antivirus.startpagina.nl

Backdoor-G-1

  • Anonymous avatar

    Coccolina

    Hallo allemaal,

    Hier weer the results of Italia,

    Vanmorgen verdween ineens de gehele icoon van Norton Int. Sec. 2005 onderaan mijn balk!!! Ik heb daarna gekeken bij de statistieken van de verbindingen en zag dit;

    28/10/2005 10.23.45,Utente

    GolD,localhost,1025,localhost,1241,0,185,0:00:21.000,“Connessione: localhost: 1241 a localhost: 1025, 0 byte inviati, 185 byte ricevuti, 21.000 tempo trascorso”

    28/10/2005 10.23.45,Utente GolD,localhost,1025,localhost,Backdoor-g-1(1243),0,185,0:00:21.000,“Connessione: localhost: Backdoor-g-1(1243) a localhost: 1025, 0 byte inviati, 185 byte ricevuti, 21.000 tempo trascorso”

    28/10/2005 10.23.45,Utente GolD,localhost,Backdoor-g-1(1243),localhost,1025,0,0,0:00:00.000,“Connessione reindirizzata: localhost: 1025 da localhost: Backdoor-g-1(1243), 0 byte inviati, 0 byte ricevuti, 0.000 tempo trascorso”

    Net daarvoor was spontaan de verbinding verbroken, en tijdens het laden van mijn post ondekte ik dit probleem!

    Daarna alles laten scannen. mijn updates worden sowieso om de paar dagen gecontroleerd, ben helemaal up to date dus!

    Norton vindt helemaal niets, evenals microsoft antispyware!

    Ik kan hierover eigenlijk niet veel vinden als een paar sites in het Duits.

    Weten iemand wat dit is, en wat voor gevaar ik loop? Ik ben tot nu toe niets vreemds gemerkt maar ik weet ook niet of het tijd heeft gehad om zich te installeren op mijn computer. Kan ik dit uberhaupt ergens aan zien???

    Alvast bedankt !!!

    Coccolina

  • Anonymous avatar

    Coccolina

    Hier mijn log!

    Trouwens na het opnieuw opstarten vanmorgen, doet Norton het weer normaal als anders!!

    Logfile of HijackThis v1.99.1

    Scan saved at 14.26.01, on 28/10/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Programmi\File comuni\Symantec Shared\ccProxy.exe

    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

    C:\Programmi\Norton Internet Security\ISSVC.exe

    C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

    C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe

    C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

    C:\WINDOWS\System32\PAStiSvc.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

    C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Programmi\Analog Devices\SoundMAX\SMTray.exe

    C:\WINDOWS\system32\rundll32.exe

    C:\Programmi\File comuni\Symantec Shared\ccApp.exe

    C:\Programmi\Microsoft AntiSpyware\gcasServ.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Programmi\Motorola\Motorola Modello GPRS\GPRSManager.exe

    C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe

    C:\Programmi\Internet Explorer\iexplore.exe

    C:\Programmi\File comuni\Symantec Shared\AdBlocking\NSMdtr.exe

    C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE

    C:\WINDOWS\Explorer.EXE

    C:\Documents and Settings\Utente GolD\Documenti\File ricevuti\hijackthis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll

    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O4 - HKLM\..\Run: Ati2mdxx.exe

    O4 - HKLM\..\Run: C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: C:\Programmi\Analog Devices\SoundMAX\SMTray.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: %SystemRoot%\system32\mobsync.exe /logon

    O4 - HKLM\..\Run: rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

    O4 - HKLM\..\Run: “C:\Programmi\File comuni\Symantec Shared\ccApp.exe”

    O4 - HKLM\..\Run: C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

    O4 - HKLM\..\Run: “C:\Programmi\Microsoft AntiSpyware\gcasServ.exe”

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O4 - Startup: Motorola Modello GPRS.lnk = C:\Programmi\Motorola\Motorola Modello GPRS\GPRSManager.exe

    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it

    O15 - Trusted Zone: http://office.microsoft.com

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126610148593

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130318428703

    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab

    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{4AEDACB6-CF21-4101-B9E9-95B240E554E3}: NameServer = 212.245.255.2 212.141.84.12

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~2\msgrapp.dll” (file missing)

    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe

    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe

    O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

  • Anonymous avatar

    killerbee

    Log is ook schoon…..

    Om zeker te zijn dat er geen verborgen bestanden mee opstarten voer ook het volgende uit.

    Kopieer onderstaande tekst in kladblok en sla het op op je bureaublad als findjobs.bat met als type alle bestanden.

    dir c:\windows\tasks\ /a h > files.txt

    notepad files.txt

    Dubbelklik op findjobs.bat op je bureaublad en plaats hier even de tekst die staat in het bestandje dat gemaakt wordt.

    suc6

  • Anonymous avatar

    Coccolina

    Ik hoop maar dat ik het goed heb gedaan!!!! Ik heb ook alle scans gedaan die jullie adviseren en het enige wat hij vindt is een cookie…

    Il volume nell'unit… C non ha etichetta.

    Numero di serie del volume: 742C-786F

    Directory di c:\windows\tasks

    27/10/2005 11.54 .

    27/10/2005 11.54 ..

    08/04/2003 14.00 65 desktop.ini

    14/10/2005 16.49 592 Norton AntiVirus - Scansione del computer - Utente GolD.job

    28/10/2005 11.06 6 SA.DAT

    28/10/2005 12.26 360 Symantec NetDetect.job

    28/10/2005 12.02 270 Windows Update.job

    5 File 1.293 byte

    Directory di C:\Documents and Settings\Utente GolD\Desktop

  • Anonymous avatar

    killerbee

    Ziet er ook goed uit.

    Voor de zekerheid zou je nog een online scan kunnen doen.

    Maar denk dat daar ook niet veel meer uitkomt.

    Je zegt het maar.

  • Anonymous avatar

    Coccolina

    Ik zal dat voor de zekerheid straks doen! Dankje…

    Maar ken je deze trojan? Ik ben nu alleen heel bang, vorige week hebben ze ettelijke duizende euro's op Mallorca gestolen met een gekloonde bankpas van mijn man. Ik heb meteen internetbankieren aangevraagd, om te allen tijden mijn saldo te kunnen controleren, en nu durf ik daar niet meer in te loggen.

    Kan ik evt nog ergens aan zien of iemand mijn gegevens checkt, evt aan de verbinding of zo. Mijn verbinding is al traag met gprs, dus ik zou het direct kunnen merken/zien. als er een andere verbinding plaats vindt, dan waar IK mee bezig ben, of vergis ik mij (ben maar een leek hoor)

    Gr Coccolina

  • Anonymous avatar

    killerbee

    Sorry hoor maar mijn Italiaans is wat minder.. (lol)

    Maar ik denk dat het een melding van je firewall is geweest dat er een poging was tot.

    Maar dat hij hem keurig heeft tegengehouden.

  • Anonymous avatar

    Coccolina

    Nou het is ook niet makkelijk nee dat Italiaans, ook voor mij hoor!!!

    Maar dat het een firewall is geweest geloof ik niet, want dat zie ik normaal gesproken in een ander mapje…

    Dit mapje heet connessioni=verbindingen, en ik kijk daar vaker naar welke ‘'indirizzio IP’' mijn pc verbinding maakt! Het is dus duidelijk dat er een verbinding heeft plaats gevonden met een backdoor!!! Nou ja misschien omdat de verbinding verbrak heeft ie geen tijd gehad om zich te installeren, laten we het daar maar op houden!

    Wat betreft die verdwijning van Norton!!! Ik ondekte zonet dat wanneer ik in outlook mijn post opvroeg hij ineens tegelijk ging scannen met twee emailadressen tegelijk en dat gaf een waarschuwing.( je ziet dan onderin de taakbalk dat envelopje met een vergrootglas)

    Ik heb ook het vermoeden dat het te maken heeft met een yahoo email. Ik had vanochtend yahoomessenger gedownload en daarna toch maar weer verwijderd. Het lijkt of de pc opdracht geeft om op de eerste plaats naar yahoo te gaan en tegelijkertijd naar mijn server!!! Ik denk dat ik de computer maar terug ga zetten naar een andere datum, of jullie moeten zo 1,2 3 weten hoe op te lossen! Maar ik denk dat dit probleem nr1 is geweest en misschien bij toeval die backdoor!!!

    Wat een verhaal, jullie zullen er wel niet meer uit komen, maar goed, ik hoop dat ik verder hier geen problemen meer krijg…

    Verder wilde ik je toch nog even bedanken voor de hulp!!!

    Ciao,ciao, bacio……Coccolina

    ps bacio moet je maar opzoeken in een woordenboek, hahah

  • Anonymous avatar

    Ton en Mirian

    Bacio van Fonz :?:?

    Dan heb je 't goed gedaan :+

  • Anonymous avatar

    Erik

    Hoi Cicciolina,

    Laat dit bestand eens scannen bij Jotti: C:\WINDOWS\System32\PAStiSvc.exe http://virusscan.jotti.org/ plaats het logje hier svp :-)