Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   exttiq ?! :/ (https://www.trojaner-board.de/9825-exttiq.html)

Sue 19.11.2004 20:31
exttiq ?! :/
 
hi. problem:

Logfile of HijackThis v1.98.2
Scan saved at 20:23:49, on 19.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\YzDock\YzDock\YzDock.exe
C:\WINDOWS\System32\exttiq.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Martin\Desktop\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Windows Compliant] exttiq.exe
O4 - HKLM\..\RunServices: [Windows Compliant] exttiq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] G:\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Windows Compliant] exttiq.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Allow Popups - C:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC100218-E7F2-4DA6-9173-6E9F808BC7E2}: NameServer = 205.188.146.146

habe die bösen gefixed. sind aber immer noch da :headbang:

und spybot findet auch immer wieder einträge, die ich schon öfters versucht habe zu entfernen. bei neustart sind sie wieder da :(

spybot findet immer:
advertising.com
doubleclick
dso exploit
valueclick

was kann ich tun? :(
zudem wird meine internetverbindung ständig zu 50% ausgenutzt (isdn) obwohl ich nix machen

help :(
sue.

chaosman 19.11.2004 20:49
@
dso exploit ist bekannt, wird noch nicht von spybot gelöscht.
verzichte auf den DAP holt spyware nach, nimme lieber den LeechGet
gebe HJT bitte einen eigenen ordner.
diese datei bitte hier überprüfen lassen C:\WINDOWS\System32\exttiq.exe

wechsle in den abgesicherten modus und fixe
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
lösche manuell diese datei
C:\PROGRA~1\DAP\DAP.EXE

wenn die überprüfung von C:\WINDOWS\System32\exttiq.exe
ergibt, daß er infiziert ist, dann fixe zusätzlich
O4 - HKLM\..\Run: [Windows Compliant] exttiq.exe
O4 - HKLM\..\RunServices: [Windows Compliant] exttiq.exe
O4 - HKCU\..\Run: [Windows Compliant] exttiq.exe
lösche dann manuell
C:\WINDOWS\System32\exttiq.exe
neu starten
chaosman

Sue 19.11.2004 20:57
C:\WINDOWS\System32\exttiq.exe

diese datei habe ich nicht? und kann sie auch sonstwo unter c:\ nicht finden? :(

chaosman 19.11.2004 21:03
@sue

kuckst du hier
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

chaosman

Sue 19.11.2004 21:03
war versteckt als systemdatei. lol.

Service load: 0% 100%

File: exttiq.exe
Status: INFECTED/MALWARE
Packers detected: MOLEBOX

AntiVir Worm/RBot.RT (0.15 seconds taken)
Avast Win32:Rbot-EE (1.51 seconds taken)
BitDefender Backdoor.Rbot.RP (0.33 seconds taken)
ClamAV Trojan.Spybot-79 (0.33 seconds taken)
Dr.Web Win32.HLLW.MyBot (0.47 seconds taken)
F-Prot Antivirus W32/Spybot.AWJ (0.06 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.60 seconds taken)
mks_vir Trojan.Rbot.Gen (0.32 seconds taken)
NOD32 Win32/Rbot.AEF (0.62 seconds taken)
Norman Virus Control No viruses found (9.10 seconds taken)

lol norman virus control hat nix gefunden. typisch :D

aber was mich wundert dass ich antivir laufen habe und er es trotzdem nit fand :(

chaosman 19.11.2004 21:16
@Sue

bei dieser
http://www.sophos.de/virusinfo/analyses/w32rbotci.html
kam man dich nur empfehlen dein system neu aufzusetzen.
betrachte es als kompromittiert
http://www.mathematik.uni-marburg.de...ompromise.html
ein paar tips
(Zitat von Cidre)
Es sieht so aus, als wären viele Backdoor Trojaner auf diesem System aktiv gewesen, daher lautet meine Empfehlung bei dieser derartigen Durchseuchung: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131