radmin Client file name is radmin.exe. r_server.exe is filename of RAdmin Server (client is the program that is running on the machine that CONTROLS other machine, and server is a program that runs on the machine BEING CONTROLLED).

RAdmin uses few registry branches to store it's settings:

HKEY_CURRENT_USER\Software\RAdmin\v2.0\
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0

TROJ_RADMIN.A
siehe Link von @Paff

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 14:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.06.2004, 14:39
...neu hier

Beiträge: 3
#55 @paff

r_server.exe ist der Remote Administrator damit ich den PC fernsteuern kann. Der akzeptiert auch nur die IP-Adressen die ich ihm einrichte. Habe den Virenscanner upgedated und mwav installiert und alles gescannt. Schaut gut aus.

Vielen Dank noch einmal

Gruß
dago
Seitenanfang Seitenende
16.06.2004, 14:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 http://www.lavasoft.de/
Scanne noch mit dem AdAware free
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 14:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.06.2004, 00:35
...neu hier

Beiträge: 4
#57 hallo:-)

Ich habe hier alles durchgelesen, aber ich mache etwas falsch, weil die secure.html sachen kann nicht loswerden!
Ich bitte euch um Hilfe!

Logfile of HijackThis v1.97.7
Scan saved at 00:08:49, on 22.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Tuner\AntiVir\AVWUPSRV.EXE
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Brenner\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Tuner\Nod32\nod32krn.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Netz\DU Meter\DUMeter.exe
C:\Programme\Tuner\Nod32\nod32kui.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Netz\ICQ\ICQ+\vplus.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\RunDLL32.exe
C:\Programme\Tuner\Spybot\TeaTimer.exe
C:\Programme\Netz\KiLLaD\KILLAD.EXE
C:\Programme\Tuner\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Bilder\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Tuner\Spybot\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\Netz\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Tuner\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\Netz\ICQ\ICQ+\vplus.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Tuner\Spybot\TeaTimer.exe
O4 - Global Startup: KiLLaD.lnk = C:\Programme\Netz\KiLLaD\KILLAD.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\Netz\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\Netz\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/legal/x.chm::/load.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

vielen Dank im Vorraus!

mfg
emef


PS.
sorry wegen mein Deutsch

-----------------------------------

Hallo again:-)

Doch geschafft!!
Ich zeige trotzdem meine neue logfile---kann man noch mit sicherheit kozmetizieren.


Logfile of HijackThis v1.97.7
Scan saved at 01:11:57, on 22.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Tuner\AntiVir\AVWUPSRV.EXE
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Brenner\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Tuner\Nod32\nod32krn.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Netz\DU Meter\DUMeter.exe
C:\Programme\Tuner\Nod32\nod32kui.exe
C:\Programme\Netz\ICQ\ICQ+\vplus.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\RunDLL32.exe
C:\Programme\Tuner\Spybot\TeaTimer.exe
C:\Programme\Netz\KiLLaD\KILLAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Tuner\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t8542-4.htm&highlight=secure.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Tuner\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\Netz\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Tuner\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\Netz\ICQ\ICQ+\vplus.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Tuner\Spybot\TeaTimer.exe
O4 - Global Startup: KiLLaD.lnk = C:\Programme\Netz\KiLLaD\KILLAD.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

nochmal Danke für die Hilfe!!

mfg

emef
Dieser Beitrag wurde am 22.06.2004 um 01:15 Uhr von emef editiert.
Seitenanfang Seitenende
22.06.2004, 07:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58 @emef

#mache bitte noch die WindowsUpdates

#und aktualisiere den IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx

#Stelle unter InternetOptionen eine neue Startseite ein

#Dann lade den Firefox, als Zweitbrowser...gibt es auch in Englisch...ist hijackerfrei

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.06.2004 um 07:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.06.2004, 19:37
...neu hier

Beiträge: 4
#59 Vielen Dank Sabina:-)

mfg

emef

PS. Opera ist auch hijackerfrei ?
Dieser Beitrag wurde am 22.06.2004 um 20:20 Uhr von emef editiert.
Seitenanfang Seitenende
23.06.2004, 10:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60 @emef
Ich habe gehoert ja.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende