C:\WINNT\secure.html |
||
---|---|---|
#0
| ||
09.04.2004, 21:41
Moderator
Beiträge: 7805 |
||
|
||
10.04.2004, 05:05
...neu hier
Beiträge: 1 |
#47
Hallo alle zusammen!
Habe jetzt die ganze Nacht mit meinen PC rumgekämpft und ihn nun wieder einigermaßen zum laufen gebracht. Wäre aber sehr dankbar, wenn ihr auf mein log noch mal einen Blick werfen könntet! Vielen Dank im Voraus! Logfile of HijackThis v1.97.7 Scan saved at 05:02:11, on 10.04.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\WINNT\System32\MsiExec.exe C:\Programme\Logitech\iTouch.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Online Secuirity] C:\WINNT\svchost.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38050.182650463 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{73D0BC04-6567-4C9C-B781-E460C6660ECF}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{73D0BC04-6567-4C9C-B781-E460C6660ECF}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{73D0BC04-6567-4C9C-B781-E460C6660ECF}: NameServer = 192.168.0.1 |
|
|
||
10.04.2004, 14:33
Member
Beiträge: 1095 |
#48
Hi Hido5
Das ist sehr verdächtig, zu 99% Malware O4 - HKLM\..\Run: [Online Secuirity] C:\WINNT\svchost.exe Teste die Datei mal bei einem OnlineCheck oder schick Sie mir bitte gezippt an mike_hangover@gozomail.com. Das kann raus, muß aber nicht O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
16.06.2004, 11:17
...neu hier
Beiträge: 3 |
#49
Koenntet Ihr bitte bei mir einmal drueberschauen.
AD-Aware, und S&D finden nichts und der CWShredder fixed 6 Eintraege, die dann aber wieder auftauchen. MWAV hilft auch nicht wirklich weiter. Logfile of HijackThis v1.97.7 Scan saved at 10:48:34, on 16.06.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE C:\WINNT\System32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe C:\WINNT\system32\hidserv.exe C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\hjavaw.exe C:\WINNT\System32\PGPsdkServ.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\JavaSoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\r_server.exe C:\WINNT\system32\MSTask.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\Suss.exe C:\Programme\Network Associates\VirusScan\Avconsol.exe C:\WINNT\System32\SWDist.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\System32\PRPCUI.exe C:\WINNT\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\Atheros\ACU\Utility\ACU.exe C:\Programme\FileNET\IDM\fnsysmgr.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Programme\WinPortrait\wpctrl.exe C:\WINNT\system32\config\services.exe C:\Programme\Babylon\Babylon.exe C:\WINNT\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\PGP Corporation\PGP\PGPtray.exe C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe C:\Programme\WinPortrait\floater.exe C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\WINNT\System32\wuauclt.exe C:\WINNT\explorer.exe C:\Notes\NLNOTES.EXE C:\Programme\SecureCRT 3.0\SecureCRT.EXE C:\Programme\Radmin\radmin.exe D:\Security\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [ACU_QSB] C:\Programme\Atheros\ACU\Utility\ACU.exe O4 - HKLM\..\Run: [0FileNET System Manager] C:\Programme\FileNET\IDM\fnsysmgr.exe O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe" O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINNT\System32\IKAutoUp.exe /LOG O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP Corporation\PGP\PGPtray.exe O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.0259837963 O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Vielen Dank im voraus dago |
|
|
||
16.06.2004, 11:47
Member
Beiträge: 1095 |
#50
@dagobertl
Virenscanner updaten oder einen Neuen besorgen und installieren z.B. www.antivir.de Die neuste Version con CWShredder hier besorgen http://www.spywareinfo.com/~merijn/downloads.html Dann in den abgesicherten Modus gehen http://www.bsi.de/av/texte/winsave.htm WICHTIG ab jetzt, NICHT den INTERNET EXPLORER ÖFFNEN Dann die Einträge in HiJackThis fixen R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html mit Virenscanner die ganze Platte scannen mit CWShredder scannen und säubern Die Datei "C:\WINNT\secure.html" suchen und löschen Dann neustart machen als allererstes das HiJackThis Logfile erstellen und hier posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 16.06.2004 um 11:51 Uhr von paff editiert.
|
|
|
||
16.06.2004, 12:01
Ehrenmitglied
Beiträge: 29434 |
#51
@Hido5
die O4 - HKLM\..\Run: [Online Secuirity] C:\WINNT\svchost.exe musst du mit dem HijackThis fixen und dann im abgesicherten Modus...F8 beim Hochfahren druecken loeschen und auch in der Registry Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run.............................svchost.exe Dann mache, ebenfalls im abgesicherten Modus einen Vollscann mit dem Norton /Antivirus ............................................................................................................. Dann lade die mwav.exe, scanne und loesche manuell, was das Tool anzeigt. http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina http://securityresponse.symantec.com/avcenter/venc/data/w32.bluecode.worm.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.06.2004 um 12:05 Uhr von Sabina editiert.
|
|
|
||
16.06.2004, 13:53
...neu hier
Beiträge: 3 |
#52
@paff
Vielen Vielen Dank. Hat scheinbar sehr gut gefunkt. Ich bin zwar nicht in den abgesicherten Modus gekommen(Ist ein Firmennotebook habe aber Admin-Rechte). Aber funktioniert hat es jetzt trotzdem. Habe den neuen CWShredder heruntergeladen. Daraufhin gescannt und es ist nichts mehr gekommen. Gruß dago Logfile of HijackThis v1.97.7 Scan saved at 13:43:21, on 16.06.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe C:\WINNT\System32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe C:\WINNT\system32\hidserv.exe C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\System32\Hummingbird\Connectivity\7.10\Jconfig\hjavaw.exe C:\WINNT\System32\PGPsdkServ.exe C:\Programme\JavaSoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\r_server.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINNT\system32\MSTask.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\Suss.exe C:\Programme\Network Associates\VirusScan\Avconsol.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\System32\PRPCUI.exe C:\WINNT\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\Atheros\ACU\Utility\ACU.exe C:\Programme\FileNET\IDM\fnsysmgr.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Programme\WinPortrait\wpctrl.exe C:\Programme\Babylon\Babylon.exe C:\WINNT\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\PGP Corporation\PGP\PGPtray.exe C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\WINNT\MS\SMS\CORE\BIN\Boot32wn.exe C:\Programme\WinPortrait\floater.exe C:\WINNT\System32\wuauclt.exe C:\WINNT\explorer.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE D:\Security\hjt.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [ACU_QSB] C:\Programme\Atheros\ACU\Utility\ACU.exe O4 - HKLM\..\Run: [0FileNET System Manager] C:\Programme\FileNET\IDM\fnsysmgr.exe O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe" O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP Corporation\PGP\PGPtray.exe O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.0259837963 O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
16.06.2004, 14:17
Member
Beiträge: 1095 |
#53
@dagobertl
Da sind noch ein paar Sachen die du überprüfen sollest Zum Beispiel läuft ein Prozess namens "C:\WINNT\System32\r_server.exe" Das könnte dies sein http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59325&VName=TROJ_RADMIN.A&VSect=T Du sollest mal dringand den Virenscanner updaten und mal die Festpaltte scannen oder lade dir die "mwav.exe" hier. http://www.mwti.net/antivirus/free_utilities.asp Dann bruacht dein Rechner dringend ein Windowsupdate. Vor allem der Internet Explorer (WICHTIG!!!!!!!!!!!!!!!!!!!!!!!!!) Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
16.06.2004, 14:33
Ehrenmitglied
Beiträge: 29434 |
#54
@Dagobertl
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx 1.IE 6 SP 1 aktualisieren 2.C:\WINNT\system32\regsvc.exe Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.........SICHERHEITSRISIKO ................................................................................................................... 3. r_server.exe First of all, Radmin Client file name is radmin.exe. r_server.exe is filename of RAdmin Server (client is the program that is running on the machine that CONTROLS other machine, and server is a program that runs on the machine BEING CONTROLLED). RAdmin uses few registry branches to store it's settings: HKEY_CURRENT_USER\Software\RAdmin\v2.0\ HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0 TROJ_RADMIN.A siehe Link von @Paff MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.06.2004 um 14:42 Uhr von Sabina editiert.
|
|
|
||
16.06.2004, 14:39
...neu hier
Beiträge: 3 |
#55
@paff
r_server.exe ist der Remote Administrator damit ich den PC fernsteuern kann. Der akzeptiert auch nur die IP-Adressen die ich ihm einrichte. Habe den Virenscanner upgedated und mwav installiert und alles gescannt. Schaut gut aus. Vielen Dank noch einmal Gruß dago |
|
|
||
16.06.2004, 14:46
Ehrenmitglied
Beiträge: 29434 |
#56
http://www.lavasoft.de/
Scanne noch mit dem AdAware free MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.06.2004 um 14:47 Uhr von Sabina editiert.
|
|
|
||
22.06.2004, 00:35
...neu hier
Beiträge: 4 |
#57
hallo:-)
Ich habe hier alles durchgelesen, aber ich mache etwas falsch, weil die secure.html sachen kann nicht loswerden! Ich bitte euch um Hilfe! Logfile of HijackThis v1.97.7 Scan saved at 00:08:49, on 22.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Tuner\AntiVir\AVWUPSRV.EXE C:\WINNT\system32\CTSvcCDA.exe C:\WINNT\system32\svchost.exe C:\Programme\Brenner\Ahead\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Tuner\Nod32\nod32krn.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Netz\DU Meter\DUMeter.exe C:\Programme\Tuner\Nod32\nod32kui.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Netz\ICQ\ICQ+\vplus.exe C:\WINNT\system32\ctfmon.exe C:\WINNT\system32\RunDLL32.exe C:\Programme\Tuner\Spybot\TeaTimer.exe C:\Programme\Netz\KiLLaD\KILLAD.EXE C:\Programme\Tuner\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html O1 - Hosts file is located at: C:\WINNT\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Bilder\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Tuner\Spybot\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\Netz\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Tuner\Nod32\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\Netz\ICQ\ICQ+\vplus.exe" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Tuner\Spybot\TeaTimer.exe O4 - Global Startup: KiLLaD.lnk = C:\Programme\Netz\KiLLaD\KILLAD.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\Netz\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\Netz\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Broken Internet access because of LSP provider 'imon.dll' missing O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/legal/x.chm::/load.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab vielen Dank im Vorraus! mfg emef PS. sorry wegen mein Deutsch ----------------------------------- Hallo again:-) Doch geschafft!! Ich zeige trotzdem meine neue logfile---kann man noch mit sicherheit kozmetizieren. Logfile of HijackThis v1.97.7 Scan saved at 01:11:57, on 22.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Tuner\AntiVir\AVWUPSRV.EXE C:\WINNT\system32\CTSvcCDA.exe C:\WINNT\system32\svchost.exe C:\Programme\Brenner\Ahead\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Tuner\Nod32\nod32krn.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Netz\DU Meter\DUMeter.exe C:\Programme\Tuner\Nod32\nod32kui.exe C:\Programme\Netz\ICQ\ICQ+\vplus.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINNT\system32\ctfmon.exe C:\WINNT\system32\RunDLL32.exe C:\Programme\Tuner\Spybot\TeaTimer.exe C:\Programme\Netz\KiLLaD\KILLAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Tuner\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t8542-4.htm&highlight=secure.html O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Tuner\Spybot\SDHelper.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\Netz\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Tuner\Nod32\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\Netz\ICQ\ICQ+\vplus.exe" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Tuner\Spybot\TeaTimer.exe O4 - Global Startup: KiLLaD.lnk = C:\Programme\Netz\KiLLaD\KILLAD.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) nochmal Danke für die Hilfe!! mfg emef Dieser Beitrag wurde am 22.06.2004 um 01:15 Uhr von emef editiert.
|
|
|
||
22.06.2004, 07:30
Ehrenmitglied
Beiträge: 29434 |
#58
@emef
#mache bitte noch die WindowsUpdates #und aktualisiere den IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx #Stelle unter InternetOptionen eine neue Startseite ein #Dann lade den Firefox, als Zweitbrowser...gibt es auch in Englisch...ist hijackerfrei MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 07:31 Uhr von Sabina editiert.
|
|
|
||
22.06.2004, 19:37
...neu hier
Beiträge: 4 |
#59
Vielen Dank Sabina:-)
mfg emef PS. Opera ist auch hijackerfrei ? Dieser Beitrag wurde am 22.06.2004 um 20:20 Uhr von emef editiert.
|
|
|
||
23.06.2004, 10:12
Ehrenmitglied
Beiträge: 29434 |
||
|
||
Von dem, was ich bis jetzt weiss, sind es keine Trojaner/Backdoors usw sondern wirklich "nur" Spy/Adware bzw Hijacker..
__________
MfG Ralf
SEO-Spam Hunter