Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   NetBus.exe stresst (https://www.trojaner-board.de/25349-netbus-exe-stresst.html)

ichlerneviel238 04.01.2006 15:59
NetBus.exe stresst
 
Hi!

Hab in einem Buch auf ner CD (NICHT im Netz) NetBus gefunden. Patch.exe und NetBus.exe auf Desktop kopiert, um mir das mal anzugucken (in meinem Homenetzwerk).
Löschen konnte ich danach allerdings NetBus.exe, also das Kontrollerprogramm, nicht mehr.
Fehlermeldung: Wird bereits verwendet

Es gibt keinen Eintrag in der Registry, hab ich schon nachgeguckt.
Ich habe mittels Hijack und Taskmanager die laufenden Prozesse gecheckt: NIX
Dann habe ich mir Steganoffs irgendwas Vernichter runtergeladen: GESCHEITERT
Hab versucht mittels Wiederherstellungskonsole und WinXP CD die Datei zu löschen: Kam nciht in Dokumente und Einstellungen rein, weil ich angeblich keine Rechte hätte.
Mein Virenscanner sagte von Anfang an der Aktion nix zu der Sache.

So langsam gehen mir die Ideen aus und das Netz ist auch keine große Hilfe, da es ja nicht die infizierte Datei ist, die Ärger macht.
Wäre für einen Tipp sehr dankbar :huepp:
gruß
AT

irrlicht 04.01.2006 19:27
Hallo Ichlerneviel,
solange ein Prozess auf die Datei zugreift ist nix mit löschen der Datei.Ergo den Prozess anhalten oder killen.Das machst du im Taskmanager.Geh aber nicht allzu ungestüm zu Werke.
Irrlicht

ichlerneviel238 04.01.2006 21:53
Danke für deine Antwort!

Soweit war mir das schon klar. Ich habe erst im TM nach Prozessen gesucht, die ich nicht kenne und beendet. Da das nichts brachte nutze ich Hijackthis. Soweit das für mich erkennbar ist, macht HiJackthis dasgleiche wie der TM, nur liefert er ein paar mehr Informationen. Eine Hilfe bei der Interpretierung war mir die Seite hijack-this.de. Vielleicht mag ich was übersehen haben, aber entweder waren alles Windowsprozesse, andere Hintergrundprozesse, die mir bekannt sind oder div. unnötige von länger gelöschten Programmen (die waren im TM übrigens nicht zu sehen).
Inzwischen hab ich die File wegbekomme und zwar mittels eteraser. Schien mir aber so die absolute Brachialmethode zu sein...
Um auf den Punkt zu kommen wollte ich irg. was es mir möglich macht zu erkennen, welche Prozesse genau von welchem Programm genutzt werden und mich nicht wie bei Hijack.this.de auf Userabstimmungen zu vertrauen.
Merci
AT

cosinus 04.01.2006 21:59
Wenn Du Dein Hijackthis Logfile hier mal posten würdest, könnte man da mal drüberschaun... :rolleyes:

ichlerneviel238 04.01.2006 23:01
Okay, das war ein Wink mit dem Betonpfeiler :kloppen:

Logfile of HijackThis v1.99.1
Scan saved at 22:52:40, on 04.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Firefox Browser\firefox.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Erinnerung.lnk = D:\Programme\Erinnerung\erinnerung.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D38ACE7A-5A20-426E-9C35-32C7AB2350DE}: NameServer = 213.191.92.86,213.191.74.19
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OmniHTTPd Professional (OmniHTTPd) - Unknown owner - C:\httpd\ohttpd.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Grade omnihttpd und z.B. winCap sind halt nicht mehr auf dem Rechner (halt file missing), aber zumindest "bekannt", wie alle anderen Prozesse...
naja, schau mal rein :crazy:

cosinus 04.01.2006 23:12
Böse Einträge sind da m.E. nicht zu entnehmen.
Mach doch mal ein Check mit eScan, siehe Anleitung. Anleitung bitte genau lesen. Updaten nicht vergessen über den nun in MWAV aktivierten Button "Update".


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131