|
Haxdoor GJ1 bitte hilfe ! Hallo, Aus unerklärlichen Gründen habe ich diese Backdoor Programm auf dem Pc, was eigentlich gar nicht sein kann da ich meinen PC erst heute morgen neu gemacht habe? Bitte um schnelle Hilfe hier der HiJackThis scan : Logfile of HijackThis v1.99.1 Scan saved at 00:10:25, on 05.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\cidaemon.exe C:\WINDOWS\system32\NOTEPAD.EXE E:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\LaVida2\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0494fe44eae8a4d16821/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116 O17 - HKLM\System\CS1\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116 O17 - HKLM\System\CS2\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116 O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe LG LaVida |
So unerklärlich ist das garnicht. Du hast ein ungepatchtes System. Zitat:
Zitat:
|
Hey ... O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll da war auch die ganze zeit die meldung glaube ich ... Wie soll denn der Router konfiguriert sein? Firewall ist aktiviert... 2 pcs sind dran?? Alles andere ist clean aufm pc.. hab ich grad getestet nur im Windows Ordner befindet sich was ... Was kann ich tun? MfG, |
Ein Paketfilter (du nennst ihn "Firewall") bringt dir nichts, wenn dieser schlecht konfiguriert ist und/oder das BS ungepatcht. => C:\WINDOWS\SYSTEM32\scsi2usb.dll Diese Datei bitte mal bei Virustotal auswerten lassen und Ergebnis posten. |
Wenn Virustotal das ist was ich denke, dann ist es die Page virustotal.com dieser onlinescan... die Page ist momenta off. => C:\WINDOWS\SYSTEM32\scsi2usb.dll dort befindet sich jedoch sicher ein Trojaner und ein Backdoor bla drin. Ich glaube ich weiß woher der Virus stammt: rollertuningpage.de -> Nicht drauf gehen, aber ein Freund meinte, dass er dort auch eine Trojanermeldung hatte wo er auf die Page gehen wollte. Kann man das irgendwie überprüfen, ohne dass du den Trojaner/Backdoor aufm Pc hast? bei ihm heißt er : svj.exe ist er und heißt tr/dldr.ha.bg.202.F habe gerade AntiVir runtergemacht weil jede sekune dieser Ton kam und das auch wo das programm gar nicht geöffnet war. MfG, LaVida |
http://www.virustotal.com/vt/ Da auswerten lassen die Datei. |
Zitat:
MfG, sowohl mit Firefox als auch Inet Explorer |
Da scheint noch mehr im Argen zu sein. Öffne doch mal die Datei c:\windows\system32\drivers\etc\host mit dem Editor und poste dessen Inhalt. Die Datei C:\WINDOWS\SYSTEM32\scsi2usb.dll kannst du mir im passwortgeschützten Archiv mailen. |
# Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost Emh Die Datei scsi2usb.dll befindet sich nicht im System 32 Ordner? Jetzt versteh ich nichts mehr? |
ach.. Ich mach ihn einfach nochmal neu, ist eh noch nicht so viel drauf. Aber danke für deine Hilfe und meidet rollertuningpage.de :P MfG, |
das habe ich gefunden in w2000 auf meinem Rechner: scsi2usb setzt sich vor hosts-file und nameserver und leitet gewisse adressen um auf den eigenen rechner, z.b. bei ping, nicht aber bei nslookup. Betroffen: ...symantec.com ...kaspersky.com usw. scheint zumindest Teil der Abwehrstrategie eines Virus gegen Antiviren Programmupdate zu sein, vielleicht auch mehr. excel startet nicht, outlook express crasht die meisten Control-panel funktionen starten nicht das problem tritt erst auf, wenn der rechner einmal ein Netz gesehen hat und TCP/IP verwendet wird. Safe mode und safe mode mit networking zeigen das Problem NICHT. Entfernung: Staart im Safe mode, dann registry eintrag total entfernen hklm/..../winlogon/Notify/scsi2usb ACHTUNG die Datei scsi2usb.dll ist unter Windows NICHT sichtbar, auch nicht mit attrib.exe und nicht mit cmd und nicht im explorer, auch wenn man alles sichtbar macht, was möglich ist! System von CD booten, recovery console aufrufen, cd winnt cd system32 del scsi2usb.dll Bei mir hat das gereicht! Sowas ist leider möglich, weil das Windows so unauber konstruiert ist. Das ruft Leute auf den Plan, die nichts Gescheiteres zu tun haben, als ihre kümmerliche Intelligenz zum Bau solcher Unsinnigkeiten zu verwenden.... Resümee: Ich stelle jetzt definitiv meine produktiven Rechner auf die Linux-Distributiom "ubuntu" um, und verwende Windows nurmehr zum Testen. Das ist billiger und stabiler, und das "Open Office" gefällt mir auch besser... |
Nochmal zur letzten Nachricht, diese wurde nicht vollständig übertragen. Mittlerweile ist der Trojaner identifiziert: Trojan-Spy.Win32.Goldun.ku gefunden in w2000 scsi2usb setzt sich vor hosts-file und nameserver und leitet gewisse adressen um auf den eigenen rechner, z.b. bei ping, nicht aber bei nslookup. Betroffen: ...symantec.com ...kaspersky.com usw. excel startet nicht, outlook express crasht die meisten Control-panel funktionen starten nicht das problem tritt erst auf, wenn der rechner einmal ein Netz gesehen hat und TCP/IP verwendet wird. Safe mode und safe mode mit networking haben das Problem NICHT. Entfernung: registry eintrag total entfernen hklm....winlogon/Notify/scsi2usb ACHTUNG die Datei scsi2usb.dll ist unter Windows NICHT sichtbar, auch nicht mit attrib.exe und nicht mit cmd und nicht im explorer, auch wenn man alles sichtbar macht, was geht! System von CD booten, recovery console aufrufen, cd winnt cd system32 del scsi2usb.dll Bei mir hat das gereicht! |
Hallo, Zitat:
nur möglich durch formatieren und Neuaufsetzen des Systems. Weil bei Backdoorbefall das System nicht mehr vertrauenswürdig ist, und nur weil keine Symptome mehr da sind, heißt das noch lange nicht das alles beseitigt wurde, einiges läuft viel lieber ganz leise im Hintergrund mit... Und da Haxdoor normalerweise auch mit Rootkits (selbst MS steht auf dem Standpunkt "Rootkits mean you must nuke your machine") arbeitet ist ein Neuaufsetzen sogar aus zwei Gründen unumgänglich. Grüße Wildone |
Zitat:
bestätige ich hiermit, diese seite ist verseucht und mit verbreiter dieses Trojaners. |
Zitat:
Gruß :daumenhoc Yopie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board