Trojaner-Board - Plz Help

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Plz Help (https://www.trojaner-board.de/15786-plz-help.html)

Eine frage ist:
O2 - BHO: (no name) - {AFDA0BB2-770F-8F17-7397-18432B23215F} - (no file)
O2 - BHO: (no name) - {E52EDADC-495E-B4C4-2CF2-91D111A16DA8} - (no file)

böse???

falls ja ich kann es nicht Fixen weder im abgesicherten Modus!

Logfile of HijackThis v1.99.1
Scan saved at 17:08:21, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\kingate-1.6-win32\bin\kingate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\StealthBot\StealthBot v2.6.exe
C:\Programme\StealthBot\StealthBot v2.6.exe
C:\Programme\FlashFXP\flashfxp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\FlashFXP\flashfxp.exe
C:\Programme\FlashFXP\flashfxp.exe
D:\Spiele\Starcraft\StarCraft.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Hijack this\HijackThis.exe

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {AFDA0BB2-770F-8F17-7397-18432B23215F} - (no file)
O2 - BHO: (no name) - {E52EDADC-495E-B4C4-2CF2-91D111A16DA8} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: (no name) - {ED756BE8-0E51-8DBF-4E48-673CDFA2D284} - (no file)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: kingate - Unknown owner - C:\Programme\kingate-1.6-win32\bin\kingate.exe

@Paul7338

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

020 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll

Ist ein Backdoor : http://www.sophos.de/virusinfo/analy...jhaxdoorh.html
Vorgehensweise bei einem Backdoor:
1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernünftig absichern:Info
4.Alle Passwörter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...

Hmm 020 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll ist irgendwie gar nicht da in dem Ordner und wenn ich die Fixe dann wird sie auch nicht gelöscht sondern bein nächsten mal wieder angezeigt bei Hijackthis komisch irgendwie nicht vorhanden die Datei

Finde nicht mal was wenn ich die gesamte festplatte mit der windows Suchmachiene nach draw32.dll durchsuche

@Paul7338

Zitat:

020 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll ist irgendwie gar nicht da in dem Ordner und wenn ich die Fixe dann wird sie auch nicht gelöscht sondern bein nächsten mal wieder angezeigt bei Hijackthis komisch irgendwie nicht vorhanden die Datei

Eben deswegen musst du deine FP neu formatieren.

hmm ich habe aber eigentlich keine Probleme mit meinem PC und deswegen formatiere ich auch nicht wegen einer Datei die ich nicht mal auf meinem p c finden kann!

Irgendwo muss die Datei doch sein oder nicht? würde ich die datei in Dos finden?

@Paul7338

Zitat:

ich habe aber eigentlich keine Probleme mit meinem PC

Mit deinem PC? Träum' weiter. Nach einem installierten Backdoor es ist in keiner Weise dein PC mehr. Kapierst du es nicht? :koch:

Ich habe aber einen Router und fast alle Ports sind zu also? So leicht kann sich keiner bei mir einhacken

Mach was du willst, oder lass mal deinen "tollen" Virenscanner drüberlaufen ;)

All comments about draw32.dll
Alexander Telbiz Never heard it before,the program says it does not exist anymore,which is strange...
I heard that it is linked to vtd_16.exe which is some sort of new re-booting virus
Seems to be linked to vtd_16.exe. They seem to watch one another to make sure one of them is running as a hidden process

Habe ich irgendwo gefunden! kann die dll datei denn überhaupt irgendetwas machen? weil ich habe vtd_16.exe nicht auf meinem p c

ausserdem habe ich mit e-scan File C:\WINDOWS\System32\vdnt32.sys infected by "Backdoor.Win32.Haxdoor.ar" Virus. Action Taken: No Action das noch gefunden finde die datei aber auch nicht das selbe problem!

Zitat:

Boot into DOS or a command prompt. Delete draw32.dll, p2.ini, cm.dll, vdnt32.sys, hm.sys, memlow.sys, wd.sys, klogini.dll, tmpf00.exe and especially VD16.exe using the old DOS commands del filename. Then type edit to open the DOS text editor and create text files with the same names. Check in DOS that the have the same names and not the .txt extensions. If you have to do the old DOS command ren filename filename to rename them. Then attrib +r filename to make them read-only.

Das habe ich auch noch gefunden!

Klogini.dll habe ich auch immer die erstellt sich immer neu?

Ich kann den mist also nur unter dos löschen :(

c:\WINDOWS\system32\klogini.dll size: 0 bytes
c:\WINDOWS\system32\p2.ini size: 320 bytes
c:\WINDOWS\system32\ps.a3d size: 95 bytes
C:\WINDOWS\system32\cm.dll size: 28960 bytes (Backdoor.Win32.Haxdoor.av)
C:\WINDOWS\system32\draw32.dll size: 28960 bytes (Backdoor.Win32.Haxdoor.av)
C:\WINDOWS\system32\hm.sys size: 15872 bytes (Backdoor.Win32.Haxdoor.gen)
C:\WINDOWS\system32\memlow.sys size: 4096 bytes (Backdoor.Win32.Haxdoor.ar)
C:\WINDOWS\system32\vdnt32.sys size: 15872 bytes (Backdoor.Win32.Haxdoor.gen)
C:\WINDOWS\system32\wd.sys size: 4096 bytes (Backdoor.Win32.Haxdoor.ar)

HKEY_CURRENT_USER\Identities\{D4086F36-0B1C-4F8B-883F-F6A433830ADF}\Software\Microsoft\Internet Account Manager
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEMLOW
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMLOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32

nur halt alle datein nicht da ausser Klogini.dll nur die erstellt sich jede 5 minuten neu der rest ist nicht da obwohl ich versteckte datein anzeigen und so habe

-> Antwort steht in Post #2, erstellt von Rene-gad am 23.03.2005 um 19:26 Uhr.

Okey andere können sich bei mir einhacken aber ich habe einen router und deswegen nicht siehe hier das programm dafür

http://www.megasecurity.org/trojans/...11death1.3.gif
http://www.megasecurity.org/trojans/...eath1.3_es.gif