|
Hijack von neuling ;-) please help hallo bin neu hier, und habe gelesen ich sollte mal nen hijack durchlaufen lassen und hier posten! habe schon folgende viren bei mir gelöscht: win32.trojan-gen worm/rbot.rw dial/generic sind soweit auch vom system verschwunden, zumindest sagt mir das mein antivir! aber ich habe nen problem mit einem im archiv befindlichen virus o. backdoor!?!? es handelt sich um bds/servU.A desweiteren habe ich trojan coldrage.a drauf!?!? oder schon gelsöcht!?!? und in meinem ordner C:winnt\system32 sind komische dateien z.b. kill.exe ServUDaemon.exe ServUDaemon.ini ServUcert.key etc hatte auch schon ne firedaemon.exe das ist ja nen trojaner oder? gehört ServUDaemon.exe etc. auch dazu? wie bekomme ich die runter?!? fragen über frage, aber ich hoffe ihr könnt mir helfen??? mein hijack-...... Logfile of HijackThis v1.98.2 Scan saved at 15:10:15, on 06.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\DATEV\PROGRAMM\ASA\WinNT\Server\DBSRV6.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\DATEV\SYSTEM\PSNTSERV.EXE C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe C:\WINDOWS\System32\nvsvc32.exe C:\DATEV\PROGRAMM\INSTALL\AdlServ.Exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\DATEV\PROGRAMM\A0000007\DHNC.exe C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe C:\Programme\FRITZ!\IWatch.exe C:\DATEV\PROGRAMM\Sws\LimaServer.exe C:\Programme\Psion\PsiWin\Psconsv.exe C:\WINDOWS\system32\RZPJWTCH.EXE C:\PROGRA~1\Psion\PsiWin\Elogerr.exe C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE C:\DATEV\PROGRAMM\B0000299\as\as.exe C:\DATEV\PROGRAMM\B0000299\as\as.exe C:\DATEV\PROGRAMM\B0000301\aida\aida.exe C:\DATEV\PROGRAMM\B0000301\MP\MP.exe C:\DATEV\PROGRAMM\B0000301\NF\NF.exe C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\system32\ping.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\TAMARA~1.REH\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe C:\DOKUME~1\TAMARA~1.REH\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe on O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE O4 - HKLM\..\Run: [DATEV Anmeldescript] C:\WINDOWS\DATEV.BAT O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - Global Startup: DATEV-Hinweis Mitteilungsdienst.lnk = C:\DATEV\PROGRAMM\A0000007\DHNC.exe O4 - Global Startup: DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Lizenz-Manager Server V.1.0.lnk = C:\DATEV\PROGRAMM\Sws\LimaServer.exe O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE O4 - Global Startup: SFIRM32 Automat.lnk = C:\SFIRM32\SFAutomat.exe O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.3.1_11) - O17 - HKLM\System\CCS\Services\Tcpip\..\{389CE102-7935-4ABC-82F6-D8AD3536F677}: NameServer = 192.168.112.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{4444ECAB-0446-4F96-AE5F-A2D81E12ED5B}: NameServer = 192.168.112.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F451E-E5FA-43F7-8CBC-991129E69BA3}: NameServer = 192.168.1.1,0.0.0.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{389CE102-7935-4ABC-82F6-D8AD3536F677}: NameServer = 192.168.112.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{389CE102-7935-4ABC-82F6-D8AD3536F677}: NameServer = 192.168.112.1 |
Das laesst mich denken, das du deinen Recner fuer Berufliche Zwecke nutzt: C:\DATEV\PROGRAMM\B0000299\as\as.exe C:\DATEV\PROGRAMM\B0000299\as\as.exe C:\DATEV\PROGRAMM\B0000301\aida\aida.exe C:\DATEV\PROGRAMM\B0000301\MP\MP.exe C:\DATEV\PROGRAMM\B0000301\NF\NF.exe C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe setze dich daher mal mit jemanden in Verbindung, der dir Das System verkauft hat, bzw wartet. Denn neu aufsezen muss du deinen Rechner. Irgendjemand hat dir einen FTP-Server in deinen Rechner gepflanzt. Frage ist nun, wofuer er da ist, zum "klauen" deiner Daten oder spielt da jemand Daten auf deinen Rechner um diese wiederum mit Hilfe deines Rechners(als FTP-"Zombie"-Server) zu verteilen. Es besteht da dringend Handlungsbedarf! |
hey raman, danke für deine infos! wo sehe ich denn, das ein ftp prog. auf meinem rechner ist? ist das der ausschnitt den du bei mir eingefügt hast? wenn ja, gehört dies nicht zu meinem datev programm dazu? gruß pierre |
Ja, das was ich gelistet habe gehoert zu deinem Datev, darum meine Vermutung, das du deinen Rechner geschaeftlich nutzt und du entsprechend wichtige Daten auf deinem Rechner hast. Deshalb solltest du moeglichst schnell professionelle Hilfe in Anspruch nehmen, die sich um deinen Rechner kuemmern. SprichDaten Sichern, neu Aufsetzen(incl Passwoerter aendern usw.), Patches einspielen, deine Datev Programme neu installieren, die Daten dafuer ebenfalls ruecksichern und dein System so absichern, das du von dieser Art Malware oder generell Malware verschont bleibst. Vieleicht bieten sie ja sogar eine Fortbildung dafuer an!? Den FTP Server den ich meine, ist servu(deamon.exe) http://www.serv-u.com/. Du solltest da auch nicht so lange mit warten, wer weiss, ob/wieviel von deinen Daten schon im Internet rumschwirren! [edit: Vortbildung! ;)] |
hallo raman, danke für deinen rat! ich hatte nämlich das problem, das in unserem netzwerk des öfteren unsere internet nicht mehr funktioniert hat! d.h. ich habe dann mal unseren router angpingt und die wert waren jenseits von gut uns böse (mit timout), was bedeutet das wenn dieser serv-u bei mir drauf ist? habe gerade glück das das internet in der firma wieder funkts.... werden daten von mir gezogen oder wird mein rechner für andere dinge benutzt!? alls weiter bzw. zwischenleitung zu einem anderen server wo sachen gezogen werden (filme) etc!? wir meine dsl leitung genutzt? entschuldige wenn ich so schreibe, aber ich kenn mich da nicht so genau aus! ;-) gibt es tools um den serv-u vorerst zu entfernen oder deaktivieren? habe das ding auf meinem rechner im ordner winnt -> system 32 ordner gefunden! kann ich die komponenten einfach löschen? ist es ausgeschlossen, das es zu irgendeinem programm von mir gehört? datev oder sfirm? danke für deine hilfe!!! pierre |
Hui! Ihr arbeitet im Netz? Das ist kein Einzelrechner? Dann muesst ihr sofort etwas machen! Wer ist verantwortlich fuer das Netzwerk? Wenn ihr Pech habt, sind inzwischen alle Rechner mit rbot infiziert. :( Was mit FTP Server gemacht wurde, bzw wofuer er installiert wurde, weiss ich nicht, aber macht was! Es mag etwas ueberreagiert klingen, aber ich wollte meinen Kunden nicht erzaehlen wollen, wie ihre Daten zur Zeit (nicht) geschuetzt werden. :( |
im moment kümmert sich niemand drum! ausser ich! *smile* ich habe die anderen rechner schon alle gescannt! wurde aber nichts gefunden! was kann ich nun machen? warum rbot? dachte servu.a?!? was passiert wenn ich die betroffenen dateien (serv.u.ini etc.) einfach aus dem ordner system 32 lösche? was kann ich machen um zu sehen, ob die anderen rechner auch schon infiziert sind (ausser scannen?) was kann ich ünerhaupt noch machen!? gruß pierre |
Zitat:
Was macht Rbot: http://www.sophos.de/virusinfo/analyses/w32rbotor.html Daraus folgt: Zitat:
Also sofort runter vom Netz! Vor dem Neuaufsetzen fachmännische Hilfe anfordern (was ist mit öffentlich verfügbaren Kundendaten, Bilanzdaten etc, liegt Straftat vor etc. ..). Evtl. muss der PC vorher genauestens untersucht werden. Das kann ein Forum in einem solchen Fall nicht leisten! Gruß :daumenhoc Yopie |
@Yopie :daumenhoc: Ich haett es nicht besser schreiben koennen.:) |
danke für eure unterstützung! das system wird neugemacht! :snyper: allerdings habe ich noch ne frage!? und zwar habe ich bei uns im netzwerk in letzter zeit das problem, das unser internet nur ab und zu funktioniert! auf den router komme ich noch drauf! störung liegt auch nicht vor, aber wenn ich den router anpinge bekomme ich anstatt 10 ms :) nur 600ms + 357 ms + timout + 423ms :mad: usw. hängt das mit dem trojaner zusammen? aber das problem besteht auch wenn der betroffene rechner ausgeschaltet ist! auch wenn keiner der mitarbeiter im internet ist, zeigt der router eine datenlast :pfui: an!? hoffe ihr helft mir wieder ! ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board