|
Hjt Bitte Checken!!!trojaneralarm Hi! Habe seit geraumer Zeit nur Probleme mit meinem Rechner! Ich habe den Bloodhound.exploit.6 Trojaner drauf! und noch 2-3 andere!! Norton upgedatet aber der erkennt sie nur wenn sie aktiv werden aber beim scannen kann er sie nicht mal sehen!! Ich kann seit ca 2 Wochen keine Mails mehr empfangen...weiss nicht ob das damit zusammenhängt. Hier mein LOG Logfile of HijackThis v1.98.2 Scan saved at 21:01:37, on 22.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\l0ad.exe C:\bar.exe C:\WINDOWS\System32\IExplore32b.exe C:\Programme\ISTsvc\istsvc.exe C:\Program Files\Internet Optimizer\optimize.exe C:\Program Files\Windows AdTools\WinAdTools.exe C:\Program Files\Windows AdTools\WinRatchet.exe D:\PROGRA~1\NoRTON\navapw32.exe C:\Program Files\Internet Optimizer\actalert.exe D:\PROGRAMME\NORTON\IAMAPP.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\??plorer.exe D:\PROGRAMME\Logitech\MouseWare\system\em_exec.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uabh.exe D:\PROGRAMME\NoRTON\navapsvc.exe D:\PROGRAMME\NORTON\NISUM.EXE D:\PROGRAMME\NORTON\SymProxySvc.exe D:\PROGRAMME\NORTON\NISSERV.EXE D:\PROGRAMME\NORTON\ATRACK.EXE G:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=154393 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.de.dr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=154393 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.amarprithibi.com/bar.html R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 54.dll O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem302.dll O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 54.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [suckme] C:\l0ad.exe O4 - HKLM\..\Run: [suckmy] C:\bar.exe O4 - HKLM\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NoRTON\navapw32.exe O4 - HKLM\..\Run: [iamapp] D:\PROGRAMME\NORTON\IAMAPP.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\RunServices: [IExplorer32 Java Scripting] IExplore32b.exe O4 - HKCU\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe O4 - HKCU\..\Run: [Waqbszoe] C:\WINDOWS\System32\??plorer.exe O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent O4 - HKCU\..\Run: [Dwal] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uabh.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\PROGRAMME\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.37.5:80/iex/ofile.exe?...0/rdgDE298.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...47fc1a7f1aedfb O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/diamond.cab Danke für die Hilfe!! EDIT: habe vergessen zu erwähnen, dass sich beim Straten auch 2 Seiten automatisch öffen über den Explorer!?! Meine Firewall scheint manchmal einfach loszulegen, also sie ist aktiv, aber ich bin beim onlinezoggen und auf einmal lähmt sie den Pc!! Obwohl das Spiel schon seit längerem freigegeben ist und nie Probs gemacht hat! Also die Resourcen werden fast komplett benutzt, d.h. mein rechner scheint dann nur noch für die Firewall da zu sein... im Taskmanager benutzt die IAMAP oder so ca 90% der PC-Resourcen. Dann muss ich die Datei über den Taskmanager schliessen sonst kann ich den rechner vor sich hinarbeiten lassen... Helft mir Bitte! Dieses sch... Norton findet nix!! |
@LimiT das wundert mich nicht Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) update bitte erst mal den IE und das system welche 2 - 3 andere sind noch oben? chaosman |
Du hast vom porn dialer bis zur ISTBar so ziemlich alles an Surfschrott drauf. Der bloodhound exploit ist ein Daueraufschrei von Norton; wahrscheinlich zieht der ihn an... ;) Wenn du Dein System upgedated hast, dann lade dir mal AdAware SE runter und laß es laufen. Ebenso Spybot S & D 1.3 und laufen lassen. Dann neues Logfile posten. |
Außer der Spy- und Adware, die in diesem Fall nebensächlich sind, laufen noch härtere Kaliber auf deinem System mit, wie z.B. der Backdoor Rbot.gen! Von daher kannst du dir das Scannen nach Ad- und Spyware sparen und sogleich mit dieser Anleitung fortfahren, da dein System in keinster Weise mehr vertrauenswürdig ist. http://www.trojaner-board.de/showpos...28&postcount=2 Speziell Backdoor Rbot.gen, siehe http://www3.ca.com/securityadvisor/v....aspx?id=39437 oder auch http://www.trojaner-board.de/showpos...8&postcount=12 |
Boah!! Danke für die Antworten! heisst das, dass ich alles nochmal neu machen darf?! Habe erst vor 3 Wochen neu installiert gehabt! Gibt es denn keine andere Möglichkeiten?!?! Habe Sicherungsdatei vom Sytem bevor es infiziert war und alle Programme die ihr mir gesagt habt. Habe die auch durchlaufen lassen und die haben so ziemlich alles mögliche gefunden! Gibt es denn keine Möglichkeit das System zu reparieren ohne neu zu installieren?!!? Egal was...ich versuch alles! Meint ihr die Updates bringen noch was ??? Die hab ich enen gesaugt... naja.... Ich hoffe ihr habt noch nen anderen Lösungsvorschlag ausser alles neu. Danke trotzdem! |
@LimiT da hilft nur neu aufsetzen Speziell Backdoor Rbot.gen, siehe http://www3.ca.com/securityadvisor/...s.aspx?id=39437 oder auch http://www.trojaner-board.de/showpo...08&postcount=12 hier ein paar tips (Zitat von Cidre) Es sieht so aus, als wären viele Backdoor Trojaner auf diesem System aktiv gewesen, daher lautet meine Empfehlung bei dieser derartigen Durchseuchung: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.d...compromise.html chaosman |
Zitat:
Zitat:
Die sicherste und vertrauenswürdigste Lösung ist Neuaufsetzen. Zitat:
Kennst du den genauen Zeitpunkt der Kompromittierung? Hast du dein Backup verifiziert? Zitat:
Zitat:
Zitat:
|
@ll wenn er sich nicht vorher aktuelle software (sp2 von einer heft-cd, antivirensoftware mit aktueller vdf, eine firewall, einen alternativen browser und ein mailprogramm) besorgt und dies nicht ordentlich konfiguriert, wird er sehr bald wieder hier nachfragen und welche antwort bekommen format:c :headbang: |
Hi! Danke für die Tips! Ok ich glaube ich habe verstanden was mir jeder sagen möchte... Hätte das nicht von Würmern gedacht aber... man lernt nie aus. Das heisst also, egal wie sauber mein System ist, es kann immer eine Backdoor geben.... Kann ich solche backdoors ausfindig machen mit nem middle Knowhow??? Wenn ja, wie?? Zu der Sicherungsdatei, die hab ich ja schon nach neuinstallation vom betriebssystem vor ca 3-4 Wochen gemacht... Aber die könnte ja eigentlich auch schon befallen sein oder??? Ok! Neuinstallation muss wohl sein! Aber bevor ich das tue...könntet ihr mir meine neue LOG auslesen?? Nur aus Neugier ob irgendwas geholfen hat! Hier: Logfile of HijackThis v1.98.2 Scan saved at 20:58:06, on 23.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\l0ad.exe D:\PROGRA~1\NoRTON\navapw32.exe D:\PROGRAMME\NORTON\IAMAPP.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe D:\PROGRAMME\Logitech\MouseWare\system\em_exec.exe D:\PROGRAMME\NoRTON\navapsvc.exe D:\PROGRAMME\NORTON\NISUM.EXE D:\PROGRAMME\NORTON\SymProxySvc.exe D:\PROGRAMME\NORTON\NISSERV.EXE D:\PROGRAMME\NORTON\ATRACK.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE D:\ANTIVIREN\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.de.dr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.amarprithibi.com/bar.html R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANTIVI~1\SPYBOT~1\SDHelper.dll O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [suckme] C:\l0ad.exe O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NoRTON\navapw32.exe O4 - HKLM\..\Run: [iamapp] D:\PROGRAMME\NORTON\IAMAPP.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [Waqbszoe] C:\WINDOWS\System32\??plorer.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\PROGRAMME\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AAE4CCAD-E41D-4D64-8BBB-6C12CE3E7D9B}: NameServer = 217.237.150.141 217.237.150.97 Das neue Betriebssystem mit SP2 bekomm ich die nächsten 2 Wochen.... Achso!!! Ich habe mehrere Partitionen...Das Betriebsystem habe ich auf C und den rest verteilt. Kann ich das Betreibssytem (C)neu drauf machen oder muss ich alles formatieren?? Habe auch nie irgendwas in irgend einer anderen Partition gefunden...immer nur in C. Und diese Einträge habe ich auch immer im SpyBot DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 |
@ DSO exploit ist bekannt, kannst du nicht löschen. "Kann ich solche backdoors ausfindig machen mit nem middle Knowhow??? Wenn ja, wie??" hier kannst du nachlesen http://www.mathematik.uni-marburg.de...ompromise.html http://www.ntsvcfg.de/linkblock.html http://www.datenschutzzentrum.de/sel...sie/config.htm http://www.blafusel.de/ie.html chaosman |
O4 - HKLM\..\Run: [suckme] C:\l0ad.exe O4 - HKCU\..\Run: [Waqbszoe] C:\WINDOWS\System32\??plorer.exe Das sind nach wie vor vorhandene Schädlinge. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board