Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall (https://www.trojaner-board.de/9713-tr-proxy-ranky-ax-worm-sdbot-44112-befall.html)

swenundnadine 17.11.2004 13:12
TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall
 
Hallo zusammen!
Wir haben mal wieder oder immer noch ein Problem mit Proxy.Ranky.AX und Worm/SdBot.44112. Wir haben beide schon mehrmals gehabt und igrnedwie löschen können, nur diesmal sind sie besonders hartnäckig und haben sich in einer Datei festgesetzt, die wir nicht finden können. Haben auch schon den Ratschlag gehört, zu formatieren, aber das wäre ja keine Dauerlösung, denn das heißt ja nicht, dass wir wieder Besuch bekommen würden von den beiden :teufel1: .
Haben mal das Protokoll von Antivir und Hijack zugefügt. Vielleicht kann uns ja damit jemand weiterhelfen. Denn trotzdem wir inzwischen ganz gut verstehen, was da alles steht, sind wir jetzt völlig ratlos :crazy:

Hier das Antivirprotokoll:
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\SUN
winampo.exe
WARNUNG! Ungültige Startadresse!
C:\RECYCLER\S-1-5-21-220523388-1060284298-51556883-1000
Dc214.exe
ArchiveType: RAR SFX (self extracting)
--> vhdfs.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.AX
--> gfsfgt.exe
[FUND!] Enthält Signatur des Wurmes Worm/SdBot.44112
Dc215.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information

Und hier die Infos von Hijack:
Logfile of HijackThis v1.98.2
Scan saved at 13:13:36, on 17.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
E:\Scanner\OmniPageSE\opware32.exe
E:\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINNT\htpatch.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\NeroASM.exe
C:\WINNT\system32\winampo.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\dllsafe.exe
C:\WINNT\system32\tskmsgr.exe
C:\WINNT\system32\msbuffer.exe
C:\WINNT\system32\jupos.exe
C:\WINNT\system32\explorer.exe
C:\WINNT\system32\windrive32.exe
E:\AVPersonal\AVGNT.EXE
C:\WINNT\system32\nmod.exe
C:\WINNT\system32\ultraedit.exe
C:\WINNT\system32\sysidle.exe
E:\Trojancheck 6\tcguard.exe
C:\WINNT\system32\netservice.exe
C:\WINNT\system32\winampo.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\dllsafe.exe
C:\WINNT\system32\msbuffer.exe
C:\WINNT\system32\jupos.exe
C:\WINNT\system32\explorer.exe
C:\WINNT\system32\windrive32.exe
C:\WINNT\system32\tskmsgr.exe
C:\WINNT\system32\nmod.exe
C:\WINNT\system32\ultraedit.exe
E:\Microsoft Office\Office\OSA.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\MOUSEW~1\system\WebColct.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\DOKUME~1\SUN\LOKALE~1\Temp\Rar$EX00.702\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Omnipage] E:\Scanner\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] netservice.exe
O4 - HKLM\..\Run: [Windows NT Login] ntlogin32.exe
O4 - HKLM\..\Run: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\Run: [netservices] svchostn.exe
O4 - HKLM\..\Run: [Fix Winamp] winampo.exe
O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe
O4 - HKLM\..\Run: [Windows Fix] integator.exe
O4 - HKLM\..\Run: [Sysmon] dllsafe.exe
O4 - HKLM\..\Run: [klgkfq] mgmjva.exe
O4 - HKLM\..\Run: [Microsoft Video Controls] tskmsgr.exe
O4 - HKLM\..\Run: [Microsoft Buffer App] msbuffer.exe
O4 - HKLM\..\Run: [JuPo] jupos.exe
O4 - HKLM\..\Run: [Sys-Stat] explorer.exe
O4 - HKLM\..\Run: [ActiveX Streamer] msgfix.exe
O4 - HKLM\..\Run: [Micrsoft Driver] windrive32.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [System Document Application] nmod.exe
O4 - HKLM\..\Run: [Ultra Edit v5.1] ultraedit.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck 6\tcguard.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] netservice.exe
O4 - HKLM\..\RunServices: [Windows NT Login] ntlogin32.exe
O4 - HKLM\..\RunServices: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\RunServices: [netservices] svchostn.exe
O4 - HKLM\..\RunServices: [Fix Winamp] winampo.exe
O4 - HKLM\..\RunServices: [Windows Fix] integator.exe
O4 - HKLM\..\RunServices: [Sysmon] dllsafe.exe
O4 - HKLM\..\RunServices: [klgkfq] mgmjva.exe
O4 - HKLM\..\RunServices: [Microsoft Video Controls] tskmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft Buffer App] msbuffer.exe
O4 - HKLM\..\RunServices: [JuPo] jupos.exe
O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe
O4 - HKLM\..\RunServices: [Sys-Stat] explorer.exe
O4 - HKLM\..\RunServices: [ActiveX Streamer] msgfix.exe
O4 - HKLM\..\RunServices: [Micrsoft Driver] windrive32.exe
O4 - HKLM\..\RunServices: [System Document Application] nmod.exe
O4 - HKLM\..\RunServices: [Ultra Edit v5.1] ultraedit.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] netservice.exe
O4 - HKCU\..\Run: [Fix Winamp] winampo.exe
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [Windows Fix] integator.exe
O4 - HKCU\..\Run: [Sysmon] dllsafe.exe
O4 - HKCU\..\Run: [Microsoft Buffer App] msbuffer.exe
O4 - HKCU\..\Run: [JuPo] jupos.exe
O4 - HKCU\..\Run: [Sys-Stat] explorer.exe
O4 - HKCU\..\Run: [ActiveX Streamer] msgfix.exe
O4 - HKCU\..\Run: [Micrsoft Driver] windrive32.exe
O4 - HKCU\..\Run: [Microsoft Video Controls] tskmsgr.exe
O4 - HKCU\..\Run: [System Document Application] nmod.exe
O4 - HKCU\..\Run: [Ultra Edit v5.1] ultraedit.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Office-Start.lnk = E:\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\YAHOO!~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\YAHOO!~1\YPager.exe
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28FF1681-13FF-4E0E-BC52-A5293E40C0CD}: NameServer = 145.253.2.81 145.253.2.171
O17 - HKLM\System\CS1\Services\Tcpip\..\{28FF1681-13FF-4E0E-BC52-A5293E40C0CD}: NameServer = 145.253.2.81 145.253.2.171


Vielen Dank schonmal im Vorraus, für alle die uns in irgendeiner Form weiterhelfen können. :knuddel:

Haui45 17.11.2004 13:30
Du hast da ja eine ganz schöne Backdoorsammlung auf deinem System. Wenn man richtig formatiert (was du unbedingt machen solltest), dann wird man so schnell keinen Besuch mehr von den beiden oder von anderer Malware bekommen.
Informationen:
Datensicherung
compromise

PS.: Wie immer gilt auch hier: evtl vorhandene Dialer zwecks späterer Beweissicherung auf Diskette speichern.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131