# Hijack - Ergebnis



## Anonymous (21 November 2004)

Hi,

ich habe mit Hijack den PC gescannt und das Ergebnis als Attachment beigefügt.
Wäre nett, wenn mir jemand was bezüglich nem Hacker oder sowas sagen könnte.


----------



## Counselor (21 November 2004)

Das scheint ein Dialer zu sein:

```
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m
```
Und das ist ein Toolbar, der offensichtlich manchmal die Sitzung übernimmt:

```
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
```


----------



## IT-Schrauber (22 November 2004)

```
C:\PROGRAMME\RAMPAGE\RAMPAGE.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\EIGENE DATEIEN\MICHAEL\DISK_MONITOR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\WEBSHOTS\WEBSHOTS.SCR
```

Die kommen mir alle etwas fischig vor... Sicher, daß Du die entsprechenden Programme willentlich installiert hast? Insbesondere der webshots.scr kommt mir verdaechtig vor 


```
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
```
Fixen lassen, ist ein Hijacker (DNS-Hijack)


```
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk 99\register.exe
O4 - HKLM\..\Run: [RAMpage] "C:\Programme\RAMpage\RAMpage.exe" M=50 T=32 P="C:\Programme\RAMpage\RAMpageConfig.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Eigene Dateien\Michael\Disk_Monitor.exe
```

Auch hier wieder die Frage: Was davon hast Du willentlich installiert? 


```
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
```
Fixen lassen, gehoert zum obigen DNS-Hijacker


```
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m
```
Dialer... Fixen lassen, falls unerwuenscht 


```
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
```
Willentlich installiertes Programm? Ansonsten fixen lassen.


```
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
```
Fixen lassen, gehoert auch zum DNS-Hijacker


```
O12 - Plugin for .hpb: C:\PROGRA~1\INTERN~1\PLUGINS\nphpipb.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
```
Diese Plugins kommen mir auch seltsam vor, koennten aber evtl. zum Norton gehoeren?


```
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://membersites.namezero.com/webmaster.jessy.cc/downloadgoogle/webinstall.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
```
Fixen lassen kann nicht schaden


----------



## Counselor (22 November 2004)

Einige Erläuterungen zu den Einträgen:

*STIMON.EXE: Gehört zu Windows:
http://support.microsoft.com/?kbid=257815
*Launcher.exe: Ist ein Agent von Webshots.com, der über neue Downloads auf Webshots.com informiert
*C:\WINDOWS\SYSTEM\hpztsb04.exe: Ist das Taskbar-Utility von Hewlett Packard
*Disk_Monitor.exe: Treiber für einen USB Card Reader
*np*.dll: Netscape Browserplugins (npqtplugin.dll = Apple QuickTime)
*RAMPAGE.EXE: Freeware zum Überwachen des RAM Speichers


----------



## Anonymous (22 November 2004)

Hi!

Vielen Dank für eure Hilfe! Habe 

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll 

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s 

O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m 

O10 - Hijacked Internet access by New.Net 
O10 - Hijacked Internet access by New.Net 
O10 - Hijacked Internet access by New.Net 
O10 - Hijacked Internet access by New.Net 
O10 - Hijacked Internet access by New.Net

O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - h**p://membersites.namezero.com/webmaster.jessy.cc/downloadgoogle/webinstall.cab 
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - h**p://www.webshots.com/samplers/WSDownloader.ocx 

fixen lassen und das Attachment behalten, für eventuelle rechtliche Schritte. Ich hoffe mal, der ganze Scheiß hat sich jetzt erledigt.  :evil:


----------



## BenTigger (22 November 2004)

Tja auch mich, (bzw. meinen Laptop) hat es jetzt erwischt.

Da ich momentan keinen Zugang zum internet via DSL und Firewall habe, hab ich es via Modem versucht. Boing Antivir schlug zu, nachdem ich irgendwie nicht ins Netz kam... Logo nach ner weile wurde mir klar wieso...

CWS.SMARTSEARCH.2 wurde geladen....
Trojaner: dlr.dyfuca.dm
und der Internetexplorer wollte dann noch Sexplorer.it öffnen
und im TempVerz. wurde der installer.exe abgelegt.

Mit CWSHREDDER und Adaware SE und Spybot dann (topaktuell) alles gecleant und via Netzwerk nun alles OK.

Hijackthis fand dann noch die TBA.EXE  die ich löschte und schon war der letzte kinken weg. Zumindest via LAN Zugang ins Internet über Proxi

Na dann für zu Hause noch mal Modemzugang versucht.
SCHWUPPS war wieder alles da. 
Hat noch jemand ne Idee WAS da noch aktiv ist, was ich übersehe?

gefundene Googleseiten habe ich auch schon durchstöbert.

Hier als Anhang noch mein Hijacklog.....

Irgendne Idee??

O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
und
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

Ist mir suspekt.  Einen Epson Drucker habe und hatte ich nie....


----------



## virenscanner (22 November 2004)

http://www.sophos.de/virusinfo/analyses/w32rboton.html


----------



## BenTigger (22 November 2004)

Hi VS,

falls ich mit dem Link gemeint bin, ich habe kein Sophos..... und nu?


----------



## virenscanner (22 November 2004)

Hast Du die Beschreibung gelesen?

Es geht um W32/Rbot-ON.


----------



## BenTigger (22 November 2004)

Ja das Winlogd hatte ich auch schon eliminiert und ist wieder zurückgekommen. Nur WIE bekomme ich den nun weg.... 
ohne Sophos zu kaufen....

ich werd mir das nochmal zu gemüte führen....


----------



## IT-Schrauber (22 November 2004)

```
C:\WINNT\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
```
Wenn Du keinen SiS Grafikkartentreiber installiert hast, kann das ein Trojaner sein 


```
O4 - HKCU\..\Run: [Windows logging] winlogd.exe
```
Das klingt mir ganz nach W32/Rbot-ON 


```
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
```

Die koennten von Spybot S&D stammen, aber man kann ja mal probieren 

Achja, Rechner neustarten und in den abgesicherten Modus booten. Dann die Eintraege von HJT fixen lassen, die Exe ggf. loeschen und nochmal normal booten.

Allerdings wundere ich mich... hast Du keine aktuelle und ordnungsgemaess konfigurierte Malware-Abwehr in Stellung?
Panda haut auf solche Viecher immer gleich mit dem Hammer drauf, schneller als ich gucken kann


----------



## BenTigger (23 November 2004)

Hi IT-Schrauber.

zu 1.: Ja ist ein SIS Treiber, da Laptop mit SIS Board

zu 2.: Ja der ist es.

zu 3.: Auch das ist Spybot

zu 4.: Zu meiner Schande... ich habe das nicht, da ich bisher alles hinter einer Firewall hatte. Wie geschrieben, Hardwarefirewall ist wegen umzug nicht in Betrieb und "nur mal eben schnell" mit Modem ins Netz und schon ist es da.


Den Wurm habe ich gelöscht und vielleicht auch endgültig... aber das bemerke ich heute, wenn ich das Modem nochmal anwerfe 

Der Rbot-On Hinweis war im Internet sehr  ergiebig....


----------



## Devilfrank (23 November 2004)

...und schön die TemporaryInternetFiles im abgesicherten Modus löschen.
Temp-Ordner nicht vergessen...


----------

