|
! Backdoor hat meinen Rechner komplett zerstört Hallo, diesmal hat es mich erwischt! Meine Programme haben mich noch gewarnt, ich habe nur eine eMail geöffnet, da war ein Bild bei, aufgeklickt und wumpps! Platt, die Kiste läuft nicht mehr! Habe mittels Knoppix und wine ein HJT Log unter dem emu ziehen können um wenigstens zu wissen, was es war. Jetzt bin ich sprachlos. Mein kompletter Windows Ordner ist umbenannt. Könnt Ihr mir bei der Diagnose helfen? Logfile of HijackThis v1.99.1 Scan saved at 13:11:32, on 01.03.2006 Platform: wenndoch XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\wenndoch?\System32\smss.exe C:\wenndoch?\system32\winlogon.exe C:\wenndoch?\system32\services.exe C:\wenndoch?\system32\lsass.exe C:\wenndoch?\system32\svchost.exe C:\wenndoch?\System32\svchost.exe C:\wenndoch?\system32\spoolsv.exe C:\wenndoch?\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\Anti-Spy.Info\SpyProtector.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.ex e C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\wenndoch?\system32\Ati2evxx.exe C:\Programme\palmOne\HOTSYNC.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\ewido anti-malware\ewidoctrl.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\avpm.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\wenndoch?\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\eScan\escanwin.exe C:\Programme\eScan\kavss.exe C:\wenndoch?\System32\msiexec.exe C:\Programme\Steganos Security Suite 7\SSS7.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Test\Desktop\Steganos Updates\sss7int.exe C:\Dokumente und Einstellungen\Test\Desktop\HijackThis.exe C:\wenndoch?\system32\MSIEXEC.EXE C:\wenndoch?\System32\MsiExec.exe R1 - HKCU\Software\Microsoft\wenndoch?\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.36 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Programme\SpyCatcher 2006\SCActiveBlock.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Anti-Spy.Info\SpyProtector.exe /autostart O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.ex e O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\wenndoch?\heutenichtder\1.April waere.tb O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: wenndoch? Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programme\iSilo\iSiloX\iSiloXIE.dll (HKCU) O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programme\iSilo\iSiloX\iSiloXIE.dll (HKCU) O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (wenndoch? Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wenndoch?update/v6/V5Controls/en/x86/client/wuweb_site.cab?1137885579849 O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3E67C4-DF82-4192-8FC5-AB9FE86279AC}: NameServer = 192.168.0.1 O20 - AppInit_DLLs: interceptor.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\wenndoch?\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\wenndoch?\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\wenndoch?\system32\ZoneLabs\vsmon.exe Die Autoauswertung brachte außer dem komischen Pfad keine Ergbnisse. :confused: Gruß Schrulli |
Tja, Schrulli, da haste dir was ganz besonders Böses zugezogen! :teufel1: Nun hilft nicht mal mehr neu aufsetzen! Keine 12-Punkte-Anleitung. Hier ist jeder Rückweg unmöglich! Times are a’changing. Wenn doch bloß nicht immer alle Hintertüren offen stünden in diesen Zeiten. Ich fürchte, dieser Backdoor bedeutet nun für uns alle endgültig das Ende des Internets. Aber man muss der Krise nur den Ruch der Katastrophe nehmen, schon isses ’ne Chance! :crazy: Wetterwendische Grüße, Laudomina |
Hallo, tja Laudomina, müssen wir wohl das Board zumachen. Mit solchen Sachen wird keiner fertig. Ich bau den C64 wieder auf, da gibt es keine Backdoors, nur wie sag ich dem DSL? :rolleyes: Man oh man, gut das das Internet doch ein Ende hat. ;) Gruß Schrulli |
Zitat:
Gruß, Laudomina :teufel2: |
@Schrulli Zitat:
Zitat:
|
@schrulli Ein "Bild"? Sollte ab SP2 gefixt sein? BIs jetzt sind mir nur Fälle bekannt bei denen sich mehr oder weniger harmlose IRC spambots beim betrachten eines verseuchten jpegs installieren. Hast du schon versucht den Windows-Ordner mal umzubenennen? Und was is überhaupt genau passiert? Liest sich als ob du fast in Angstschweis ertrunken wärst! mfg, Markus |
Hallo, Zitat:
Gruß Schrulli |
KasperSky behauptet übrigens, auf Russisch nennen sie den W32/wd?primuS_A.06: Шутка в апреле. Aber man kann sich ja auf Online-Übersetzungen nie verlassen. Wer weiß, was das wirklich heißt ... :confused: Gruß Laudomina |
Hallo Schrulli, *Ahum*, kann es sein das es sich um einen Backdoor dieser Familie handelt?;) chaosman:party: |
Hallo, der erste Preis geht an.... ** >> choasman << **:daumenhoc Allen denen das noch nicht klar ist, sei diese Zeile Zitat:
@Rene-Gad: Danke für den Link ;) http://www.kindernetz.de/infonetz/ge...rilscherz2.gif Gruß Schrulli |
Wow THX Schrulli:lach: chaosman:huepp: |
Hallo, meinem Rechner geht es seit ca. zwei Stunden wieder gut, komisch :rolleyes: Gruß Schrulli |
Hallo Schrulli, eine nette auflockerung ;) :D :aplaus: dartus:huepp: |
oh isses schon wieder ... ich fall immer drauf rein. wie egoistisch von dir :aplaus: fragezeichen im ordnernamen sind ja auch nicht so richtig möglich naja .. schnell kalt duschen gehn bevor was chetto geht :balla: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board