Zitat:

@ haui
Haui, alter Lauser!
Servus!

Naja, wir wollen ja nicht, dass er morgen wieder mit den gleichen Problem "vor der Türe" steht.
Heute aber nur ein kurzes "Gastspiel" von mir, hab noch zu tun
Naja man läuft sich sicher wiedermal über den Weg im ein oder anderen Thread
cya Haui

Zitat:

Was macht so ein Backdoortrojaner eigentlich genau?!?!

steht zwar alles in den Links, aber gut:
z.B.
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Sendet sich an Adressen in Outlook-Adressbüchern
# Stiehlt Daten
# Lädt Code aus dem Internet herunter

Bei diesen Teilen kannst Du nicht mehr nachvollziehen, was sie in deinem System angestellt haben. Der Rechner gehört nicht mehr Dir. Schlimmstenfalls werden darüber Kinderpornos vertickert, ohne daß Du es merkst. Mehr zu Thema findest Du hier und zum Schutz nach dem Neuaufsetzen hier
Weiter Infos hier
Halte dich an die Tipps, sonst gehts bald wieder los.
cacatoa

Hallo Jungs!

Nachdem ich jetz nun eh schon fast soweit bin, mein System neu auf zu stellen, versuch ich noch n bisschen was, des Zeug los zu werden, ohne so viel Aufwand, um das Ganze noch ein bisschen raus zu zögern.
Mir is schon klar, dass ihr da um einiges mehr Experten seit und ich glaube euch natürlich! Aber wenn ich eh schon nicht mehr viel kaputt machen kann versuch ich´s halt mal...
Was haltet ihr denn von dem: Habe neuste Stinger-Version vom 19.11., SpyBot-Search&Destroy und so n trojanremovel-Tool (wieß nich mehr genau wie des geheißen hat) runter gezogen. Ich lass jetz mal alles drei durchlaufen. Habe schon jetz festgestellt, dass mein F-Secure jetz wieder Vieren erkennt und entfernt.

Was haltet ihr von dem was ich da jetz anstelle...???

Davon halte ich gar nichts!
Der Grund ist ganz einfach: Es geht nicht nur um Dich - Du bist im I-Net eine Gefahr für andere!!
Zitat haui 45:

Zitat:

# Sendet sich an Adressen in Outlook-Adressbüchern

Also, kannst du nicht wirklich erwarten, daß ich Deine Versuche gutheiße.
cacatoa

Ich schließe mich der Meinung von cacatoa an. Die von dir beschriebene Vorgehensweise ist nutzlos, da du davon ausgehen musst, dass dein gesamtes System manipuliert wurde.

@cacatoa

Guten Abend zusammen!

Zu dem, das ich andere bedrohe: Ich nutze werder Outlook noch Express. Komisch finde ich, das alles was ich laufen hab lassen zwar was gefunden hat, aber nicht das was ihr mir gesagt hab das ich hab...

Wo seh ich denn bei meinem Logfile was ich wo für Müll drauf hab...?!?

Weißt du,
wenn du (aus unerfindlichen Gründen) nicht Dein Logfile rausgelöscht hättest, könnten wir dir Antwort geben; oder meinst du wir merken uns die Dinger alle auswendig?

Ok. Überzeugt... Das is jetz nach meiner "Bearbeitung":


Logfile of HijackThis v1.98.2
Scan saved at 20:39:01, on 01.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINNT\Explorer.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\WINNT\LTSMMSG.exe
C:\WINNT\system32\Trirot.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINNT\shico.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\frn_inbc\frn_inbc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [VolKey] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe
O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [eDoc] C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97EA9952-E8E9-484D-BD91-EB2AE8ABFE09}: NameServer = 62.104.191.241 62.104.196.134

Also, ersten sehe ich mal in der "Internat.exe" den da . Lies mal bei "erweitert". Der sendet Deine Daten nach Rußland.
Dann gibt es den als public.windupdates.com
Den da als WinAd

Der da war in einem "temp"Ordner, das ist der schlimmste; ob er aktiv ist kann man jetzt nicht beurteilen.
msnappau ist Adware...
und jetzt hör ich auf.
Grüße cacatoa

Rußky????? Ok. Überzeugt. Sch....! Hab kein Bock alles neu zu machen...! Aber hilft wohl nix... Ich verstehe nich was die von mir wollen. Is jetz vielleicht n bisschen naiv, aber ich hab nix auf meinem Rechner was andere interessieren könnten. Da gibts Telefonrechnungen, MP3´s, jede Menge Scheiß, aber nix womit einer was anstellen könnte... Mach mit dem Rechner noch nich mal Internetbanking (könnte es wenn es so wär da mal ne böse Überraschung geben?)

Ich hab jetz auf jeden Fall mal alles was ich brauch. Ich weiß ich soll des Teil platt machen, den Anweisungen, "damit ich nich morgen wieder vor der Tür steh", befolgen und dann werden wir sehn....

Was sagt ihr denn generell zu den Programmen? Sind die gut?

Die Progs sind o.k., bis auf das:

Zitat:

trojanremovel-Tool

damit kann ich nichts anfangen
Frag mal Tante google, was die zu Backdoortrojanern und Internetbanking ausspuckt...
Also, denn...
cacatoa

Vielen Dank für eure Hilfe!

-Besonders an cacatoa!

Das Ding heiße Trojan Remover, gibt´s bei Chip.de...

Ich hoffe, das dann wieder ok is.....

Ciao und schönen Abend, Daniel