Mehr Upload als download (T-DSL)

Coce · 24.11.2004, 21:00

hallo
hab seit neustens mehr upload als download
antivir hat schon was gefunden aber es wird nicht besser und tikto.exe ist immer im task manager und geht net weg!!
kann auch nicht auf der hdd gefunden werden obwohl alles freigegeben ist und nicht versteckt!
tikto.exe
ssrv.exe
w32spybot

Logfile of HijackThis v1.98.2
Scan saved at 20:32:40, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchosting.exe
C:\WINDOWS\System32\TikTo.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Dokumente und Einstellungen\CoCe\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Task manager] TikTo.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Task manager] TikTo.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Task manager] TikTo.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101317428817
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E726FBFA-0056-44E1-B143-843243E51A1E}: NameServer = 217.237.150.141 217.237.150.97

danke für jede schnelle hilfe

Cidre · 24.11.2004, 21:25

Oh je, das sieht gar nicht gut aus! Verschiedenste Varianten aus der Rbot und SDbot Familie (Wurm mit Backdoor Funktionalität) laufen im Hintergrund mit, unter anderem http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.QQ
http://uk.trendmicro-europe.com/ente...=WORM_SDBOT.HU
http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.LV

Folglich sollte dein System neu aufgesetzt werden, siehe auch http://www.trojaner-board.de/showpos...28&postcount=2

Haui45 · 24.11.2004, 21:26

Aufgrund der aktiven Backdoors (z.B. http://www.sophos.de/virusinfo/analy...2forbotcc.html) lautet meine Empfehlung formatieren und neu aufsetzen

Coce · 25.11.2004, 01:21

hallo
das hat mir grad avast gemeldet
25.11.2004 01:09:58 DCOM Exploit attack
from 217.86.180.141:135
25.11.2004 01:10:20 DCOM Exploit attack
from 217.86.6.167:135

formatet hab ich schonmal
aber kommt mmer wieder!!!
danke
gute nacht

Yopie · 25.11.2004, 01:38

Zitat:

Zitat von Coce

hallo
das hat mir grad avast gemeldet
25.11.2004 01:09:58 DCOM Exploit attack
from 217.86.180.141:135
25.11.2004 01:10:20 DCOM Exploit attack
from 217.86.6.167:135

formatet hab ich schonmal
aber kommt mmer wieder!!!

Was kommt immer wieder? Die sog. Attacke? Oder rbot/sdbot und wie sie alle heißen?

Im ersten Fall solltest Du Dich eingehend mit der Funktionsweise Deiner "Firewall" beschäftigen. Im zweiten Fall noch einmal neu aufsetzen, aber richtig:
http://www.trojaner-board.de/showpos...28&postcount=2
http://www.trojaner-board.de/showthread.php?t=9546

Und falls noch nicht geschehen, auch mal einen Blick oder zwei auf http://www.mathematik.uni-marburg.de...ompromise.html werfen.

Gruß

Yopie

Mehr Upload als download (T-DSL)

Plagegeister aller Art und deren Bekämpfung: Mehr Upload als download (T-DSL)