waol.exe (backdoor.trojan), wer kann helfen ??? Einstellungen

[Gast_Mommel_*]

Klick mal unter dem Chat auf das Feld "Infos". Vielleicht klappt es ja..

[Grinko]

Kommen wir auf das Thema zurück.
Lade dir Hijackthis (Direktdownload) herunter und klicke auf Scan.
Dann klickst du auf Save log.
Den speicherst du irgendwo. Der Editor öffnet sich.
Alles was im editor steht (Logfile of HijackThis Blabla..) veröffetnlichst du hier.

Wir schreiben ein paar sachen davon raus.
Du gehst wieder auf Scan, markierst die genannten und klickst auf Fix.

[newman]

Logfile of HijackThis v1.97.7
Scan saved at 23:12:20, on 05.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\editpad.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\LR-EUROPE-TEAM\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
O1 - Hosts: 64.237.53.4 ad.doubleclick.net
O1 - Hosts: 64.237.53.4 aff.weatherbug.com
O1 - Hosts: 209.87.155.230 date.com
O1 - Hosts: 64.237.53.4 doubleclick.net
O1 - Hosts: 64.237.53.4 my.search
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [quicken] C:\WINDOWS\waol.exe
O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Free Software - C:\Programme\Cool Web Scrollbars\hh.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...tor/sw-intl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/26617590d0819f215921/...RdxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43032A90-1F41-4F7B-B522-AD7456228329}: NameServer = 62.225.252.16 194.25.2.129

[Gast_INT 3_*]

[quicken] C:\WINDOWS\waol.exe
[editpad] C:\WINDOWS\editpad.exe

Backdoor SDBot

[Grinko]

Kenn ich nicht:
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
Nicht fixen, bis wir nicht wissen was es ist!

Brauchst du nicht (fixen):
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe >RealPlayer, kannst du auch in den Optionen abstellen
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O1 - Hosts: 64.237.53.4 ad.doubleclick.net
O1 - Hosts: 64.237.53.4 aff.weatherbug.com
O1 - Hosts: 209.87.155.230 date.com
O1 - Hosts: 64.237.53.4 doubleclick.net
O1 - Hosts: 64.237.53.4 my.search

Schädlich (unbedingt fixen):
C:\WINDOWS\editpad.exe rojaner, infos hier (englisch)
O4 - HKCU\..\Run: [quicken] C:\WINDOWS\waol.exe
O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe

Der Beitrag wurde von Grinko bearbeitet: 05.02.2004, 23:20

[newman]

ich frag viellicht blöd -was soll ich jetzt genau machen ? hab angst etwas falsches zu löschen

[Grinko]

Den letzten absatz meines Posts unbedingt.
Im Taskmanager editpad.exe beenden (wie du waol beendet hast)
Anschjließend start>suchen> zuerst waol.exe und dann editpad.exe>löschen>papierkorb leeren

[newman]

habs im taskmanager beendet.

start-suchen-woal gefunden, kannst aber nicht löschen. erhalte meldung : die quelldatei oder vom Quelldatenträger kann nicht gelesen werden.

oder muss ich vorher die 2 markeiren und fix-checked drücken ?

[Gast_Mommel_*]

Kenn ich nicht:
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
Nicht fixen, bis wir nicht wissen was es ist!

Vielleicht gehört es zum Drucker, er hat ja wohl einen Lexmark. Aber es sollte doch ohne diesen Eintrag gehen..

[Grinko]

oder muss ich vorher die 2 markeiren und fix-checked drücken ?

JA!

Dann machst du einen Neustart.
EDIT: Evntl. Abgesicherter Modus:
Wärend dem PC-Statrt F8 gedrückt halten. Du kommst in ein Menü.
Wähle Abgesicherter Modus mit Netzwerktreibern.
Dann fürst du einen Trendmicro ONLINESCAN durch.
Beim Laufwerke auswählen "Säubern" rechts aktivieren.

Er wird editpad und waol finden. Die lässt du löschen.

Der Beitrag wurde von Grinko bearbeitet: 05.02.2004, 23:34

[newman]

ich mach einen neustart und melde das ergebnis, bis gleich

[Grinko]

EDIT:
Der Link war englisch. Hier der deutsche Onlinescan

[newman]

VIELEN DANK- BESONDERS AN DICH Grinko

!!!!!!! IHR SEID DIE BESTEN !!!!!!!

Bis jetzt sieht es super aus. der ist weg glaube ich....im abgesicherten modus konnte ich nicht online gehen... bin normal gestartet und führe online scan durch, sogar auf englisch, da stand irgendwas mit language hab draufgeklickt, da kam die deutsche version.

noch scannt der. aber was mich wundert, das trotz NAV und internetsecurity2004 so was passieren kann.

was würdet ihr vorschlagen un so etwas in zukunft zu vermeiden ?

[Gast_Mommel_*]

Ich bin mir sicher, daß ich nicht alles aufzählen werde, denn so fit (gähn) bin ich auch nicht mehr. aber die anderen werden schon noch nachhelfen.
Als erstes solltest du evtl. auf alternative Browser bzw. Mailprogramme umsteigen. IE und OE sind nicht gerade für ihre Sicherheit bekannt.
Alternativen wären Mozilla, Opera o.ä.

Dann solltest du dein System so weit wie möglich absichern, ohne unbedingt auf eine PFW angewiesen zu sein. Eine Anleitung für XP Pro findest du unter den Links z.B. hier:
http://www.rokop-security.de/board/index.php?showtopic=1910

Weiterhin solltest du dir ein gutes AV-Programm besorgen. Im Moment läuft bei Rokop auch eine Testreihe, vielleicht solltest du deren Ende abwarten und dich dann entscheiden.
Selbstverständlich solltest du alle Microsoft-Patches einspielen...

[newman]

danke, ich sollte mich wirklich mal ins thema reinlesen, bis jetzt dachte ich mit NAV kann mir nichts passieren, das trifft immer nur die anderen, denkste !

ich werde das forum von a-z durchlesen. ich hätte nie gedacht das innerhalb 1-2 stunden das problem gelöst wird - danke nochmal.

eine bitte noch an euch alle: würde mich freuen wenn ihr zu den noch unbekannten auch was sagt sobald ihr es wisst.

*************************************
Kenn ich nicht:
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
Nicht fixen, bis wir nicht wissen was es ist!
**************************************

[Rokop]

Diese Dateien gehören eindeutig zu Lexmark

[newman]

gut zu wissen.

könnte man in etwa sagen wie ich zu "walo.exe" komme oder kann das 1000 gründe haben ?

wäre interessant zu wissen um das in zukunft soweit es geht zu vermeiden.

[Remover]

Koennte es sich um diese Malware gehandelt haben ?:
http://uk.trendmicro-europe.com/enterprise...e=TROJ_CONSPY.C

SDBOT ist doch gleich Spybot, der hat meist andere Eintraege
und kommt ueber Kazaa oder huckepack mit Dumaru.Z
Glaube aber eher an oberen Trojaner bei dir...

[Grinko]

Da gibst viele Möglichkeiten.
Die warscheinlichste ist per E-Mail, wenn du unbekannte Anhänge öffnest.
Also NIE Anhänge öffnen, die man nicht erwartet und auf einen sicheren E-Mail Client umsteigen.

Noch eine, wenn man auf unseriöse Seiten mit dem IE geht, die können verdeckt Trojaner instrallieren> Sicheren Browser verwenden.

Ausserdem solltest du unbenötigte Dienste deaktivieren (Ports schließen), Anleitungen gibts dutzende im Netz.

Und Filesharing, also immer aufpasen was man zieht!

Achja: Tools die du vielleicht brauchst:
Opera Browser mit E-MailClient M2 und Mozilla Downloadseite .
Weiters Ad-Aware Direktdownload (ein Spyware-Löscher) und Spybot. Ale Scanner immer auf dem neuesten Stand halten!

Der Beitrag wurde von Grinko bearbeitet: 06.02.2004, 08:57

[Grinko]

Koennte es sich um diese Malware gehandelt haben ?:
http://uk.trendmicro-europe.com/enterprise...e=TROJ_CONSPY.C

SDBOT ist doch gleich Spybot, der hat meist andere Eintraege
und kommt ueber Kazaa oder huckepack mit Dumaru.Z
Glaube aber eher an oberen Trojaner bei dir...

Den Link hab ich schon auf Seite 2 verlinkt!