|
brauche hilfe beim auswerten von hijackthis MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\NETFG32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\MFCIQ.EXE C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\ZSTATUS.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE C:\ATRIS_ST\KATCD\ATRIS_ST.EXE C:\WALI\WP.EXE C:\WALI\wbtr32.exe C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\EIGENE DATEIEN\DENIS\HIJACKTHIS199\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/search1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - Default URLSearchHook is missing O2 - BHO: Class - {9663302E-BD8D-25BA-12F8-71482660116B} - C:\WINDOWS\NETDG32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [MFCIQ.EXE] C:\WINDOWS\MFCIQ.EXE O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [NETFG32.EXE] C:\WINDOWS\NETFG32.EXE O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe O4 - Global Startup: WERBAS-Compact (2).lnk = C:\WALI\WP.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O19 - User stylesheet: (file missing) |
@ doedel: Bitte poste das komplette Logfile mit Kopfzeile! |
Logfile of HijackThis v1.99.0 Scan saved at 17:17:45, on 10.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\NETFG32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\MFCIQ.EXE C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\ZSTATUS.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE C:\ATRIS_ST\KATCD\ATRIS_ST.EXE C:\WALI\WP.EXE C:\WALI\wbtr32.exe C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\EIGENE DATEIEN\DENIS\HIJACKTHIS199\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/search1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - Default URLSearchHook is missing O2 - BHO: Class - {9663302E-BD8D-25BA-12F8-71482660116B} - C:\WINDOWS\NETDG32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [MFCIQ.EXE] C:\WINDOWS\MFCIQ.EXE O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [NETFG32.EXE] C:\WINDOWS\NETFG32.EXE O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe O4 - Global Startup: WERBAS-Compact (2).lnk = C:\WALI\WP.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O19 - User stylesheet: (file missing) |
Hi, folgendes mit HJT im abgesicherten Modus fixen: C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/search1/ R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" Die Datei: C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE manuell löschen. Weiterhin würde ich folgendes fixen: O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O19 - User stylesheet: (file missing) Diese drei, wenn Du sie nicht selbst bestimmt hast. Lade Dir Spybot S&D 1.3 runter, update es und lasse es laufen. Nach dem scan, wenn alles entfernt ist, gehst Du auf "wiederherstellen" und löschst den Quarantäne-Ordner von Spybot. Du mußt Deine "trusted Zones" leeren, Anleitung hier. Folgende Dateien bitte nacheinander bei jotti online scannen lassen und die Ergebnisse hier rein posten: C:\WINDOWS\NETFG32.EXE C:\WINDOWS\MFCIQ.EXE C:\WINDOWS\SYSTEM\ZSTATUS.EXE C:\WINDOWS\NETDG32.DLL Kennst du die folgenden: C:\ATRIS_ST\KATCD\ATRIS_ST.EXE C:\WALI\WP.EXE C:\WALI\wbtr32.exe O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe bitte erledige alle Aufgaben und poste dann ein neues Logfile cactoa |
habe die 4 dateien geprüft C:\WINDOWS\NETFG32.EXE File: netfg32.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir TR/Dldr.Agent.al (0.28 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.37 seconds taken) ClamAV Trojan.Downloader.Agent-38 (0.40 seconds taken) Dr.Web Trojan.DownLoader.1299 (0.54 seconds taken) F-Prot Antivirus W32/Backdoor.LP (0.07 seconds taken) Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.al (0.68 seconds mks_vir Trojan.Downloader.Agent (0.20 seconds taken) NOD32 Win32/TrojanDownloader.Agent.NBC (0.38 seconds taken) Norman Virus Control No viruses found (0.48 seconds taken) C:\WINDOWS\MFCIQ.EXE File: mfciq.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir TR/Dldr.Agent.gs (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender Trojan.Downloader.Agent.GM (0.36 seconds taken) ClamAV No viruses found (0.45 seconds taken) Dr.Web Trojan.Hidn (0.60 seconds taken) F-Prot Antivirus W32/Agent.HP@dl (0.07 seconds taken) Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.gs (0.69 seconds ta mks_vir Trojan.Downloader.Agent (0.21 seconds taken) NOD32 Win32/TrojanDownloader.Agent.GS (0.38 seconds taken) Norman Virus Control No viruses found (1.80 seconds taken) C:\WINDOWS\NETDG32.DLL File: netdg32.dll Status: POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.) Packers detected: UPX AntiVir No viruses found (0.17 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.51 seconds taken) ClamAV Trojan.Downloader.Agent.AC (0.40 seconds taken) Dr.Web No viruses found (0.63 seconds taken) F-Prot Antivirus No viruses found (0.08 seconds taken) Kaspersky Anti-Virus No viruses found (0.74 seconds taken) mks_vir No viruses found (0.22 seconds taken) NOD32 No viruses found (0.47 seconds taken) Norman Virus Control No viruses found (0.13 seconds taken) C:\WINDOWS\SYSTEM\ZSTATUS.EXE die datei war sauber Logfile of HijackThis v1.99.0 Scan saved at 18:46:10, on 11.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\NETFG32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WALI\WP.EXE C:\WALI\wbtr32.exe C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN\DENIS\HIJACKTHIS199\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - Default URLSearchHook is missing O2 - BHO: Class - {9663302E-BD8D-25BA-12F8-71482660116B} - C:\WINDOWS\NETDG32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL (file missing) O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [NETFG32.EXE] C:\WINDOWS\NETFG32.EXE O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe O4 - Global Startup: WERBAS-Compact (2).lnk = C:\WALI\WP.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present |
Hi, der in der NETFG32 entdeckte backdoor gehört zu einer Gruppe, die folgendes kann: Fluten eines spezifizierten Hosts mit UDP-, TCP-, SYN-, ICMP- oder ping-Paketen Starten eines Webservers, der den Inhalt der lokalen Festplatte verfügbar macht Starten eines socks4-Proxyservers Umleiten von TCP-Verbindungen Starten eines TFTP-, FTP-, rlogind- oder Command-Shell-Servers Dateiübertragung via DCC Versenden von E-Mails Suchen nach Produktschlüsseln Download und Installation einer aktualisierten Version von sich Anzeigen von Statistiken über das infizierte System Anzeigen/Leeren des DNS-Cache Auflisten/Beenden aktiver Prozesse Auflisten/Erstellen/Stören von Freigaben bzw. Diensten Durchsuchen zufälliger oder aufeinander folgender IPs nach infizierbaren Computern Starten eines Keyloggers Suchen nach Kennwörtern in Dateien, aktiven Prozessen und Netzwerkverkehr Lesen des Inhalts der Zwischenablage Erstellen von Bildschirmaufnahmen oder einer verbundenen Webcam Schließen anfälliger Dienste, um den Computer zu sichern. In Verbindung mit dem Rest, der sonst noch drauf ist, würde ich das System neu aufsetzen. Dabei alle Tipps beachten! cacatoa |
hört sich ja nicht gut an, aber gibt es eventuel noch eine andere möglichkeit? |
@doedel cacatoa hat dir doch alles gepostet? ich würde sofort von netz gehen und nach der linktips neuaufsetzen. chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:36 Uhr. |
Copyright ©2000-2024, Trojaner-Board