Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Dialer: SIXA (https://www.trojaner-board.de/21052-dialer-sixa.html)

Psychotroll 21.08.2005 19:10

Dialer: SIXA
 
Hab mir anscheinend einen Dialer namens SIXA geholt (Surfen auf Crackseiten... is aber jetzt nicht so wichtig von wo)
Jedenfalls soll er weg, klar.
Aber wie :confused:
Das ganze läuft so ab: Ich geh mit UTA (komm aus Österreich) ins Internet (Modem, 56kbs), kann ca. 1-2Minuten surfen, dann wird Verbindung getrennt und sofort danach wählt sich ein Dialer unter der Rufnummer "5" namens SIXA ein.

Auf der Windows-Prtition ist eine Datei zu finden, die sich meistens "6ytr“ nennt. Manchmal heißt sie auch "ct45" oder "ppvhr". Lösche ich sie, kommt sie wieder, bevor sich SIXA einwählt.
Und kurz bevor sich SIXA einwählt, öffnet sich auch noch eine Internetseite die so beginnt: "217.160...../index.html"
Vor kurzem hatte ich den Virus "pokapoka63", den ich aber gut entfernen konnte. :huepp:

Ich geh seit SIXA nur noch mit "0190-Warn" ins Internet und habe auch immer "ZoneAlarm" und "AntiVir" rennen. Spätestens seit pokapoka...
Aber alles hilft nix. Ich geh ins Netz, kurz darauf will SIXA rein.


Unter folgenden Registryordnern hab ich Dateien gefunden:

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 und 5604 (5603: 000 mit dem Wert 6ytr, und in 5604 000 mit ct45 und 001 mit ppvhr)

HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Entries\ (SIXA mit NETWORK0)

HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Networks\ (NETWORK0 mit SIXA)


Unterm Windowsordner in einem "Prefetch"-Verzeichnis ist auch noch eine Verdächtige Datei, von der ich den Namen nicht mehr weiß (muss noch nachschauen)


Lösche ich SIXA unter Netzverbindungen, kommt es natürlich wieder.

Was kann ich noch tun :confused: Bitte helft mir, ich bin so verzweifelt :(

Danke im voraus

Psychotroll

Puh, ist das lang... :balla:

cronos 21.08.2005 19:23

Da ich das Gefühl habe, das bei dir noch mehr im Argen liegt, poste bitte zunächst einen Hijackthis-Log .

Wildone 21.08.2005 19:23

Hallo,
erstmal hoffe ich das dein Nick nicht Programm ist. Erstelle mal ein HijackThis Logfile und poste es hier her.
Hast du dein System schonmal mit spybot oder Adaware durchforstet, wenn nein, dann mache das mal.


Grüße Wildone

Psychotroll 21.08.2005 21:34

"Adaware SE Personal" hab ich schon gemacht.
Paralell hab ich auch bei SMS.at mal gefragt... und bin auf folgende Seite gewiesen worden:

http://www.bleepingcomputer.com/foru...=27626&hl=sixa

Dort hab ich alles (soweit ich es verstanden habe, also das wichtigste) befolgt:
das einzige was wirklich einen erfolg gezeigt hat war der ewido, der mir jetzt immer die dateien löscht, die vorm abbruch der verbindung erstellt werden.
somit kann ich drinbleiben. problem:
ewido ist nur 14 tage nutzbar. was danach...
also wieder zu den profis:

------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 22:22:34, on 21.08.05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\ewido\security suite\ewidoctrl.exe
E:\ewido\security suite\ewidoguard.exe
C:\WINDOWS\netinfo.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Internetprogramme\AntiVir PE\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Alcohol 120%\Alcohol 120\Alcohol.exe
C:\WINDOWS\System32\msupdate32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Spiele\Desktop\hjt.exe

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Internetprogramme\AntiVir PE\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alcohol.exe Autorun] E:\Alcohol 120%\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [0190 Warner] E:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = E:\Programme\Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 195.70.224.45 213.90.38.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 195.70.224.45 213.90.38.3

-----------------------------------------------------------------

braucht ihr ewidoscanergebnisse auch? (73 Infektionen... glaub, das ist nicht normal...)

Wildone 21.08.2005 21:42

Hallo,
bitte erstelle mal ein Logfile mit einer aktuellen Version von Hijackthis (1.99.1), übrigens sehe ich auf Anhieb schon en Hauptkritikpunkt an deinem System:
Zitat:

Platform: Windows XP (WinNT 5.01.2600)
Ja so wurde XP vor Jahren ausgeliefert, aber Microsoft stopft jeden Monat Sicherheitslücken, diese Patches musst du einspielen( auch SP2), sonst beschützt dich kein Evido er Welt.
Was das Ergebnis von Evido angeht, poste mal Eintäge von trojanern/viren etc. Adware+ tracking cookies kannst du weglassen, sonst wird es zu lang.


Grüße Wildone

Psychotroll 21.08.2005 21:58

... hehe ...
sp2... mit 3kbs downloadgeschwindigkeit (MAXIMUM!!!)
geht leider nicht so leicht...
gibt es für sp2 sonst noch ne möglichkeit? über netzwerk?

so, wie groß ist die neue version von hjt? ich hab die momentane von meinen vater...

so, nun die ewidolog:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:49:07, 21.08.05
+ Report-Checksumme: 1A65CA83

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{1D6711C8-7154-40BB-8380-3DEA45B69CBF} -> TrojanDownloader.WebP2P : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{D273D427-57C6-4B12-860F-BBB8195F6E2A} -> Spyware.TOPicks : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{F720B40F-3A38-4B22-B30D-DCF095D42498} -> Spyware.P2PNetworking : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D6711C8-7154-40BB-8380-3DEA45B69CBF} -> TrojanDownloader.WebP2P : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKU\S-1-5-21-299502267-1078081533-1801674531-1004\Software\IST -> Spyware.ISTBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPUFOPUZ\adult1[1].exe -> Dialer.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SD2Z4DUN\m11[1].jpg/y.bat -> Trojan.Zapchast : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.35:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.37:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.43:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.45:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup
:mozilla.46:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup
:mozilla.48:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.49:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.50:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.54:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.6:C:\Dokumente und Einstellungen\siAs\Anwendungsdaten\Mozilla\Firefox\Profiles\5i6u3zyg.default\cookies.txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.30:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.33:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Revenue : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Targetnet : Gesäubert mit Backup
:mozilla.55:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Clickhype : Gesäubert mit Backup
:mozilla.56:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Spylog : Gesäubert mit Backup
:mozilla.59:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.60:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.61:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.62:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.63:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.64:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.65:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.66:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Hotlog : Gesäubert mit Backup
:mozilla.68:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Xxxtoolbar : Gesäubert mit Backup
:mozilla.69:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.70:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.71:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.79:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.80:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.81:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
:mozilla.86:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.87:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Trafic : Gesäubert mit Backup
:mozilla.88:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.89:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.90:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.91:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.92:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.93:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.95:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.96:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.97:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.109:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Realtracker : Gesäubert mit Backup
:mozilla.110:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Realtracker : Gesäubert mit Backup
:mozilla.119:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Spiele\Desktop\crack, patch, etc\Diablo II\Install_20356.exe -> TrojanDownloader.IstBar.ja : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Spiele\Desktop\crack, patch, etc\dii\Diablo 2 Lord of Destruction v1.10 No-CD Crack\Install_20356.exe -> TrojanDownloader.IstBar.ja : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc4.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc5.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc6.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc8.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc9.exe/y.bat -> Trojan.Zapchast : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll -> TrojanDownloader.WebP2PInstaller : Gesäubert mit Backup
C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Gesäubert mit Backup
C:\WINDOWS\system32\msvnc.sys -> Trojan.Rootkit.Agent.ae : Gesäubert mit Backup
C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL -> Spyware.P2PNetworking : Gesäubert mit Backup


::Report Ende
-----------------------------------------------
wie kann man sich da eigentlich auskennen???

chaosman 21.08.2005 22:02

@Psychotroll
wie groß ist die neue version von hjt

198.217kb
also bitte downloaden

chaosman

Psychotroll 21.08.2005 22:14

ok, ich hab es auch gerade gesehen. :huepp: ...der smiley is so krank...

ok, hier die neue log:
--------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 23:13:36, on 21.08.05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\ewido\security suite\ewidoctrl.exe
E:\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Internetprogramme\AntiVir PE\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Alcohol 120%\Alcohol 120\Alcohol.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Spiele\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Internetprogramme\AntiVir PE\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alcohol.exe Autorun] E:\Alcohol 120%\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [0190 Warner] E:\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = E:\Programme\Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 213.90.38.3 195.96.0.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 213.90.38.3 195.96.0.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 195.70.224.45 213.90.38.3
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\Internetprogramme\AntiVir PE\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\Internetprogramme\AntiVir PE\AVWUPSRV.EXE (file missing)
O23 - Service: ewido security suite control - ewido networks - E:\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\ewido\security suite\ewidoguard.exe
O23 - Service: netinfo - Unknown owner - C:\WINDOWS\netinfo.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-------------------------------------
nd nochmal:
wie kennt man sich da aus??? :confused: :balla: :confused:

Wildone 21.08.2005 22:27

Hallo,
hast du zwischen den beiden Scans mit Hijackthis etwas verändert/entfernt? Wo ist den der Eintrag hier hin?
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
Falls die Datein noch da ist bitte hier überprüfen lassen.
Alles in allem rate ich dir dein System neu aufzusetzen du hattest sehr wahrscheinlich eine Variante des Sd-bot Wurms auf deinem Computer mit folgenden Auswirkungen(unter Nebeneffekte):
http://www.sophos.de/virusinfo/analy...2tilebote.html
http://www.tasklist.org/task_MSupdate32_exe_5260.html
Grund für deine Verseuchung(wie vorhin schon erwähnt):
Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Das System muss immer auf dem neusten Stand sein, sonst hilft kein Virenscanner und keine Firewall.
Also hier ist eine Anleitung wie du beim formatieren/neuaufseten vorgehen solltestm, lies sie dir sorgfältig durch, uns es ist die zukünftige Basis für ein sicheres System.


Grüße Wildone

Psychotroll 21.08.2005 22:40

kaspersky sagt: msupdate32.exe Infiziert: Backdoor.Win32.Rbot.gen :huepp:

neuaufsetzen will ich nicht schon wieder... außer:
ich hab windows auf einer extrapartition.
wenn ich nun neu aufsetze, was passiert mit der registry? besonders mit den spielen. machen die dann automatisch neue einträge? oder muss ich die dann auch neuinstallieren? oder kann ich die registry irgendwie behalten, zumindest die spiele?

und wie bekomm ich jetzt das sixa weg??? ohne neuaufzusetzen?

Chris14 21.08.2005 22:43

backdoor = neuinstallation unumgänglich. die registry würde ich nicht sichern. die spiele kannste aber drauf lassen (es ist nicht sehr warscheinlich das jemand daran interesse hat diese zu manipulieren, es ist aber dennoch möglich!)

chaosman 21.08.2005 22:43

@Psychotroll
ups, da hilft nur neu aufsetzen
http://www.sophos.de/virusinfo/analyses/w32rbotot.html

machen die dann automatisch neue einträge? oder muss ich die dann auch neuinstallieren? oder kann ich die registry irgendwie behalten, zumindest die spiele?
müßte wohl oder übel neuinstallieren.
hier eine anleitung zum neuaufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

Wildone 21.08.2005 22:47

Hallo,
um dir das jetzt mal ganz klar zu machen, du hattest Backdoors auf dem PC die so ziemlich alles damit anstellen können was ihnen beliebt, angefangen mit dem Diebstahl der Keys deiner heißgeliebten Spiele bis hin zum Server für Kinderpornographie. Und du hast wirklich die komplette Sammlung, Rbot Sdbot, Rootkits, dieser Rechner ist meiner Meinung nach irreparabel. Also setze dich mal wirklich mit dem Thema Sicherheit ausereinander, und setze die Kiste neu auf, dann hast du auch wieder was davon.

P.S. Das Sp2 kann man von Microsoft auch per Post bekommen, steht aber auch alles in dem Link zum Neuaufsetzen von oben.



Grüße Wildone

Psychotroll 23.08.2005 19:23

ok...
dann muss ich wohl wieder neuaufsetzen...
mittlerweile schaff ich das schon alles in 2 stunden!!! :teufel3:

aber nochmal zu den spielen:
wenn ich neu aufsetz, lösch ich die registry.
die spiele benötigen ihre einträge in der registry.
ist die registry nun für die spiele leer, was passiert?
funktionieren die noch?

ihr habt mir zieeemlich geholfen! :)
sp2 lass ich mir schicken

und wieder die frage:
wie wird man aus der hjt-log schlau???

Procon 25.08.2005 14:46

Hi, mit deinem SIXA kann ich Dir nicht helfen, aber was den ServicePack2 angeht gibt es eine einfache Lösung. Bestell Dir die kostenlose CD von Microsoft. Dauert zwar ein paar Tage, aber dann hast du sie auch für eine Neuinst. zur Verfügung. Bestellung hier. http://www.microsoft.com/germany/win...der/bezug.mspx
Gruss Procon


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131