Hijack - Ergebnis

A

Anonymous

Hi,

ich habe mit Hijack den PC gescannt und das Ergebnis als Attachment beigefügt.
Wäre nett, wenn mir jemand was bezüglich nem Hacker oder sowas sagen könnte.
 

Anhänge

  • hijackthis_201.log
    6,7 KB · Aufrufe: 233
Das scheint ein Dialer zu sein:
Code: 
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m
Und das ist ein Toolbar, der offensichtlich manchmal die Sitzung übernimmt:
Code: 
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
 
Code: 
C:\PROGRAMME\RAMPAGE\RAMPAGE.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\EIGENE DATEIEN\MICHAEL\DISK_MONITOR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\WEBSHOTS\WEBSHOTS.SCR

Die kommen mir alle etwas fischig vor... Sicher, daß Du die entsprechenden Programme willentlich installiert hast? Insbesondere der webshots.scr kommt mir verdaechtig vor ;)

Code: 
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
Fixen lassen, ist ein Hijacker (DNS-Hijack)

Code: 
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk 99\register.exe
O4 - HKLM\..\Run: [RAMpage] "C:\Programme\RAMpage\RAMpage.exe" M=50 T=32 P="C:\Programme\RAMpage\RAMpageConfig.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Eigene Dateien\Michael\Disk_Monitor.exe

Auch hier wieder die Frage: Was davon hast Du willentlich installiert? :)

Code: 
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
Fixen lassen, gehoert zum obigen DNS-Hijacker

Code: 
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m
Dialer... Fixen lassen, falls unerwuenscht :)

Code: 
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
Willentlich installiertes Programm? Ansonsten fixen lassen.

Code: 
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Fixen lassen, gehoert auch zum DNS-Hijacker

Code: 
O12 - Plugin for .hpb: C:\PROGRA~1\INTERN~1\PLUGINS\nphpipb.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
Diese Plugins kommen mir auch seltsam vor, koennten aber evtl. zum Norton gehoeren?

Code: 
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://membersites.namezero.com/webmaster.jessy.cc/downloadgoogle/webinstall.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
Fixen lassen kann nicht schaden :)
 
Einige Erläuterungen zu den Einträgen:

*STIMON.EXE: Gehört zu Windows:
http://support.microsoft.com/?kbid=257815
*Launcher.exe: Ist ein Agent von Webshots.com, der über neue Downloads auf Webshots.com informiert
*C:\WINDOWS\SYSTEM\hpztsb04.exe: Ist das Taskbar-Utility von Hewlett Packard
*Disk_Monitor.exe: Treiber für einen USB Card Reader
*np*.dll: Netscape Browserplugins (npqtplugin.dll = Apple QuickTime)
*RAMPAGE.EXE: Freeware zum Überwachen des RAM Speichers
 
Hi!

Vielen Dank für eure Hilfe! Habe

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - h**p://membersites.namezero.com/webmaster.jessy.cc/downloadgoogle/webinstall.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - h**p://www.webshots.com/samplers/WSDownloader.ocx

fixen lassen und das Attachment behalten, für eventuelle rechtliche Schritte. Ich hoffe mal, der ganze Scheiß hat sich jetzt erledigt. :evil:
 
Tja auch mich, (bzw. meinen Laptop) hat es jetzt erwischt.

Da ich momentan keinen Zugang zum internet via DSL und Firewall habe, hab ich es via Modem versucht. Boing Antivir schlug zu, nachdem ich irgendwie nicht ins Netz kam... Logo nach ner weile wurde mir klar wieso...

CWS.SMARTSEARCH.2 wurde geladen....
Trojaner: dlr.dyfuca.dm
und der Internetexplorer wollte dann noch Sexplorer.it öffnen
und im TempVerz. wurde der installer.exe abgelegt.

Mit CWSHREDDER und Adaware SE und Spybot dann (topaktuell) alles gecleant und via Netzwerk nun alles OK.

Hijackthis fand dann noch die TBA.EXE die ich löschte und schon war der letzte kinken weg. Zumindest via LAN Zugang ins Internet über Proxi

Na dann für zu Hause noch mal Modemzugang versucht.
SCHWUPPS war wieder alles da.
Hat noch jemand ne Idee WAS da noch aktiv ist, was ich übersehe?

gefundene Googleseiten habe ich auch schon durchstöbert.

Hier als Anhang noch mein Hijacklog.....

Irgendne Idee??

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
und
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

Ist mir suspekt. Einen Epson Drucker habe und hatte ich nie....
 

Anhänge

  • hijackthis_209.log
    2,4 KB · Aufrufe: 217
Ja das Winlogd hatte ich auch schon eliminiert und ist wieder zurückgekommen. Nur WIE bekomme ich den nun weg....
ohne Sophos zu kaufen....

ich werd mir das nochmal zu gemüte führen....
 
Code: 
C:\WINNT\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
Wenn Du keinen SiS Grafikkartentreiber installiert hast, kann das ein Trojaner sein :)

Code: 
O4 - HKCU\..\Run: [Windows logging] winlogd.exe
Das klingt mir ganz nach W32/Rbot-ON :)

Code: 
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Die koennten von Spybot S&D stammen, aber man kann ja mal probieren ;)

Achja, Rechner neustarten und in den abgesicherten Modus booten. Dann die Eintraege von HJT fixen lassen, die Exe ggf. loeschen und nochmal normal booten.

Allerdings wundere ich mich... hast Du keine aktuelle und ordnungsgemaess konfigurierte Malware-Abwehr in Stellung?
Panda haut auf solche Viecher immer gleich mit dem Hammer drauf, schneller als ich gucken kann ;)
 
Hi IT-Schrauber.

zu 1.: Ja ist ein SIS Treiber, da Laptop mit SIS Board

zu 2.: Ja der ist es.

zu 3.: Auch das ist Spybot

zu 4.: Zu meiner Schande... ich habe das nicht, da ich bisher alles hinter einer Firewall hatte. Wie geschrieben, Hardwarefirewall ist wegen umzug nicht in Betrieb und "nur mal eben schnell" mit Modem ins Netz und schon ist es da.


Den Wurm habe ich gelöscht und vielleicht auch endgültig... aber das bemerke ich heute, wenn ich das Modem nochmal anwerfe ;)

Der Rbot-On Hinweis war im Internet sehr ergiebig....
 
Zurück
Oben