So, schöne Sch****,
Das Teil ist nicht "ohne"
Man bekommt es weg, aber nicht ganz einfach!
Meiner Meinung sollte der PC, da platt gemacht werden, habt ihr ja schon gepostet, habe selbts geschwitzt, aber nun ist das Teil weg, es geht zu Fuß!

Beweiß:


Logfile of HijackThis v1.99.0
Scan saved at 01:33:19, on 02.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\System32\cisvc.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\internet explorer\iexplore.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX01.431\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096188294358
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


PS; Und noch was Kerl, das Teil hast du dir nur geklaut, nicht einmal selbst programmiert und falls du hier noch mitlesen kannst, deine richtige Adresse, habe ich auch, Dank Arcor!!!
LG, Charlie

re

@ Cidre, Du hast mir was voraus .. ich stehe immer noch auf dem Schlauch. Aber @ Haui45 poste den Link bitte nicht hier an Board .. nur .. war das Posting, auf das er in den Beiträgen hingewiesen hat von ihm?

Wie verhindert man sowas? Wie schaffen wir es, zu verhindern, dass User einander in PN's Müll schicken oder ihn posten? Vielleicht müssen wir unsere Boardleitung bitten, uns zu einem Erkennungszeichen zu verhelfen .. dass wir das TB-Support-Team sind .. und irgendwo in den Foren anfügen, dass von Nicht-Support-Leuten Logfile-Ausarbeitungen nicht beachtet werden sollen. Das ist auch wieder blöd, weil wir dauernd neue Leute dazu bekommen, denen es auch Spass macht zu helfen, die gut sind oder sich langsam einarbeiten.

Warum gibt es bloss so viele ... auf der Welt?

SD

hehe,

hätte ja sein können,dass es manch einer nich weiss,ich hab da 2 Accounts laufen

aber ich denke über die IP würde man ihn schneller bekommen.

Ich werd arcor aber mal einen netten Hinweis schicken,ich denke
schon,dass die dann die gewissen Maßnahmen in so einem Fall einleiten!

Hast du die mal den Index angeschaut?Frag mich was das für ne Type ist,ganz dicht kann er ja nich sein!

Kaspersky hat eben übrigens bei dem Rechner sofort angeschlagen

Zitat:

@ Haui45 poste den Link bitte nicht hier an Board

Sowieso nicht!

Zitat:

war das Posting, auf das er in den Beiträgen hingewiesen hat von ihm?

Jetz stehe ich auf dem Schlauch. Was/wen meinst du?

Zitat:

Wie verhindert man sowas?

Das ist imho unmöglich.

Zitat:

Warum gibt es bloss so viele ... auf der Welt?

Das frag ich mich auch.


@charlie1
Jetz frag ich mich aber wirklich woher du seine Adresse hast

mfg Haui

Hmm, eigentlich ganz einfach,

denn wenn man sich bei einem legalen Anbieter, was Arcor ja ist, um „Speicheplatz“ bemüht, muss, man seine Daten angeben, sonst wir das nichts und Rest kennst du ja.
Liebe Grüße, Charlie

Ihr seid lustig. Der hat hier auch mal kurz gepostet und ist dann in ein anderes Forum abgewandert, nachdem er gesperrt wurde.
Die HP ist nicht mehr vollständig- nur noch rudimentär.
http://mitglied.lycos.de/donquijano/s1.jpg
http://mitglied.lycos.de/donquijano/s2.jpg
http://mitglied.lycos.de/donquijano/s3.jpg
Gut finde ich das Bewerbungsscheiben mittendrin. :aplaus:

@ Haui45

Siehe http://www.denic.de/servlet/Whois oder http://sunny.nic.com/cgi-bin/whois

@ DonQuijano

In welchem Forum war er noch als Malware Verbreiter unterwegs?

"nette Frücht'chen" ...

Das erinnert mich an die drei Gymnasiasten, die letzte Woche aus der Schule geflogen sind, weil sie die Codes einer Bank gehackt haben.

@ Haui45 ... dieser ... hatte immer wieder auf HJT-Logfiles hingewiesen in seinen Postings, aber da die HJT' Logfiles nur 5 Tage bewahrt werden, geht sein Link ins Leere. Ich dachte, dass Du diese Postings gemeint hattest.

Die HP ist nicht mehr vollständig- nur noch rudimentär.

Hmm, eigentlich komisch
LG, Liebe Grüße, Charlie

Na gut, ich kann nicht mehr alle Seiten aufrufen- ohne Passwort .

Kaspersky hat eben übrigens bei dem Rechner sofort angeschlagen

@ HerrKautz, bei welchem?
LG, Charlie

Zitat:

Zitat von charlie1

Kaspersky hat eben übrigens bei dem Rechner sofort angeschlagen

@ HerrKautz, bei welchem?
LG, Charlie

Bei dem von meinem Bekannten,der sich den Server mal anschauen wollte,allerdings erst mit der neusten Signatur,bei der Signatur vom 29.12 zeigte Kaspersky keine Regung auf dem Rechner!

Kaspersky nennt ihn übrigens Backdoor.Ciadoor.13

Ja, schön und gut, wie man das Teil drauf und wieder runter bekommt, weiß ich schon,
Aber, was gibt es Neues?
Ich bin da wirklich ein wenig Ratlos???
Liebe Grüße, Charlie

Kann er dann morgen,bzw heute selber berichten, .exe ist jedenfalls ausgeführt und läuft,er will sich den Server morgen anschauen,ich werde den Teufel tun,und an den Rechner gehn

Allerdings existieren die F Einträge wie bei dir "noch" nicht,allerdings ist das w2k,weiss jetzt nicht ob das einen Unterschied macht.

Gruss

Zitat:

Zitat von luxor

...Kann man nicht auf einer seperaten Partition, die die nur mit Daten belegt ist, Daten belasssen, während man die Systempartitionen löscht. Wenn man Lutz liest wohl nicht...

Ich würde den Weg über eine andere Partition nur dann wählen, wenn die separate Partition zunächst gelöscht und anschließend neu angelegt wird und die benötigten Dateien dorthin kopiert werden. Dies ist aber imho nicht das, was Du Dir vorstellst...

Zitat:

Zitat von luxor

Ginge es dann zumindest eine weitere Festplatte anzuschliesen, dorthin Daten zu überspielen und mit dieser Festplatte dann so zu verfahren, wie Lutz es für die CDs empfielt.

Wenn es sich um eine 'saubere' sprich von einem sauberen System aus frisch formartierte Festplatte handelt spricht imho nichts dagegen, anstatt einer CD/DVD eine zusätzliche Festplatte zu verwenden...

Zitat:

Zitat von luxor

Vielleicht liese sich auch etwas über Netzwer machen, dass wäre auch vorhanden.

Diese Variante sollte imho nun gar nicht in Betracht gezogen werden! Im Gegenteil, wenn Du ein Netzwerk hast, solltest Du die anderen Rechner in diesem Netzwerk ebenfalls gründlich untersuchen. Backdoor-Trojaner verbreiten sich gerne auch über 'ungewollte' Netzwerkfreigaben.