oO"Ne0 BuG Owns Your Computer"

And! · 16.10.2007, 00:00

Hi leute,
habe eben ne datei gesucht, und plötzlich fehlt mir eine merkwürdige textdatei auf..... wie auch immer, ich habe sie gwöffnet, und was stand drinnen??

"Ne0 BuG Owns Your Computer"

oO kommt mir seltsam vor...
ich habe mir hijackthis ein scan gemacht, und der war clean.
was jetzt???

ach du ... ich habe eben mal netstat gemacht, und folgendes gefunden:

by1msg3245806.phx.gbl:1863 HERGESTELLT

daraufhihn, habe ich geschaut, was das für ein port ist:

1863 TCP msnp MSNP Backdoor.Kaitex.e

????

ReinMan · 16.10.2007, 08:11

Das ist ein Backdoortrojaner der durch Öffnen verschiedener Dateien infiziert wird. Poste mal bitte den Hijackthis-Logfile hier ins Forum.

Lade dir am besten Adaware und scanne damit deinen Rechner gründlich. Dann scannst du mit Spybot search and Destroy nochmal nach. Was hast du für ein Antivirenprogramm??

Spybot: http://www.chip.de/downloads/c1_downloads_13001443.html

Adaware: http://www.chip.de/downloads/c1_downloads_13000824.html

And! · 16.10.2007, 12:05

morgen,
ich habe antivir (die free edition)

die scans werde ich gleich machen

hier der hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 13:07:02, on 16.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\My Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nexon.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtim e.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NexonPlug] C:\Nexon\NexonPlug\NexonPlug.exe
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j5261239.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

vielen dank für deine hilfe!
ich melde mich, wenn ich die beiden scans durchgeführt habe!

mfg

ReinMan · 16.10.2007, 12:08

O4 - HKCU\..\Run: [NexonPlug] C:\Nexon\NexonPlug\NexonPlug.exe

O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j5261239.exe (file missing)

Was sind das beide für Anwendungen? wenn du das nicht weißt lade diese beiden Anwendungen mal auf www.virustotal.com hoch und lasse sie auswerten.

Sag was der Scan ergeben hat

And! · 16.10.2007, 12:29

der scan, scant geade.
das eine ist ein plugin, für ein spiel, das andere werde ich jetzt mal bei virustotal scannen...

And! · 16.10.2007, 12:34

interessanter weise, gibt es diese datei nicht:

O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j5261239.exe (file missing)

soll ich sie fixen?

ReinMan · 16.10.2007, 12:48

Ja fixxe sie am besten.

Und schon was neues herausgefunden ?? befindet der Virus sich noch bei dir auf deinem Rechner ??

And! · 16.10.2007, 13:05

das programm hat einiges gefunden:

ReinMan · 16.10.2007, 13:12

Das obere wird der Backdoor sein. Lösche die ganzen Einträge und sag uns was Adaware noch gefunden hat. Dann scann nochmal komplett mit Avira dein System durch. Dann solltest du befreit sein.

And! · 16.10.2007, 13:37

ich habe das gefühl, das mir immoment ein amerikaner zuschaut....

netstat ergebniss:
TCP ...:2887 205.188.8.205:5190 HERGESTELLT
TCP ...:2903 205.188.13.36:5190 HERGESTELLT

beschreibung von port 5190:

aol 5190/tcp # AmericaOnline

kann ich nicht irgendwie, den fux zurückverfolgen.....?

Sie betrachten gerade: oO"Ne0 BuG Owns Your Computer"

ne0 bug owns your computer