Trojaner - Qhosts.apd trojan (werde noch narrisch)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
17.09.2004, 01:28
Ehrenmitglied
Beiträge: 29434 |
||
|
||
17.09.2004, 15:53
...neu hier
Beiträge: 10 |
#107
@Sabina
Hiiieeelfe !!! "Er" ist wieder da. AVG meldet: Results of Complete Test, date and time 17.09.04 15:24:32 : Testing C:\Angebote etc Ser*hier nicht!* 401F-D249 C:\Angebote etc\MSLTI64.EXE Virus identified Worm/Agobot.29.R Test finished, duration 00:08:28.5 s 6070 objects tested, 1 found infected C:\Angebote etc ist eine Ordner, der über Netzwerk freigegeben ist. Nachdem die Virenmeldung eben um ca. 15.35 Uhr kam, wurden folgende Dateien im o.g. Ordner erstellt: MSlti64.exe (Größe 133 KB) erstellt 17.09.05 9:42:33 geändert 14:27:52 testfile (Größe 0 Byte) erstellt 17.09.04 9:42:18 geändert 10:33:52 Wenn ich es richtig verstehe, wurde die "testfile" eher erstellt als die MSlti64.exe ?!? AVG hat die MSlti64.exe nicht heilen können, sondern nur isoliert - C:\$VAULT$.AVG\00000009.fil TCP Log TCP junker:1188 junker:0 LISTENING TCP junker:1208 junker:0 LISTENING TCP junker:1212 junker:0 LISTENING TCP junker:1213 junker:0 LISTENING TCP junker:1215 junker:0 LISTENING TCP junker:1223 junker:0 LISTENING TCP junker:1295 junker:0 LISTENING TCP junker:1305 junker:0 LISTENING TCP junker:1349 junker:0 LISTENING TCP junker:1350 junker:0 LISTENING TCP junker:1161 junker:0 LISTENING TCP junker:137 junker:0 LISTENING TCP junker:138 junker:0 LISTENING TCP junker:nbsession junker:0 LISTENING TCP junker:nbsession 192.168.2.101:1038 ESTABLISHED TCP 192.168.120.254:137 junker:0 LISTENING TCP 192.168.120.254:138 junker:0 LISTENING TCP 192.168.120.254:nbsession junker:0 LISTENING TCP b6084.b.pppool.de:137 junker:0 LISTENING TCP b6084.b.pppool.de:138 junker:0 LISTENING TCP b6084.b.pppool.de:nbsession junker:0 LISTENING TCP b6084.b.pppool.de:nbsession b6058.b.pppool.de:1581 ESTABLISHED TCP b6084.b.pppool.de:1188 62.159.194.13:80 ESTABLISHED TCP b6084.b.pppool.de:1208 a194-97-51-223.deploy.akamaitechnologies.com:80 CLOSE_WAIT TCP b6084.b.pppool.de:1212 a194-97-51-223.deploy.akamaitechnologies.com:80 CLOSE_WAIT TCP b6084.b.pppool.de:1213 a194-97-51-223.deploy.akamaitechnologies.com:80 CLOSE_WAIT TCP b6084.b.pppool.de:1215 a194-97-51-223.deploy.akamaitechnologies.com:80 CLOSE_WAIT TCP b6084.b.pppool.de:1295 62.159.194.13:80 ESTABLISHED TCP b6084.b.pppool.de:1305 62.67.41.130:80 ESTABLISHED TCP b6084.b.pppool.de:1349 dd3012.kasserver.com:80 CLOSE_WAIT TCP b6084.b.pppool.de:1350 dd3012.kasserver.com:80 CLOSE_WAIT UDP junker:1161 *:* UDP junker:nbname *:* UDP junker:nbdatagram *:* UDP 192.168.120.254:nbname *:* UDP 192.168.120.254:nbdatagram *:* UDP b6084.b.pppool.de:nbname *:* UDP b6084.b.pppool.de:nbdatagram *:* Logfile of HijackThis v1.98.2 Scan saved at 15:50:17, on 17.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\PROGRAMME\ATNOTES\ATNOTES.EXE C:\WINDOWS\RSRCMTR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE C:\PROGRAMME\WINAMP\WINAMP.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\FLASHGET\FLASHGET.EXE C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\REGEDIT.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\- TEMP\- PROGZ\- PROGZ\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - Startup: Rsrcmtr.lnk = C:\WINDOWS\RSRCMTR.EXE O4 - Startup: win-data 7 Zahlungserinnerung.lnk = C:\Programme\win-data 7\win-data pro Zahlungserinnerung.exe O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll Ich verstehe nicht, woher der Kram kommt. Vermutlich liegt es irgendwie an dem freigegebenen Ordner "Angebote etc". Heute morgen habe ich noch mehrmals daraufzugegriffen; nichts passiert (oder ist zu dem Zeitpunkt die MSlti64.exe aktiviert/erstellt worden). Und jetzt, kurz vor´m Wochenende... :-(( Bitte, Sabina, was soll ich noch machen ??? Gruß Luvstruck |
|
|
||
17.09.2004, 15:55
Ehrenmitglied
Beiträge: 29434 |
#108
Hallo @Luvstruck
Neuinstallieren, denn dein System ist kompromittiert. oder < MSlTi64.exe < loeschen und hoffen, dass kein Neubefall eintritt. #Registrar Lite http://www.resplendence.com/reglite #Download the Hoster from here: http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. #Deinstalliere deinen Virenscanner und installiere neu. #Personal Firewalls http://www.joergkrusesweb.de/internet/sicherheit/index-2.html Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.09.2004 um 16:04 Uhr von Sabina editiert.
|
|
|
||
17.09.2004, 17:32
...neu hier
Beiträge: 10 |
#109
@Sabina
Ich bin zwar nicht unbedingt einer von der ganz dummen Sorte, aber trotzdem müßtest Du mir mal sagen, wie Du das mit dem "kompromittiert" meinst. Außerdem muß doch die MSlTi64.exe irgendwoher kommen, oder ? Für jeden Fehler gibt es doch eine Ursache...und dann auch eine Lösung. Ich bin traurig, daß mein Rechner mich ärgert :-((( Gruß Luvstruck |
|
|
||
17.09.2004, 17:36
Member
Beiträge: 38 |
#110
Hallo,
Zur Kompromittierung schau z.b. mal hier: http://oschad.de/wiki/index.php/Kompromittierung Zitat: Zitat Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. Dieser Beitrag wurde am 17.09.2004 um 17:37 Uhr von MobyDuck editiert.
|
|
|
||
17.09.2004, 17:38
Ehrenmitglied
Beiträge: 29434 |
#111
Hallo @ Luvstruck
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung ........................................................................................................ WORM_AGOBOT ist ein Internetwurm\Backdoor This worm spreads via network shares. It attempts to log onto systems using a list of a combination of common user names and passwords that are hardcoded it its body. It then drops a copy of itself as MSLTI64.EXE in the accessed machines Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 ......................................................................................................... Mit Loeschen der MSLTI64.EXE ,mit der Saeuberung der HOST(%Windows%\hosts ), einer Firewall und einem frisch installierten Virenscanner, den CriticalUpdates Microsoft Security Bulletin MS03-026 Microsoft Security Bulletin MS03-007 Microsoft Security Bulletin MS04-011 http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.UE kannst du noch um eine Neuinstallation herumkommen. #Online Virenscan kostenlos http://www.johannrain-softwareentwicklung.business.t-online.de/online_virensuche.htm mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.09.2004 um 17:48 Uhr von Sabina editiert.
|
|
|
||
17.09.2004, 18:00
...neu hier
Beiträge: 10 |
#112
http://www.heise.de/newsticker/meldung/50793
Bei meinem ElectronicBanking ist es 100%ig unmöglich, irgendetwas zu knacken, zu klauen o.ä. Dafür müßte ein Betrüger an meinem Rechner sitzen und meinen Kopf in 100° heißes Wasser halten. http://www.heise.de/newsticker/meldung/50939 Die genannte Mail ist bei mir nie angekommen. http://www.spiegel.de/spiegel/0,1518,316561,00.html Die gefakte Mails sind mir bekannt, da ich fast alle PC-Zeitschriften lese. Deswegen wundere ich mich auch, warum ich auf einmal "befallen" worden bin. Außerdem gibt es keine gefakten Mails von dem Kreditinstitut, bei dem ich meine Konten habe. #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung Meinem System habe ich noch nie vertraut. Wie auch: Mein Chef ist ja nicht bereit, in irgendeiner Art-und-Weise aufzurüsten. Man stelle sich vor: Firmen-Rechner, ich bin quasi der Administrator, Rechner mit WIN 98, okay, immerhin SE. Fragen ??? Mit Loesche der exe, einer Firewall und einem frisch installierten Virenscanner, kannst du noch um eine Neuinstallation herumkommen. exe ist ja bekanntlich isoliert, Firewall läuft, Virenscanner wird jetzt gleich noch neu installiert. Aber eine Frage noch: Warum kommt diese MSlti64.exe erst immer dann, wenn ich per Explorer auf "C:\Angebote etc" gegangen bin ? Das kann doch nicht normal sein, oder ? Bei dem anderen Rechner, der im 10 MBit-Netz (*lachteuchwech*) hängt, habe ich auch nichts "auffälliges" gefunden. Zumal der Rechner garnicht nach draußen kommt. Danke schonmal für die Hilfen !!! Schönes Wochenende Luvstruck |
|
|
||
18.09.2004, 01:09
Ehrenmitglied
Beiträge: 29434 |
#113
Hallo @Luvstruck
Microsoft Security Bulletin MS03-026 Der Teil von RPC, der den Nachrichtenaustausch über TCP/IP verarbeitet, weist eine Sicherheitslücke auf. Der Fehler erfolgt durch falsche Verarbeitung ungültiger Nachrichten. Diese spezielle Sicherheitsanfälligkeit bezieht sich auf eine DCOM-Schnittstelle (Distributed Component Object Model) mit RPC, die TCP/IP-Port 135 abfragt. Diese Schnittstelle verarbeitet DCOM-Objektaktivierungsanforderungen (z. B. UNC-Pfade (Universal Naming Convention)), die von Clientcomputern an den Server gesendet werden. Um diese Sicherheitsanfälligkeit ausnutzen zu können, müsste ein Angreifer eine speziell gestaltete Anforderung an den Remotecomputer an Port 135 senden. http://www.microsoft.com/germany/technet/servicedesk/bulletin/bulletinms03-026.mspx ............................................................................................................. Microsoft Security Bulletin MS03-007 Ungeprüfter Speicherpuffer in Windows Komponente kann zur Beeinträchtigung von Web Server führen Ein Angreifer kann dieses Problem ausnutzen, indem er eine speziell veränderte HTTP-Anfrage an eine Maschine sendet, auf der der Internet Information Server (IIS) läuft. Die Anfrage kann den Server zum Versagen bringen oder Ausführung von Code nach Wahl des Angreifers erlauben. Dieser Code wird im Sicherheitskontext des IIS Service ausgeführt (das standardmäßig im Sicherheitskontext des LocalSystem läuft). http://www.microsoft.com/germany/technet/servicedesk/bulletin/bulletinms03-007.mspx ...................................................................................................................... Microsoft Security Bulletin MS04-011: Sicherheitsupdate für Microsoft Windows (835732) Auswirkungen der Sicherheitsanfälligkeiten: Codeausführung von Remotestandorten aus. Gelingt es einem Angreifer, die schwerwiegendsten Sicherheitsanfälligkeiten erfolgreich auszunutzen, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. http://www1.microsoft.at/technet/news_showpage.asp?newsid=13838&secid=1488 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 01:10 Uhr von Sabina editiert.
|
|
|
||
20.09.2004, 09:33
...neu hier
Beiträge: 3 |
#114
Hi@all
ich hab auch das problem mit dem qhosts.apd trojan. Zudem funktuioniert weder HiJackThis, noch der TaskManager... Was ist zu tun? Danke für die Mühe... |
|
|
||
20.09.2004, 09:45
Ehrenmitglied
Beiträge: 29434 |
#115
Hallo@logocom
1.Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 2.Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <Abgesicherter Modus WICHTIG !!! http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. Poste danach Virus Log Information: was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.09.2004 um 09:46 Uhr von Sabina editiert.
|
|
|
||
20.09.2004, 13:20
...neu hier
Beiträge: 3 |
#116
Hallo Sabina,
erste einmal Vielen Dank! für Deine Tips... Folgendes Problem: Habe alles so gemacht wie du ausgeführt hast, allerdings weigert sich der Rechner mwav.exe auszuführen... Begründung: ... die Database sei älter als 30 Tage... Das Ganze, obwohl kavupd.exe ordnungsgemäß durchlief... Aber HighJackThis geht wieder: ogfile of HijackThis v1.98.2 Scan saved at 13:03:34, on 20.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe D:\WINDOWS\SOUNDMAN.EXE D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINDOWS\System32\hkey.exe D:\WINDOWS\System32\qid.exe D:\Programme\QuickTime\qttask.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe D:\Programme\Teledat\IWatch.exe D:\Dokumente und Einstellungen\Fred&Maya&Luca.FREDOMAT-VCRSCH\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe D:\WINDOWS\System32\rasautou.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [windows] hkey.exe O4 - HKLM\..\Run: [loop] qid.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [windows] hkey.exe O4 - HKLM\..\RunServices: [loop] qid.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: ISDNWatch.lnk = D:\Programme\Teledat\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Vox.lnk = D:\Programme\Teledat\TelVox32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//uncle/main.chm::/load.exe O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://63.219.178.91:80/iex/ofile.exe?url=http://63.219.178.91:80/dexDE1125.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe O16 - DPF: {1203D659-09CD-404D-ABCC-60D7B77146AA} (APCToolbar Class TI) - http://www.tradesignal.com/wpa/tsb/2.6.2.0/components/tsbt-2-6-2-0.cab O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.tradesignal.com/wpa/tsb/2.6.2.2/components/tsbt-2-6-2-2.cab O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://www.smgradio.com/core/player/abasetup141.cab DAnke für Deine Hilfe... |
|
|
||
20.09.2004, 14:34
Ehrenmitglied
Beiträge: 29434 |
#117
Hallo@logocom
#Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen http://www.firebird-browser.de/ 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen http://www.free-av.de/ 10) alle Passworte aendern ______________________________________________________________________________ Falls du die Reinigung versuchen willst....wird aber hoffnungslos sein..... Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank O4 - HKLM\..\Run: [windows] hkey.exe O4 - HKLM\..\Run: [loop] qid.exe O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [windows] hkey.exe O4 - HKLM\..\RunServices: [loop] qid.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//uncle/main.chm::/load.exe O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://63.219.178.91:80/iex/ofile.exe?url=http://63.219.178.91:80/dexDE1125.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe neustarten 1.Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" 2.Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* 3.Removaltool fuer :Swen-Virus http://securityresponse.symantec.com/avcenter/venc/data/w32.swen.a@mm.removal.tool.html 4.Loesche: <1.exe <D:\WINDOWS\System32\hkey.exe <D:\WINDOWS\System32\qid.exe "Swen Virus" <D:\WINDOWS\System32\vpc32.exe 5.CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm 6.Lade die Trialversion von Kaspersky und scanne im abgesicherten Modus und dann noch einmal im Normalmodus. Kaspersky http://www.kaspersky.com/remoteviruschk.html 7.Scanne mit der Freeversion von a2 http://anti-trojan.net/ 8.UPDATE DEIN WINDOWS !!!!!!!!! 9.Poste dann , was die Scanner gefunden hat (auch, wo die Dialer sind...muessen dann manuell geleoscht werden) und das neue HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.09.2004 um 15:11 Uhr von Sabina editiert.
|
|
|
||
20.09.2004, 15:13
...neu hier
Beiträge: 3 |
#118
Hallo Sabina,
"Falls du die Reinigung versuchen willst....wird aber hoffnungslos sein....." Heißt das ich bin völlig verseucht...!!?? Wie hoffnungslos? Grüsse und Danke |
|
|
||
20.09.2004, 16:02
Ehrenmitglied
Beiträge: 29434 |
#119
Hallo @logocom
Total verseucht.... #Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.09.2004 um 16:03 Uhr von Sabina editiert.
|
|
|
||
20.09.2004, 18:15
...neu hier
Beiträge: 8 |
#120
Hallo, habe mir leider irgendeinen Schei... eingefangen, kann mir wer helfen :
Logfile of HijackThis v1.98.0 Scan saved at 18:18:15, on 20.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE C:\PROGRAMME\0190 WARNER PRäSENTIERT VON AOL\WARN0190.EXE C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE C:\WINDOWS\SVCHST.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAMME\AOL 9.0\WAOL.EXE C:\PROGRAMME\AOL 9.0\SHELLMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\WINOA386.MOD C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SchedulerMgr] C:\WINDOWS\qservice.exe /i O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\svchst.exe /i O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE" O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net olli2301 |
|
|
||
C:\WINDOWS\System32\virtualmemory.exe
der Trojaner ist auf jeden Fall noch drauf.
Fixe:
O4 - HKLM\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKLM\..\RunServices: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\RunServices: [MSN UPDATERS] virtualmemory.exe
neustarten und in den abgesicherten Modus gehen.
#Loesche:C:\WINDOWS\System32\virtualmemory.exe
#scanne mit mwav.exe (vorher updaten) im abgesicherten Modus.
Dann noch mal im Normalmodus und dann poste das neue HijackThis.
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit