Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Dialer: SIXA

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.08.2005, 20:10   #1
Psychotroll
 
Dialer: SIXA - Unglücklich

Dialer: SIXA



Hab mir anscheinend einen Dialer namens SIXA geholt (Surfen auf Crackseiten... is aber jetzt nicht so wichtig von wo)
Jedenfalls soll er weg, klar.
Aber wie
Das ganze läuft so ab: Ich geh mit UTA (komm aus Österreich) ins Internet (Modem, 56kbs), kann ca. 1-2Minuten surfen, dann wird Verbindung getrennt und sofort danach wählt sich ein Dialer unter der Rufnummer "5" namens SIXA ein.

Auf der Windows-Prtition ist eine Datei zu finden, die sich meistens "6ytr“ nennt. Manchmal heißt sie auch "ct45" oder "ppvhr". Lösche ich sie, kommt sie wieder, bevor sich SIXA einwählt.
Und kurz bevor sich SIXA einwählt, öffnet sich auch noch eine Internetseite die so beginnt: "217.160...../index.html"
Vor kurzem hatte ich den Virus "pokapoka63", den ich aber gut entfernen konnte.

Ich geh seit SIXA nur noch mit "0190-Warn" ins Internet und habe auch immer "ZoneAlarm" und "AntiVir" rennen. Spätestens seit pokapoka...
Aber alles hilft nix. Ich geh ins Netz, kurz darauf will SIXA rein.


Unter folgenden Registryordnern hab ich Dateien gefunden:

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 und 5604 (5603: 000 mit dem Wert 6ytr, und in 5604 000 mit ct45 und 001 mit ppvhr)

HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Entries\ (SIXA mit NETWORK0)

HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Networks\ (NETWORK0 mit SIXA)


Unterm Windowsordner in einem "Prefetch"-Verzeichnis ist auch noch eine Verdächtige Datei, von der ich den Namen nicht mehr weiß (muss noch nachschauen)


Lösche ich SIXA unter Netzverbindungen, kommt es natürlich wieder.

Was kann ich noch tun Bitte helft mir, ich bin so verzweifelt

Danke im voraus

Psychotroll

Puh, ist das lang...

Alt 21.08.2005, 20:23   #2
cronos
 
Dialer: SIXA - Standard

Dialer: SIXA



Da ich das Gefühl habe, das bei dir noch mehr im Argen liegt, poste bitte zunächst einen Hijackthis-Log .
__________________

__________________

Alt 21.08.2005, 20:23   #3
Wildone
 
Dialer: SIXA - Standard

Dialer: SIXA



Hallo,
erstmal hoffe ich das dein Nick nicht Programm ist. Erstelle mal ein HijackThis Logfile und poste es hier her.
Hast du dein System schonmal mit spybot oder Adaware durchforstet, wenn nein, dann mache das mal.


Grüße Wildone
__________________

Alt 21.08.2005, 22:34   #4
Psychotroll
 
Dialer: SIXA - Standard

Dialer: SIXA



"Adaware SE Personal" hab ich schon gemacht.
Paralell hab ich auch bei SMS.at mal gefragt... und bin auf folgende Seite gewiesen worden:

http://www.bleepingcomputer.com/foru...=27626&hl=sixa

Dort hab ich alles (soweit ich es verstanden habe, also das wichtigste) befolgt:
das einzige was wirklich einen erfolg gezeigt hat war der ewido, der mir jetzt immer die dateien löscht, die vorm abbruch der verbindung erstellt werden.
somit kann ich drinbleiben. problem:
ewido ist nur 14 tage nutzbar. was danach...
also wieder zu den profis:

------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 22:22:34, on 21.08.05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\ewido\security suite\ewidoctrl.exe
E:\ewido\security suite\ewidoguard.exe
C:\WINDOWS\netinfo.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Internetprogramme\AntiVir PE\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Alcohol 120%\Alcohol 120\Alcohol.exe
C:\WINDOWS\System32\msupdate32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Spiele\Desktop\hjt.exe

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Internetprogramme\AntiVir PE\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alcohol.exe Autorun] E:\Alcohol 120%\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [0190 Warner] E:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = E:\Programme\Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 195.70.224.45 213.90.38.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 195.70.224.45 213.90.38.3

-----------------------------------------------------------------

braucht ihr ewidoscanergebnisse auch? (73 Infektionen... glaub, das ist nicht normal...)

Alt 21.08.2005, 22:42   #5
Wildone
 
Dialer: SIXA - Standard

Dialer: SIXA



Hallo,
bitte erstelle mal ein Logfile mit einer aktuellen Version von Hijackthis (1.99.1), übrigens sehe ich auf Anhieb schon en Hauptkritikpunkt an deinem System:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
Ja so wurde XP vor Jahren ausgeliefert, aber Microsoft stopft jeden Monat Sicherheitslücken, diese Patches musst du einspielen( auch SP2), sonst beschützt dich kein Evido er Welt.
Was das Ergebnis von Evido angeht, poste mal Eintäge von trojanern/viren etc. Adware+ tracking cookies kannst du weglassen, sonst wird es zu lang.


Grüße Wildone


Alt 21.08.2005, 22:58   #6
Psychotroll
 
Dialer: SIXA - Standard

Dialer: SIXA



... hehe ...
sp2... mit 3kbs downloadgeschwindigkeit (MAXIMUM!!!)
geht leider nicht so leicht...
gibt es für sp2 sonst noch ne möglichkeit? über netzwerk?

so, wie groß ist die neue version von hjt? ich hab die momentane von meinen vater...

so, nun die ewidolog:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:49:07, 21.08.05
+ Report-Checksumme: 1A65CA83

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{1D6711C8-7154-40BB-8380-3DEA45B69CBF} -> TrojanDownloader.WebP2P : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{D273D427-57C6-4B12-860F-BBB8195F6E2A} -> Spyware.TOPicks : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{F720B40F-3A38-4B22-B30D-DCF095D42498} -> Spyware.P2PNetworking : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D6711C8-7154-40BB-8380-3DEA45B69CBF} -> TrojanDownloader.WebP2P : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKU\S-1-5-21-299502267-1078081533-1801674531-1004\Software\IST -> Spyware.ISTBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPUFOPUZ\adult1[1].exe -> Dialer.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SD2Z4DUN\m11[1].jpg/y.bat -> Trojan.Zapchast : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.35:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.37:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.43:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.45:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup
:mozilla.46:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup
:mozilla.48:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.49:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.50:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.54:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\yzajuqez.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.6:C:\Dokumente und Einstellungen\siAs\Anwendungsdaten\Mozilla\Firefox\Profiles\5i6u3zyg.default\cookies.txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.30:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.33:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Revenue : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Targetnet : Gesäubert mit Backup
:mozilla.55:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Clickhype : Gesäubert mit Backup
:mozilla.56:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Spylog : Gesäubert mit Backup
:mozilla.59:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.60:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.61:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.62:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.63:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.64:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.65:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.66:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Hotlog : Gesäubert mit Backup
:mozilla.68:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Xxxtoolbar : Gesäubert mit Backup
:mozilla.69:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.70:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.71:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.79:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.80:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.81:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
:mozilla.86:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.87:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Trafic : Gesäubert mit Backup
:mozilla.88:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.89:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.90:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.91:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.92:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.93:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup
:mozilla.95:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.96:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.97:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
:mozilla.109:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Realtracker : Gesäubert mit Backup
:mozilla.110:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Realtracker : Gesäubert mit Backup
:mozilla.119:C:\Dokumente und Einstellungen\Spiele\Anwendungsdaten\Mozilla\Firefox\Profiles\053nvfif.default\cookies.txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Spiele\Desktop\crack, patch, etc\Diablo II\Install_20356.exe -> TrojanDownloader.IstBar.ja : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Spiele\Desktop\crack, patch, etc\dii\Diablo 2 Lord of Destruction v1.10 No-CD Crack\Install_20356.exe -> TrojanDownloader.IstBar.ja : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc4.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc5.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc6.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc8.exe -> Dialer.Generic : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-299502267-1078081533-1801674531-1004\Dc9.exe/y.bat -> Trojan.Zapchast : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll -> TrojanDownloader.WebP2PInstaller : Gesäubert mit Backup
C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Gesäubert mit Backup
C:\WINDOWS\system32\msvnc.sys -> Trojan.Rootkit.Agent.ae : Gesäubert mit Backup
C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL -> Spyware.P2PNetworking : Gesäubert mit Backup


::Report Ende
-----------------------------------------------
wie kann man sich da eigentlich auskennen???

Alt 21.08.2005, 23:02   #7
chaosman
 
Dialer: SIXA - Standard

Dialer: SIXA



@Psychotroll
wie groß ist die neue version von hjt

198.217kb
also bitte downloaden

chaosman
__________________
Bonus vir semper tiro

Alt 21.08.2005, 23:14   #8
Psychotroll
 
Dialer: SIXA - Standard

Dialer: SIXA



ok, ich hab es auch gerade gesehen. ...der smiley is so krank...

ok, hier die neue log:
--------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 23:13:36, on 21.08.05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\ewido\security suite\ewidoctrl.exe
E:\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Internetprogramme\AntiVir PE\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Alcohol 120%\Alcohol 120\Alcohol.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Spiele\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Internetprogramme\AntiVir PE\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alcohol.exe Autorun] E:\Alcohol 120%\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [0190 Warner] E:\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = E:\Programme\Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 213.90.38.3 195.96.0.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 213.90.38.3 195.96.0.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C4DECC0-4FF8-4EED-8F50-0833104AD480}: NameServer = 195.70.224.45 213.90.38.3
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\Internetprogramme\AntiVir PE\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\Internetprogramme\AntiVir PE\AVWUPSRV.EXE (file missing)
O23 - Service: ewido security suite control - ewido networks - E:\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\ewido\security suite\ewidoguard.exe
O23 - Service: netinfo - Unknown owner - C:\WINDOWS\netinfo.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-------------------------------------
nd nochmal:
wie kennt man sich da aus???

Alt 21.08.2005, 23:27   #9
Wildone
 
Dialer: SIXA - Standard

Dialer: SIXA



Hallo,
hast du zwischen den beiden Scans mit HijackThis etwas verändert/entfernt? Wo ist den der Eintrag hier hin?
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
Falls die Datein noch da ist bitte hier überprüfen lassen.
Alles in allem rate ich dir dein System neu aufzusetzen du hattest sehr wahrscheinlich eine Variante des Sd-bot Wurms auf deinem Computer mit folgenden Auswirkungen(unter Nebeneffekte):
http://www.sophos.de/virusinfo/analy...2tilebote.html
http://www.tasklist.org/task_MSupdate32_exe_5260.html
Grund für deine Verseuchung(wie vorhin schon erwähnt):
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Das System muss immer auf dem neusten Stand sein, sonst hilft kein Virenscanner und keine Firewall.
Also hier ist eine Anleitung wie du beim formatieren/neuaufseten vorgehen solltestm, lies sie dir sorgfältig durch, uns es ist die zukünftige Basis für ein sicheres System.


Grüße Wildone

Alt 21.08.2005, 23:40   #10
Psychotroll
 
Dialer: SIXA - Standard

Dialer: SIXA



kaspersky sagt: msupdate32.exe Infiziert: Backdoor.Win32.Rbot.gen

neuaufsetzen will ich nicht schon wieder... außer:
ich hab windows auf einer extrapartition.
wenn ich nun neu aufsetze, was passiert mit der registry? besonders mit den spielen. machen die dann automatisch neue einträge? oder muss ich die dann auch neuinstallieren? oder kann ich die registry irgendwie behalten, zumindest die spiele?

und wie bekomm ich jetzt das sixa weg??? ohne neuaufzusetzen?

Alt 21.08.2005, 23:43   #11
Chris14
 

Dialer: SIXA - Standard

Dialer: SIXA



backdoor = neuinstallation unumgänglich. die registry würde ich nicht sichern. die spiele kannste aber drauf lassen (es ist nicht sehr warscheinlich das jemand daran interesse hat diese zu manipulieren, es ist aber dennoch möglich!)

Alt 21.08.2005, 23:43   #12
chaosman
 
Dialer: SIXA - Standard

Dialer: SIXA



@Psychotroll
ups, da hilft nur neu aufsetzen
http://www.sophos.de/virusinfo/analyses/w32rbotot.html

machen die dann automatisch neue einträge? oder muss ich die dann auch neuinstallieren? oder kann ich die registry irgendwie behalten, zumindest die spiele?
müßte wohl oder übel neuinstallieren.
hier eine anleitung zum neuaufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman
__________________
Bonus vir semper tiro

Alt 21.08.2005, 23:47   #13
Wildone
 
Dialer: SIXA - Standard

Dialer: SIXA



Hallo,
um dir das jetzt mal ganz klar zu machen, du hattest Backdoors auf dem PC die so ziemlich alles damit anstellen können was ihnen beliebt, angefangen mit dem Diebstahl der Keys deiner heißgeliebten Spiele bis hin zum Server für Kinderpornographie. Und du hast wirklich die komplette Sammlung, Rbot Sdbot, Rootkits, dieser Rechner ist meiner Meinung nach irreparabel. Also setze dich mal wirklich mit dem Thema Sicherheit ausereinander, und setze die Kiste neu auf, dann hast du auch wieder was davon.

P.S. Das Sp2 kann man von Microsoft auch per Post bekommen, steht aber auch alles in dem Link zum Neuaufsetzen von oben.



Grüße Wildone

Alt 23.08.2005, 20:23   #14
Psychotroll
 
Dialer: SIXA - Icon26

Dialer: SIXA



ok...
dann muss ich wohl wieder neuaufsetzen...
mittlerweile schaff ich das schon alles in 2 stunden!!!

aber nochmal zu den spielen:
wenn ich neu aufsetz, lösch ich die registry.
die spiele benötigen ihre einträge in der registry.
ist die registry nun für die spiele leer, was passiert?
funktionieren die noch?

ihr habt mir zieeemlich geholfen!
sp2 lass ich mir schicken

und wieder die frage:
wie wird man aus der hjt-log schlau???

Alt 25.08.2005, 15:46   #15
Procon
 
Dialer: SIXA - Standard

Dialer: SIXA



Hi, mit deinem SIXA kann ich Dir nicht helfen, aber was den ServicePack2 angeht gibt es eine einfache Lösung. Bestell Dir die kostenlose CD von Microsoft. Dauert zwar ein paar Tage, aber dann hast du sie auch für eine Neuinst. zur Verfügung. Bestellung hier. http://www.microsoft.com/germany/win...der/bezug.mspx
Gruss Procon

Antwort

Themen zu Dialer: SIXA
antivir, autodial, confused, datei, dateien, dialer, entfernen, folge, folgende, internet, internetseite, microsoft, modem, namens, network, nicht mehr, prefetch, search, software, surfen, verbindung, verdächtige, virus, wichtig, zonealarm, öffnet



Ähnliche Themen: Dialer: SIXA


  1. Sixa
    Mülltonne - 12.05.2007 (1)
  2. wo ist der dialer????
    Log-Analyse und Auswertung - 09.07.2006 (17)
  3. dialer-gen und dialer-251
    Plagegeister aller Art und deren Bekämpfung - 26.05.2006 (20)
  4. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  5. *hit dialer...
    Plagegeister aller Art und deren Bekämpfung - 21.03.2006 (10)
  6. tr/dialer.iz.1
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (17)
  7. tr/dialer.ay.6
    Plagegeister aller Art und deren Bekämpfung - 28.12.2005 (1)
  8. TR/Dialer.AY.6
    Plagegeister aller Art und deren Bekämpfung - 15.12.2005 (4)
  9. Sixa
    Plagegeister aller Art und deren Bekämpfung - 08.09.2005 (1)
  10. bloodhound.w32.ep und sixa dialer o.ä.
    Plagegeister aller Art und deren Bekämpfung - 28.06.2005 (45)
  11. sex-dialer
    Log-Analyse und Auswertung - 01.03.2005 (2)
  12. Dialer
    Plagegeister aller Art und deren Bekämpfung - 27.02.2005 (2)
  13. Dialer !!!
    Plagegeister aller Art und deren Bekämpfung - 17.01.2005 (1)
  14. IBS-Dialer
    Plagegeister aller Art und deren Bekämpfung - 15.07.2003 (3)
  15. IBI TEC (Dialer)
    Plagegeister aller Art und deren Bekämpfung - 14.07.2003 (1)
  16. Dialer???
    Plagegeister aller Art und deren Bekämpfung - 21.02.2003 (4)

Zum Thema Dialer: SIXA - Hab mir anscheinend einen Dialer namens SIXA geholt (Surfen auf Crackseiten... is aber jetzt nicht so wichtig von wo) Jedenfalls soll er weg, klar. Aber wie Das ganze läuft so - Dialer: SIXA...
Archiv
Du betrachtest: Dialer: SIXA auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.