exttiq ?! :/

Sue · 19.11.2004, 20:31

hi. problem:

Logfile of HijackThis v1.98.2
Scan saved at 20:23:49, on 19.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\YzDock\YzDock\YzDock.exe
C:\WINDOWS\System32\exttiq.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Martin\Desktop\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Windows Compliant] exttiq.exe
O4 - HKLM\..\RunServices: [Windows Compliant] exttiq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] G:\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Windows Compliant] exttiq.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Allow Popups - C:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC100218-E7F2-4DA6-9173-6E9F808BC7E2}: NameServer = 205.188.146.146

habe die bösen gefixed. sind aber immer noch da

und spybot findet auch immer wieder einträge, die ich schon öfters versucht habe zu entfernen. bei neustart sind sie wieder da

spybot findet immer:
advertising.com
doubleclick
dso exploit
valueclick

was kann ich tun?

zudem wird meine internetverbindung ständig zu 50% ausgenutzt (isdn) obwohl ich nix machen

help

sue.

chaosman · 19.11.2004, 20:49

@
dso exploit ist bekannt, wird noch nicht von spybot gelöscht.
verzichte auf den DAP holt spyware nach, nimme lieber den LeechGet
gebe HJT bitte einen eigenen ordner.
diese datei bitte hier überprüfen lassen C:\WINDOWS\System32\exttiq.exe

wechsle in den abgesicherten modus und fixe
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
lösche manuell diese datei
C:\PROGRA~1\DAP\DAP.EXE

wenn die überprüfung von C:\WINDOWS\System32\exttiq.exe
ergibt, daß er infiziert ist, dann fixe zusätzlich
O4 - HKLM\..\Run: [Windows Compliant] exttiq.exe
O4 - HKLM\..\RunServices: [Windows Compliant] exttiq.exe
O4 - HKCU\..\Run: [Windows Compliant] exttiq.exe
lösche dann manuell
C:\WINDOWS\System32\exttiq.exe
neu starten
chaosman

Sue · 19.11.2004, 20:57

C:\WINDOWS\System32\exttiq.exe

diese datei habe ich nicht? und kann sie auch sonstwo unter c:\ nicht finden?

chaosman · 19.11.2004, 21:03

@sue

kuckst du hier
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

chaosman

Sue · 19.11.2004, 21:03

war versteckt als systemdatei. lol.

Service load: 0% 100%

File: exttiq.exe
Status: INFECTED/MALWARE
Packers detected: MOLEBOX

AntiVir Worm/RBot.RT (0.15 seconds taken)
Avast Win32:Rbot-EE (1.51 seconds taken)
BitDefender Backdoor.Rbot.RP (0.33 seconds taken)
ClamAV Trojan.Spybot-79 (0.33 seconds taken)
Dr.Web Win32.HLLW.MyBot (0.47 seconds taken)
F-Prot Antivirus W32/Spybot.AWJ (0.06 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.60 seconds taken)
mks_vir Trojan.Rbot.Gen (0.32 seconds taken)
NOD32 Win32/Rbot.AEF (0.62 seconds taken)
Norman Virus Control No viruses found (9.10 seconds taken)

lol norman virus control hat nix gefunden. typisch

aber was mich wundert dass ich antivir laufen habe und er es trotzdem nit fand

chaosman · 19.11.2004, 21:16

@Sue

bei dieser
http://www.sophos.de/virusinfo/analyses/w32rbotci.html
kam man dich nur empfehlen dein system neu aufzusetzen.
betrachte es als kompromittiert
http://www.mathematik.uni-marburg.de...ompromise.html
ein paar tips
(Zitat von Cidre)
Es sieht so aus, als wären viele Backdoor Trojaner auf diesem System aktiv gewesen, daher lautet meine Empfehlung bei dieser derartigen Durchseuchung: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

chaosman

19.11.2004, 20:57	#3
Sue	exttiq ?! :/ C:\WINDOWS\System32\exttiq.exe diese datei habe ich nicht? und kann sie auch sonstwo unter c:\ nicht finden? __________________

19.11.2004, 21:03	#4
chaosman	exttiq ?! :/ @sue kuckst du hier Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" chaosman __________________ Bonus vir semper tiro

exttiq ?! :/

Log-Analyse und Auswertung: exttiq ?! :/

exttiq ?! :/

exttiq ?! :/

exttiq ?! :/

exttiq ?! :/

exttiq ?! :/

exttiq ?! :/