Exploit-DcomPpc.gen

engel-no7 · 26.05.2004, 22:17

Guten Abend...

habe seit zwei Tagen Probs mit meinem PC...
Heute habe ich von McAfee VirusScan die Warnung bekommen, dass sich ein Trojanisches Pferd Namens Exploit-DcomPpc.gen in der Datei C/Dokumente/Einst./Besitzer/Lok.Einst./temp/~1.tmp befindet...die Datei selber lässt sich nicht entfernen, hijackthis findet nichts, cwshredder wurde durchgeführt, McAfee kann nicht löschen,säubern oder in Q. stellen.

Hoffe es kann mir jemand weiter helfen, da mein Pc immer mehr Probs. macht...

Grüße von [img]graemlins/heilig.gif[/img] -no7

Olo · 26.05.2004, 22:27

</font><blockquote>Zitat:</font><hr /> Hoffe es kann mir jemand weiter helfen, da mein Pc immer mehr Probs. macht... </font>[/QUOTE]rechner von jeglichem netzwerk nehmen
hijackthis findet sicher was speicher das log und poste das mal hier
such nach diesem backdoor per google / hier im board

mit n bissl pech hast nicht nur den drauf wenn du meinst dein pc würde "immer schlechter" laufen

engel-no7 · 27.05.2004, 11:00

habe mir hijack neu runtegeladen und jetzt sieht das schon anders aus...

hier das log

Logfile of HijackThis v1.97.7
Scan saved at 23:43:17, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\navmgrd.exe
C:\WINDOWS\System32\bah.exe
C:\Anwender\PestPatrol\PPMemCheck.exe
C:\Anwender\PestPatrol\PPControl.exe
C:\Anwender\PestPatrol\CookiePatrol.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [S3Timer] S3Timer.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Microsoft Update] navmgrd.exe
O4 - HKLM\..\Run: [Windows Media Player] bah.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PPMemCheck] C:\Anwender\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Anwender\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Anwender\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrolCL] C:\Anwender\PestPatrol\PestPatrolCL.exe c:\
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [FC8ACFF4] C:\WINDOWS\System32\cbcpecho.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe
O4 - HKLM\..\RunServices: [Windows Media Player] bah.exe
O4 - HKLM\..\RunServices: [E02698E0] C:\WINDOWS\System32\cbcpecho.exe
O4 - HKCU\..\Run: [Microsoft Update] navmgrd.exe
O4 - HKCU\..\Run: [Windows Media Player] bah.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...62/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8960EFC-00C6-4DEF-B3C5-BFC4D0E4DBC7}: NameServer = 192.168.122.252,192.168.122.253

hatte schon nach diesem exploit-dcomppc.gen gesucht, aber nichts gefunden darüber...

mmk · 27.05.2004, 11:13

Das gefällt mir nicht, sieht schwer nach Backdoor aus:

C:\WINDOWS\System32\navmgrd.exe
C:\WINDOWS\System32\bah.exe

O4 - HKLM\..\Run: [Microsoft Update] navmgrd.exe
O4 - HKLM\..\Run: [Windows Media Player] bah.exe
O4 - HKLM\..\Run: [FC8ACFF4] C:\WINDOWS\System32\cbcpecho.exe
O4 - HKLM\..\RunServices: [Microsoft Update] navmgrd.exe
O4 - HKLM\..\RunServices: [Windows Media Player] bah.exe
O4 - HKLM\..\RunServices: [E02698E0] C:\WINDOWS\System32\cbcpecho.exe
O4 - HKCU\..\Run: [Microsoft Update] navmgrd.exe
O4 - HKCU\..\Run: [Windows Media Player] bah.exe

Prüf diese drei Dateien...
C:\WINDOWS\System32\navmgrd.exe
C:\WINDOWS\System32\bah.exe
C:\WINDOWS\System32\cbcpecho.exe

...bitte hier:
http://www.kaspersky.com/de/scanforvirus

Und poste dann das Ergebnis.

engel-no7 · 27.05.2004, 11:38

Danke erstmal,

den angegebene link funktioniert nicht bzw. bekomme ich die Anzeige... Sorry, the server is temporarily unavailable...

habe gerade TrendMicro laufen lassen und es wurde 3 invizierte Datein gefunden...

Worm Bobax.c
C:/windows/system32/config/...
C:/windows/system32/temp/~170.tmp

BKDR SDBOT.DP
C:/windows/system32/navmgrd.exe
(lässt sich werder säubern noch löschen)

schau jetzt erstmal das ich BOBAX loswerde

mmk · 27.05.2004, 11:40

Dann schick mir ggf. die nicht erkannten Dateien zwecks Prüfung zu. Mailadresse siehe Signatur.

Edit: diese Würmer / Backdoors deuten darauf hin, dass du nicht alle relevanten Patches für Windows installiert hast. Auch werden die Dienste nicht ausreichend sicher konfiguriert sein (http://www.ntsvcfg.de).

Auch wenn du die Schadsoftware jetzt augenscheinlich "entfernst", so ist es bei bestehender Internetverbindung nicht unwahrscheinlich, dass dein PC nach wenigen Sekunden erneut infiziert wird.

Das ist bildlich gesprochen, als wenn du in einem beschädigten Boot auf einem See fährst, und ständig einströmendes Wasser herausschöpfst. Solange aber das Loch nicht gestopft ist, wird das Wasser immer wieder nachströmen.

Boot abdichten:
http://windowsupdate.microsoft.com

[ 27. Mai 2004, 00:46: Beitrag editiert von: mmk ]

Exploit-DcomPpc.gen

Plagegeister aller Art und deren Bekämpfung: Exploit-DcomPpc.gen