Archiv verlassen und diese Seite im Standarddesign anzeigen : Malware fiesester Sorte!
Hacki_P3D
2004-06-17, 11:46:01
Sers Leute,
Ein User aus einem anderen Forum hat sich was fieses eingefangen und wird es nicht mehr los, dachte mal das ich es mal zu den Spezis hier verlinke ;)
hier der Thread (http://www.hondaforum.de/phpBB2/viewtopic.php?t=55957&postdays=0&postorder=asc&start=0&sid=dd20145a7b11c15c08ba558c0063abed)
Schon kosmisch, oder ?
x-dragon
2004-06-17, 12:01:02
Soweit ich das überflogen haben könnte der Trojaner dank Systemwiderherstellung immer wieder widerhergestellt werden. Das er in irgendeinem anderen Autostarteintrag unter einem anderen Namen in der Registry hängt wäre aber auch nicht verwunderlich.
Falls du da aktiv bist kannst ja mal vorschlagen das er Hijackthis drüber laufen lassen soll.
Hacki_P3D
2004-06-17, 12:05:09
Sers
Jo, wollte schon vorschlagen das er mal die Systemwiederherstellung komplett ausschalten soll solange er diese Aktionenen durchführt.
Bin dort aktiv, werde posten!
Hacki_P3D
2004-06-17, 16:19:48
So, hier ist das Log:
Logfile of HijackThis v1.97.7
Scan saved at 15:04:57, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
D:\PROGRA~2\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\PROGRA~2\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\sdkoy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\atlcg.exe
C:\WINDOWS\crfx.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Patrick\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zzzlb.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zzzlb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zzzlb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B77E50A7-B32B-750C-907E-92AD1F76461E} - C:\WINDOWS\sdkmw32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sdkoy.exe] C:\WINDOWS\system32\sdkoy.exe
O4 - HKLM\..\RunOnce: [crfx.exe] C:\WINDOWS\crfx.exe
O4 - HKLM\..\RunOnce: [atlcg.exe] C:\WINDOWS\system32\atlcg.exe
O4 - HKLM\..\RunOnce: [ieul.exe] C:\WINDOWS\ieul.exe
O4 - HKLM\..\RunOnce: [apppe32.exe] C:\WINDOWS\apppe32.exe
O4 - HKLM\..\RunOnce: [atljd32.exe] C:\WINDOWS\system32\atljd32.exe
O4 - HKLM\..\RunOnce: [adddd.exe] C:\WINDOWS\system32\adddd.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_37.cab
O16 - DPF: {49A3DCEE-FC3C-11D4-83E5-0050DA33C619} (BVXPlayer Class) - http://www.biovirtual.com/xplayer/xplayer.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37863.4233449074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash5/cabs/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB1FE294-0E35-4C10-91A9-2029E1FA9508}: NameServer = 192.168.0.1
Sei Posting:
"Wie gesagt. Ich habe die zzzlb.dll Einträge die ich gefunden habe im HiJacker gelöscht. Danach wars gut. beim 2x IE geöffnet zack wieder da."
Probier mal den CWShredder...
Hacki_P3D
2004-06-17, 17:07:12
hat er schon..
Lokadamus
2004-06-17, 17:22:06
mmm...
Nur ganz kurz, ich schau mir das nachher in Ruhe an:
C:\WINDOWS\system32\sdkoy.exe <--- unbekannt
C:\WINDOWS\System32\mqsvc.exe <-- Windows Remote irgendwas, soll mal die Remoteunterstützung rauswerfen
C:\WINDOWS\System32\mqtgsvc.exe <-- ebenfalls Windows Remote irgendwas (kann auch was anderes sein)
C:\WINDOWS\system32\atlcg.exe <-- unbekannt
C:\WINDOWS\crfx.exe <-- unbekannt
Diese Einträge entfernen (die zzzbl.dill und die sp.html ebenfalls entfernen):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zzzlb.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zzzlb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zzzlb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
Rest kommt später, da ist einiges hinüber ...
mirco11
2004-06-17, 19:14:49
was hat der Cleaner für Hijacker-sp.html (http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0) gemeldet?
Gruß, Erich
Lokadamus
2004-06-17, 19:18:29
Im Taskmanager killen:
C:\WINDOWS\system32\sdkoy.exe <--- unbekannt
C:\WINDOWS\System32\mqsvc.exe <-- Windows Remote irgendwas, soll mal die Remoteunterstützung rauswerfen
C:\WINDOWS\System32\mqtgsvc.exe <-- ebenfalls Windows Remote irgendwas (kann auch was anderes sein)
C:\WINDOWS\system32\atlcg.exe <-- unbekannt
C:\WINDOWS\crfx.exe <-- unbekannt
Die Einträge kann er entfernen, Hijackthis dazu in einen eigenen Ordner packen und dann ausführen, HijackThis legt dafür eigene Dateien an, um die Einträge wieder rückgängig machen zu können:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zzzlb.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zzzlb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zzzlb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zzzlb.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {B77E50A7-B32B-750C-907E-92AD1F76461E} - C:\WINDOWS\sdkmw32.dll <-- unbekannt, muss er mal überprüfen, woher es kommt
O4 - HKLM\..\Run: [sdkoy.exe] C:\WINDOWS\system32\sdkoy.exe <-- unbekannt
O4 - HKLM\..\RunOnce: [crfx.exe] C:\WINDOWS\crfx.exe <-- unbekannt
O4 - HKLM\..\RunOnce: [atlcg.exe] C:\WINDOWS\system32\atlcg.exe <--- unbekannt
O4 - HKLM\..\RunOnce: [ieul.exe] C:\WINDOWS\ieul.exe <-- unbekannt
O4 - HKLM\..\RunOnce: [apppe32.exe] C:\WINDOWS\apppe32.exe <-- unbekannt
O4 - HKLM\..\RunOnce: [atljd32.exe] C:\WINDOWS\system32\atljd32.exe <-- unbekannt
O4 - HKLM\..\RunOnce: [adddd.exe] C:\WINDOWS\system32\adddd.exe <-- unbekannt, oder ist es dafür (http://www-ese.fnal.gov/Archive/fnal/dc2dm115/diagsw3/docs/dd_usr.htm)?
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe <-- Trust USB Scanner? wenn ja, ist es ok, ansonsten muss er selber nachschauen, woher es kommt
O4 - Global Startup: D-Link AirPlus.lnk = ? <-- nutzloser Eintrag, verweist auf Fragezeichen, dürfte gefahrlos entfernt werden
Die Einträge überprüf ich jetzt nicht, es kann sein, das er hiervon sich irgendwas eingefangen hat, alle diese Einträge können ohne Gefahr entfernt werden:
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlm...DC_1_0_0_37.cab
O16 - DPF: {49A3DCEE-FC3C-11D4-83E5-0050DA33C619} (BVXPlayer Class) - http://www.biovirtual.com/xplayer/xplayer.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
Die ganzen Dateien (auch die zzzlb.dll), die ich mit unbekannt beschrieben habe, möge er mal zippen und mir mailen (Mail: lokadamus@gmx.de Betreff: 3dc - Spyware)
Hacki_P3D
2004-06-17, 19:31:29
Den Link hierher hat er jetzt, hoffe mal er schreibt hier weiter!
vBulletin®, Copyright ©2000-2025, Jelsoft Enterprises Ltd.