You are not logged in.

  • Login

1

Friday, May 21st 2004, 6:52pm

störendes programm

hallo zusammen,

mich quält ein paar tagen ein programm namens Iam.shacknet.nu welches sich immer ins i-net einwählen will ("iam.shacknet.nu"hat verbindung angefordert...") das problem ist nun, dass weder spybot noch ad aware was finden kann, was kann das sein und wie werde ich das ding wieder los?

Posts: 3,593

Location: Hornstein

Occupation: AUT

  • Send private message

2

Friday, May 21st 2004, 6:58pm

Was sagt der Virenscanner deines Vertrauens dazu?

3

Friday, May 21st 2004, 7:22pm

nix gefunden - google spuckt auch nix aus - alles mysteriös. :(

4

Friday, May 21st 2004, 7:35pm

CWShredder und Hjackthis probiert ?

die seite hier ist auch gut,lass mal drüberlaufen

http://housecall.trendmicro.com/housecall/start_corp.asp

5

Friday, May 21st 2004, 7:46pm

jo hijackthis kannte ich noch nicht - allerdings bin ich aus dem ergebnis nicht recht schlau geworden... also tu ich mal das was dort empfohlen wurde und poste das logfile und zeige es knowledgeable people ;)

Logfile of HijackThis v1.97.7
Scan saved at 19:45:25, on 21.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\z-defrag\Z-defrag.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSI\PC Alert III\alert.exe
C:\Programme\iOpus-AC-Plug\acplug.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ\Icq.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\winme\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mastersgames.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Z-defragRAM] C:\Programme\z-defrag\Z-defrag.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: 42 AC Plug.lnk = C:\Programme\iOpus-AC-Plug\acplug.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PC Alert III.lnk = C:\Programme\MSI\PC Alert III\alert.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/20040…all/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CA…7863.4901967593
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sho…ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9E0C354-1932-4E01-81F9-96AD13BB0CB1}: NameServer = 217.237.151.97 194.25.2.129

kann damit einer was anfangen?

6

Friday, May 21st 2004, 8:06pm

hmmm,probier mal die seite in meinem posting. sehe jetzt auf anhieb nichts böses. die googletoolbars find ich nicht nett aber ist ja deine sache :p

8

Friday, May 21st 2004, 8:10pm

lol,auf sophos war ich dann auch gerade :D also dann nimm definitiv die seite oben in meinem posting. damit solltest du ihn finden und vernichten. die seite hat bei mir sachen gefunden die kein virenscanner gefunden hat. nochmal ein danke an Slo für den link.

9

Friday, May 21st 2004, 8:12pm

jo - hat tapfer meine platte durchsucht - die gute nachricht ein virus scheints nicht zu sein, aber was es sonst ist, ist mir auch nicht klar.
aber danke erst mal für die schnelle hilfe, wenn ihr zufällig was entdeckt ich bin dankbar für jede anregung :)

10

Friday, May 21st 2004, 9:40pm

guck doch mal den link von Cortes,is schon ein virus.

11

Friday, May 21st 2004, 11:32pm

hm - woran siehst du das? hab zumindest in dme viren-lexikon da nix gefunden ...

12

Saturday, May 22nd 2004, 1:28am

bisu blind?

Quoted

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/RBot-A in die Datei wuamgrd.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Update = wuamgrd.exe

HKU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe

HKU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Microsoft Update = wuamgrd.exe

Der Wurm erstellt außerdem die Protokolldatei \debug.txt.



diese datei ist in deinem taskmanager....

13

Saturday, May 22nd 2004, 2:47am

oh - vielen dank :D

na das hilft mir schon weiter, verstehe nur nicht warum es die scanner nicht erkannten...

aber vielen dank schonmal !