Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hiiilfeee, ich ersticke!!! (https://www.trojaner-board.de/21355-hiiilfeee-ersticke.html)

Leathergirl 30.08.2005 13:59
Hiiilfeee, ich ersticke!!!
 
Hallo,
ich habe ein Riesenproblem. Ich habe das Problem, das vermutlich im internet explorer liegt. Obwohl ich die Festplatte fragmentiert habe ist das Problem noch da :heulen: :heulen: :heulen:

Beim aktuellen Antivirendurchlauf (update von heute) kam folgendes raus:
TR/LonZon.D
TR/LonesD.36
TR/Dldr.S5IstB.05
HTML.ScriptvirusHTML/IstBar.A.1
TR/Dldr.Agent.Ex

Dauergast ist ein
LowZones.bh.14

Hat hier jemand eine Idee oder Erfahrungen, wie ich den kram wieder los werde???

Erstmal Danke
Leathergirl

Wildone 30.08.2005 14:05
Hallo,
erstelle mal bitte ein HijackThis Logfile und poste es hier her. Dann kannst auch schon mal Escan (Anleitung genau befolgen!) drüberlaufen lassen und danach den Inhalt der eScan_neu.txt posten.


Grüße Wildone

Leathergirl 30.08.2005 16:10
Hallo,
erstmal vielen Dank für die schnelle Hilfe, ich werde hier wahhhhhhnsinnig
:heulen: :heulen: :heulen: :heulen: :heulen:


hier schon einmal den Bericht von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:12:16, on 30.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msnsmgs.exe
C:\WINDOWS\System32\socks32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hallo\LOKALE~1\Temp\Rar$EX00.033\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Messenger] msnsmgs.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] socks32.exe
O4 - HKLM\..\RunServices: [Windows Messenger] msnsmgs.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] socks32.exe
O4 - HKCU\..\Run: [Windows Messenger] msnsmgs.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] socks32.exe
O4 - HKCU\..\RunServices: [Windows Messenger] msnsmgs.exe
O4 - HKCU\..\RunServices: [MicroSofot Update] nomlic.exe
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall 1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
O16 - DPF: v3cab - http://searchmiracle.com/cab/1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DA450BB-65C7-4145-8B02-28D8060E91A0}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Leider habe ich im finden des "Bases_X" vom eScan ein Problem (wahrscheinlich zu blond :-( )
reiche ich aber nach, sowie ichs geschafft habe.

Schon mal vieleeeeeeeeeeeen Dank!!!

Wildone 30.08.2005 16:24
Hallo,
sieht nicht gut aus, beende mal bitte folgende Prozesse im Taskmanager:
C:\WINDOWS\System32\msnsmgs.exe
C:\WINDOWS\System32\socks32.exe
und überprüfe die zugehörigen Dateien hier
Falls du sie nicht findest das hier abarbeiten.


Grüße Wildone

Leathergirl 30.08.2005 16:31
Hallo,

im moment scheint "eScan" zu laufen, mache ich aber direkt im Anschluß!

Haui45 30.08.2005 16:34
Zitat:
Zitat von Leathergirl
Hallo,

im moment scheint "eScan" zu laufen, mache ich aber direkt im Anschluß!
Es scheint, oder es ist so?
Wenn du mit dem gleichen PC online bist, hast du schon etwas falsch gemacht und kannst den Scan sowieso gleich abbrechen.

Leathergirl 30.08.2005 16:43
Also, der bei der einen Datei kamen folgende Ergebnisse raus:
trojan.Sdbot.Gen66321.MX
win32.HLLW.MyBot
Backdoor.Win32SdBot.gen
Win32/Rbot.DVM
Win32.HLLW.Mybot

Die andere Datei( socks32.exe) habe ich jetzt kopiert:
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH.MORPHINE, MORPHINE, UPX

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Backdoor.RBot.2D305337 gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Win32.HLLW.MyBot.based gefunden
F-Prot Antivirus
unknown virus gefunden (mögliche Variante)
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen gefunden
NOD32
a variant of Win32/Rbot gefunden
Norman Virus Control
Sandbox: W32/Backdoor; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 88576 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\socks32.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "NTSF MICROSOFT SYSTEM"="socks32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "NTSF MICROSOFT SYSTEM"="socks32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "NTSF MICROSOFT SYSTEM"="socks32.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Sets value "restrictanonymous"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "bigxen.bigporcasg.net" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname [Sh0x]-90548065.
* IRC: Uses username krkwairo.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex r00t.
* Will automatically restart after boot (I'll be back...). gefunden
UNA
Keine Viren gefunden
VBA32
Backdoor.Win32.Rbot.gen gefunden

Yopie 30.08.2005 16:51
Befolge die Hinweise zum Neuausetzen in meiner Signatur! Befolge sie genauestens!

Ursache der Infektion ist dein mangelhaft gewartetes Betriebssystem:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
ist nicht nur veraltet, sondern auch unsicher.

Gruß :daumenhoc
Yopie

Leathergirl 13.09.2005 15:20
Ich weiß, es kommt spät aber ich habe es viorher irgendwie nie geschafft.

DDDAAANNNKKKEEE

:aplaus: :daumenhoc :knuddel:


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19