hi

hab mir wohl irgendetwas von ad.firstadsolution eingefangen.
jedes mal wenn ich den firefox starte öffnet sich ein werbefenster (im internet explorer)

Wäre schön wenn ihr mir helfen könntet
im anschluss findet ihr den hijackthis log

MfG
Darklistener



Logfile of HijackThis v1.99.1
Scan saved at 10:13:28, on 30.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\windows\System32\svchost.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe
C:\windows\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\windows\system32\rlvknlg.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\TopDesk Trial\topdesk.exe
C:\windows\system32\rundll32.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\QIP2\Qip.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\DUNKLE~1\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nitro.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Anonymizer Proxy - {0DB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Programme\NetConceal Anonymizer\ProxyNew.dll
O2 - BHO: (no name) - {39568E25-B25C-AB16-9C67-6F7D2337D933} - C:\DOKUME~1\DUNKLE~1\ANWEND~1\comp body\Hole bin.exe
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B3299B71-6D4A-EFCA-84DD-5FB22FEE9D28} - C:\DOKUME~1\DUNKLE~1\ANWEND~1\comp body\Hole bin.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SETTINGSTIMESPAMBOLD] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\manager setup settings time\FreeTray.exe
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk Trial\topdesk.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\newdotnet7_22.dll,ClientStartup -s
O4 - HKLM\..\Run: [ICQ Lite] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [Extra slow up warn] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Deaf Great Extra Slow\Rule sixth.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\windows\scvhost.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP2\Qip.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [anti send] C:\DOKUME~1\DUNKLE~1\ANWEND~1\frag pure\Help roam.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134988257437
O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D3A54A4-EC5D-4223-B2A2-511A0AE01C37}: NameServer = 212.19.48.14
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat:

O4 - HKLM\..\RunServices: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\windows\scvhost.exe

Da ist aber einiges im Argen. scvhost.exe deutet auf einen Netzwerkwurm mit Backdoorfunktion hin. Du musst das System neuaufsetzen!

Hallo,

Zitat:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Dieses kenn ich zufällig auch. dürfte fer Grund für die Popups sein. aber nicht einfach fixen, sonst könnte deine Internetverbindung zusammenbrechen, soweit ich das noch weiss. hatte damals LSP fix benutzt und dann gefixt. ausserdem müsste davon was in Systemsteuerung/Software zu finden sein. Aber am besten sagen dir die Profis hier was dazu.

Grüsse

@Khain.:
Eine weitere Analyse ist eigentlich nicht erforderlich, da das System kompromittiert ist und neu aufgesetzt werden musst!

Hi

Ok vielen Dank erstmal!
Dann werd ich wohl mal Neuaufsetzen müssen....

MfG
Darklistener

rüße,

Bitte führe vollgende Schritte aus, dann ist dein Problem behoben.


* 1.) Deinstalliert über Start>>Eintellungen>>Systemsteuerung>>Software das Programm das den Swizzor eingeschleust hat, z.B. Netpumper oder MessengerPlus3. Macht dann einen Neustart, wenn dann keine Popups oder Meldungen des AVs mehr kommen sollte es das schon gewesen sein.


* 2.) Besorgt euch HijackThis und scannt damit euer System.


* 3.) Normalerweise hat Swizzor mindesten zwei Einträge, einen O2 und einen O4 Eintrag, diese verweisen immer auf Ordner in folgendem Pfad:
C:\DOKUMENTE UND EINSTELLUNGEN\*USER*\ANWENDUNGSDATEN\*beliebiger Ordnername*

*User* Steht für einen beliebigen Benutzer, kann aber auch den Pfad "All Users" meinen.

Häufig werden die Ordnernamen bei HijackThis abgekürzt, das sieht dann folgendermaßen aus:
C:\DOKUME~1 (~1 steht also für beliebig folgende Buchstaben oder Zahlen)

Mal ein paar Beispieleinträge, damit ihr wißt nach was ihr suchen müßt:

O2 - BHO: (no name) - {4774DFA6-2A34-46A1-AD67-A81DC29573FB} - C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\shimwipe.exe
O2 - BHO: (no name) - {C434066A-AFBD-C484-4679-77547D40E815} - C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\bleh live.exe
O4 - HKLM\..\Run: [plan load film pop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\dale kind.exe
O4 - HKLM\..\Run: [01FlagAimDate] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\Chic thunk.exe


* 4.) Wenn ihr jetzt die betreffenden einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betrefenden Ordner, bei den Beispieleinträgen wären das folgende:

C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\
C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\

dann, immernoch im abgesicherten Modus, fixt (Haken davor und auf "fix checked") ihr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ktqiyvfudnpyyjefgkwps.net/V6mVQg00TdIVfw/eyPEwBsSNByJ6INmtFOBkQhZTjKezSt4pixNYZXV24zqMkTzU. html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dfkeguzhmpf.biz/V6mVQg00TdI7SCuHe9XeVKra9janNgcSAMfVLleE0yM.html


* 5.) Geht in den Ordner C:\Windows\Tasks, dort sucht ihr nach einer *.job Datei, die aus 16 zusammengewürfelten Buchstaben/Zahlen besteht und zur vollen Stunde erstellt wurde. Beispiele hierfür:

C:\WINDOWS\tasks\A58DA13791965BA7.job
C:\WINDOWS\tasks\AE3C1401919B8531.job
C:\WINDOWS\tasks\A60C46BB9187FF23.job

löscht diese Datei mit killbox on reboot.


* 6.) Jetzt löscht ihr noch eure Temp Dateien mit Cleanup! und deaktiviert die Systemwiederherstellung, führt einen Neustart durch und aktiviert sie wieder. Löscht ev. noch die Backups von HijackThis (unter "view the list of Backups" die jeweiligen aussuchen und auf delete klicken).


* 7.) Macht zur Kontrolle noch einmal einen Onlinescan bei Panda dies muss mit dem IE geschehen, da ActiveX hierfür von Nöten ist.

MFG

Hatte nicht schon jemand geschrieben, dass das System im Eimer und nicht zu bereinigen ist?

Zitat:

Zitat von cosinus

@Khain.:
Eine weitere Analyse ist eigentlich nicht erforderlich, da das System kompromittiert ist und neu aufgesetzt werden musst!

tja, die nacht ist lang, da kann man mal nachhelfen. oft wird gesagt das system ist müll. teilweise ist aber diese aussagen zu schnell gefasst.

Zitat:

Zitat von TRYTOHELPYOU

tja, die nacht ist lang, da kann man mal nachhelfen. oft wird gesagt das system ist müll. teilweise ist aber diese aussagen zu schnell gefasst.

Wenn diese Datei

C:\windows\scvhost.exe

anwesend ist, gehört das System aber neuaufgesetzt!

Nö,

handelt sich um den Wurm W32/Rbot-EK. Denn bekommst so weg.



du folgst dieser Anweisung:

Dieser Bereich erläutert sein Verhalten

W32/Rbot-EK ist ein Netzwerkwurm und eine Backdoor für die Windows-Plattform.
W32/Rbot-EK ermöglicht einem bösartig gesinnten Anwender Fernzugriff auf den infizierten Computer via IRC.

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/Rbot-EK als scvhost.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Firewalll
= scvhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Windows Firewalll
= scvhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Firewalll
= scvhost.exe

W32/Rbot-EK beendet die folgenden Prozesse, sofern sie vorhanden sind:

i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
wincfg32.exetaskmon.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
msconfig.exe
regedit.exe

W32/Rbot-EK verbreitet sich, indem er Netzwerkfreigaben und Microsoft SQL Server mit einfachen Kennwörtern, Schwachstellen im Windows-Betriebssystem und Backdoors, die von anderen Würmern und Trojanern geöffnet wurden, ausnutzt.

Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-EK ausgenutzt werden, stehen von Microsoft zur Verfügung unter:
MS04-011
MS03-026
MS03-007



Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren.

Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.


Umbenennen des Registrierungseditors

* Gehen Sie im Windows Explorer auf den Windows-Ordner (normalerweise C:\Windows oder C:\Winnt), klicken Sie mit der rechten Maustaste auf Regedit.exe und erstellen Sie eine Kopie der Datei.

* Benennen Sie die Kopie von Regedit.exe um in Regedit.com.

* Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit.com" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.



Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.


Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Windows Firewalll = scvhost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Windows Firewalll = scvhost.exe


Löschen Sie die Einträge, sofern sie existieren.


Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:


HKCU\[Codeziffer]\Software\Microsoft\Windows\CurrentVersion\Run\

Windows Firewalll = scvhost.exe


Löschen Sie den Eintrag, sofern er existiert.


Schließen Sie den Registrierungseditor.

* Laden Sie die oben erwähnten Microsoft-Patches herunter und installieren Sie diese. Aktualisieren Sie Einzel-Computer mit allen notwendigen Sicherheits-Patches auf
href="http://windowsupdate.microsoft.com" target="_blank">Windows
update.

* Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.

Aha, sehr intressant. Wer garantiert Dir, dass keine weiteren Manipulationen am System vorliegen?
Backdoors, und der Rbot gehört dazu, bekommst Du nur sicher weg, wenn das System neuaufgesetzt wird. Nach einer manuellen Bereinigung mag zwar der offensichtliche Schädling weg sein, da aber durch die Hintertür Dritte Zugriff auf das System hatten, ist es nicht mehr vertrauenswürdig. => Neuaufsetzen.

ich hab dir ja nur ein möglichkeit aufgezeigt. Es

ist alles möglich

PAAAAARRRRRRRRRTTTTTTTTTTTYYYYYYY


Klar, nur bei diesen Viren solltest du auch darauf achten, dass Sie sich nicht in deinen Flashspeicher oder Grafikspeicher frisst.


wenn du dann wieder online gehst. viel spaß....

Zitat:

Zitat von TRYTOHELPYOU

ich hab dir ja nur ein möglichkeit aufgezeigt. Es
ist alles möglich

Bereinigungen bei Backdoorbefall funktionieren einfach nicht zuverlässig. Schau Dir mal diesen MS-Technet-Artikel genauer an...

Zitat:

Klar, nur bei diesen Viren solltest du auch darauf achten, dass Sie sich nicht in deinen Flashspeicher oder Grafikspeicher frisst.

Grafikspeicher?
Prinzipiell sollte man davon ausgehen, dass alle Daten manipuliert sein könnten, wenn eine Hintertür offen war bzw. ist!

Zitat:

wenn du dann wieder online gehst. viel spaß....

Deswegen sichert man opimalerweise keine Dateien mehr vom kompromittierten System oder allenfalls nur reine Datendateien aber keine ausführbaren.
Und dass man ein neuaufgesetztes System VOR der ersten Internetverbindung absichert, sollte ja wohl klar sein.

danke für deine theoretisch eröterung.

ich habe meinen computer auch mit ad.firstadsolution infiziert und bin fast am verweifeln. jedes mal wenn ich meinen firefox starte wird im ie ein fenster mit nerviger werbung gezeigt.

Logfile of HijackThis v1.99.1
Scan saved at 23:36:10, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\MICROS~2\wcescomm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\rapimgr.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Download\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [trusttonssecondcoal] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dvd base trust tons\Error Start.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~2\wcescomm.exe"
O4 - HKCU\..\Run: [Support1] C:\DOKUME~1\ADMINI~1\ANWEND~1\ERRORS~1\HTMCHIN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162495979031
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe