waol.exe (backdoor.trojan), wer kann helfen ??? |
Willkommen, Gast ( Anmelden | Registrierung )
waol.exe (backdoor.trojan), wer kann helfen ??? |
Gast_Mommel_* |
05.02.2004, 23:05
Beitrag
#21
|
Gäste |
Klick mal unter dem Chat auf das Feld "Infos". Vielleicht klappt es ja..
|
|
|
05.02.2004, 23:10
Beitrag
#22
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 728 Mitglied seit: 08.01.2004 Wohnort: Austria Mitglieds-Nr.: 322 Betriebssystem: Vista32 Business Virenscanner: NOD32 Firewall: Vista |
Kommen wir auf das Thema zurück.
Lade dir Hijackthis (Direktdownload) herunter und klicke auf Scan. Dann klickst du auf Save log. Den speicherst du irgendwo. Der Editor öffnet sich. Alles was im editor steht (Logfile of HijackThis Blabla..) veröffetnlichst du hier. Wir schreiben ein paar sachen davon raus. Du gehst wieder auf Scan, markierst die genannten und klickst auf Fix. -------------------- What gets us into trouble is not what we don't know
It's what we know for sure that just ain't so Mark Twain Reagiere auf keine Art der Gewalt. Lasse sie abtropfen. Lenke sie dahin, wo sie keinen Schaden anrichten kann. |
|
|
05.02.2004, 23:13
Beitrag
#23
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 05.02.2004 Mitglieds-Nr.: 401 |
Logfile of HijackThis v1.97.7
Scan saved at 23:12:20, on 05.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\editpad.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\LR-EUROPE-TEAM\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php O1 - Hosts: 64.237.53.4 ad.doubleclick.net O1 - Hosts: 64.237.53.4 aff.weatherbug.com O1 - Hosts: 209.87.155.230 date.com O1 - Hosts: 64.237.53.4 doubleclick.net O1 - Hosts: 64.237.53.4 my.search O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [quicken] C:\WINDOWS\waol.exe O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Free Software - C:\Programme\Cool Web Scrollbars\hh.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...tor/sw-intl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/26617590d0819f215921/...RdxIE601_de.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{43032A90-1F41-4F7B-B522-AD7456228329}: NameServer = 62.225.252.16 194.25.2.129 |
|
|
Gast_INT 3_* |
05.02.2004, 23:17
Beitrag
#24
|
Gäste |
[quicken] C:\WINDOWS\waol.exe
[editpad] C:\WINDOWS\editpad.exe Backdoor SDBot |
|
|
05.02.2004, 23:17
Beitrag
#25
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 728 Mitglied seit: 08.01.2004 Wohnort: Austria Mitglieds-Nr.: 322 Betriebssystem: Vista32 Business Virenscanner: NOD32 Firewall: Vista |
Kenn ich nicht:
C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE Nicht fixen, bis wir nicht wissen was es ist! Brauchst du nicht (fixen): C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe >RealPlayer, kannst du auch in den Optionen abstellen O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O1 - Hosts: 64.237.53.4 ad.doubleclick.net O1 - Hosts: 64.237.53.4 aff.weatherbug.com O1 - Hosts: 209.87.155.230 date.com O1 - Hosts: 64.237.53.4 doubleclick.net O1 - Hosts: 64.237.53.4 my.search Schädlich (unbedingt fixen): C:\WINDOWS\editpad.exe rojaner, infos hier (englisch) O4 - HKCU\..\Run: [quicken] C:\WINDOWS\waol.exe O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe Der Beitrag wurde von Grinko bearbeitet: 05.02.2004, 23:20 -------------------- What gets us into trouble is not what we don't know
It's what we know for sure that just ain't so Mark Twain Reagiere auf keine Art der Gewalt. Lasse sie abtropfen. Lenke sie dahin, wo sie keinen Schaden anrichten kann. |
|
|
05.02.2004, 23:19
Beitrag
#26
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 05.02.2004 Mitglieds-Nr.: 401 |
ich frag viellicht blöd -was soll ich jetzt genau machen ? hab angst etwas falsches zu löschen
|
|
|
05.02.2004, 23:21
Beitrag
#27
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 728 Mitglied seit: 08.01.2004 Wohnort: Austria Mitglieds-Nr.: 322 Betriebssystem: Vista32 Business Virenscanner: NOD32 Firewall: Vista |
Den letzten absatz meines Posts unbedingt.
Im Taskmanager editpad.exe beenden (wie du waol beendet hast) Anschjließend start>suchen> zuerst waol.exe und dann editpad.exe>löschen>papierkorb leeren -------------------- What gets us into trouble is not what we don't know
It's what we know for sure that just ain't so Mark Twain Reagiere auf keine Art der Gewalt. Lasse sie abtropfen. Lenke sie dahin, wo sie keinen Schaden anrichten kann. |
|
|
05.02.2004, 23:25
Beitrag
#28
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 05.02.2004 Mitglieds-Nr.: 401 |
habs im taskmanager beendet.
start-suchen-woal gefunden, kannst aber nicht löschen. erhalte meldung : die quelldatei oder vom Quelldatenträger kann nicht gelesen werden. oder muss ich vorher die 2 markeiren und fix-checked drücken ? |
|
|
Gast_Mommel_* |
05.02.2004, 23:27
Beitrag
#29
|
Gäste |
QUOTE(Grinko @ 5. Februar 2004, 23:16) Kenn ich nicht: C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE Nicht fixen, bis wir nicht wissen was es ist! Vielleicht gehört es zum Drucker, er hat ja wohl einen Lexmark. Aber es sollte doch ohne diesen Eintrag gehen.. |
|
|
05.02.2004, 23:32
Beitrag
#30
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 728 Mitglied seit: 08.01.2004 Wohnort: Austria Mitglieds-Nr.: 322 Betriebssystem: Vista32 Business Virenscanner: NOD32 Firewall: Vista |
QUOTE(newman @ 5. Februar 2004, 23:24) oder muss ich vorher die 2 markeiren und fix-checked drücken ? JA! Dann machst du einen Neustart. EDIT: Evntl. Abgesicherter Modus: Wärend dem PC-Statrt F8 gedrückt halten. Du kommst in ein Menü. Wähle Abgesicherter Modus mit Netzwerktreibern. Dann fürst du einen Trendmicro ONLINESCAN durch. Beim Laufwerke auswählen "Säubern" rechts aktivieren. Er wird editpad und waol finden. Die lässt du löschen. Der Beitrag wurde von Grinko bearbeitet: 05.02.2004, 23:34 -------------------- What gets us into trouble is not what we don't know
It's what we know for sure that just ain't so Mark Twain Reagiere auf keine Art der Gewalt. Lasse sie abtropfen. Lenke sie dahin, wo sie keinen Schaden anrichten kann. |
|
|
05.02.2004, 23:35
Beitrag
#31
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 05.02.2004 Mitglieds-Nr.: 401 |
ich mach einen neustart und melde das ergebnis, bis gleich
|
|
|
05.02.2004, 23:44
Beitrag
#32
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 728 Mitglied seit: 08.01.2004 Wohnort: Austria Mitglieds-Nr.: 322 Betriebssystem: Vista32 Business Virenscanner: NOD32 Firewall: Vista |
EDIT:
Der Link war englisch. Hier der deutsche Onlinescan -------------------- What gets us into trouble is not what we don't know
It's what we know for sure that just ain't so Mark Twain Reagiere auf keine Art der Gewalt. Lasse sie abtropfen. Lenke sie dahin, wo sie keinen Schaden anrichten kann. |
|
|
06.02.2004, 00:02
Beitrag
#33
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 05.02.2004 Mitglieds-Nr.: 401 |
VIELEN DANK- BESONDERS AN DICH Grinko
!!!!!!! IHR SEID DIE BESTEN !!!!!!! Bis jetzt sieht es super aus. der ist weg glaube ich....im abgesicherten modus konnte ich nicht online gehen... bin normal gestartet und führe online scan durch, sogar auf englisch, da stand irgendwas mit language hab draufgeklickt, da kam die deutsche version. noch scannt der. aber was mich wundert, das trotz NAV und internetsecurity2004 so was passieren kann. was würdet ihr vorschlagen un so etwas in zukunft zu vermeiden ? |
|
|
Gast_Mommel_* |
06.02.2004, 00:12
Beitrag
#34
|
Gäste |
Ich bin mir sicher, daß ich nicht alles aufzählen werde, denn so fit (gähn) bin ich auch nicht mehr. aber die anderen werden schon noch nachhelfen.
Als erstes solltest du evtl. auf alternative Browser bzw. Mailprogramme umsteigen. IE und OE sind nicht gerade für ihre Sicherheit bekannt. Alternativen wären Mozilla, Opera o.ä. Dann solltest du dein System so weit wie möglich absichern, ohne unbedingt auf eine PFW angewiesen zu sein. Eine Anleitung für XP Pro findest du unter den Links z.B. hier: http://www.rokop-security.de/board/index.php?showtopic=1910 Weiterhin solltest du dir ein gutes AV-Programm besorgen. Im Moment läuft bei Rokop auch eine Testreihe, vielleicht solltest du deren Ende abwarten und dich dann entscheiden. Selbstverständlich solltest du alle Microsoft-Patches einspielen... |
|
|
06.02.2004, 00:22
Beitrag
#35
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 05.02.2004 Mitglieds-Nr.: 401 |
danke, ich sollte mich wirklich mal ins thema reinlesen, bis jetzt dachte ich mit NAV kann mir nichts passieren, das trifft immer nur die anderen, denkste !
ich werde das forum von a-z durchlesen. ich hätte nie gedacht das innerhalb 1-2 stunden das problem gelöst wird - danke nochmal. eine bitte noch an euch alle: würde mich freuen wenn ihr zu den noch unbekannten auch was sagt sobald ihr es wisst. ************************************* Kenn ich nicht: C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE Nicht fixen, bis wir nicht wissen was es ist! ************************************** |
|
|
06.02.2004, 00:27
Beitrag
#36
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Diese Dateien gehören eindeutig zu Lexmark
-------------------- (-- Roman --)
|
|
|
06.02.2004, 00:33
Beitrag
#37
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 05.02.2004 Mitglieds-Nr.: 401 |
gut zu wissen.
könnte man in etwa sagen wie ich zu "walo.exe" komme oder kann das 1000 gründe haben ? wäre interessant zu wissen um das in zukunft soweit es geht zu vermeiden. |
|
|
06.02.2004, 08:42
Beitrag
#38
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Koennte es sich um diese Malware gehandelt haben ?:
http://uk.trendmicro-europe.com/enterprise...e=TROJ_CONSPY.C SDBOT ist doch gleich Spybot, der hat meist andere Eintraege und kommt ueber Kazaa oder huckepack mit Dumaru.Z Glaube aber eher an oberen Trojaner bei dir... -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
06.02.2004, 08:56
Beitrag
#39
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 728 Mitglied seit: 08.01.2004 Wohnort: Austria Mitglieds-Nr.: 322 Betriebssystem: Vista32 Business Virenscanner: NOD32 Firewall: Vista |
Da gibst viele Möglichkeiten.
Die warscheinlichste ist per E-Mail, wenn du unbekannte Anhänge öffnest. Also NIE Anhänge öffnen, die man nicht erwartet und auf einen sicheren E-Mail Client umsteigen. Noch eine, wenn man auf unseriöse Seiten mit dem IE geht, die können verdeckt Trojaner instrallieren> Sicheren Browser verwenden. Ausserdem solltest du unbenötigte Dienste deaktivieren (Ports schließen), Anleitungen gibts dutzende im Netz. Und Filesharing, also immer aufpasen was man zieht! Achja: Tools die du vielleicht brauchst: Opera Browser mit E-MailClient M2 und Mozilla Downloadseite . Weiters Ad-Aware Direktdownload (ein Spyware-Löscher) und Spybot. Ale Scanner immer auf dem neuesten Stand halten! Der Beitrag wurde von Grinko bearbeitet: 06.02.2004, 08:57 -------------------- What gets us into trouble is not what we don't know
It's what we know for sure that just ain't so Mark Twain Reagiere auf keine Art der Gewalt. Lasse sie abtropfen. Lenke sie dahin, wo sie keinen Schaden anrichten kann. |
|
|
06.02.2004, 08:59
Beitrag
#40
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 728 Mitglied seit: 08.01.2004 Wohnort: Austria Mitglieds-Nr.: 322 Betriebssystem: Vista32 Business Virenscanner: NOD32 Firewall: Vista |
QUOTE(Remover @ 6. Februar 2004, 08:41) Koennte es sich um diese Malware gehandelt haben ?: http://uk.trendmicro-europe.com/enterprise...e=TROJ_CONSPY.C SDBOT ist doch gleich Spybot, der hat meist andere Eintraege und kommt ueber Kazaa oder huckepack mit Dumaru.Z Glaube aber eher an oberen Trojaner bei dir... Den Link hab ich schon auf Seite 2 verlinkt! -------------------- What gets us into trouble is not what we don't know
It's what we know for sure that just ain't so Mark Twain Reagiere auf keine Art der Gewalt. Lasse sie abtropfen. Lenke sie dahin, wo sie keinen Schaden anrichten kann. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 05.06.2024, 09:39 |