tr/scagent.dll.c / winserv.exe [Adware.IEPlugin]

#0
23.10.2004, 17:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo @Guthwulf

Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche rechts:
<"Win Server Updt"="%WinDir%\Wupdt.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche rechts:
<"Win Server"="%WinDir%\winserv.exe"

<Loesche :[TROJ_SCAGENT.C]
HKEY_CLASSES_ROOT>TypeLib>{C89E0F84-3C34-43D1-A72C-AF1A160A7C07}


Gib oben links in die Suchfunktion der Registry ein
: <m.dll< und dann <digfilt.dll<
und loesche<alles, was angezeigt wird.

schliesse die Registry

Oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://stormseekers.nwy.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dourcttuqxbyuhhcelrxtvci.com/QQQFR0dLmiOzfiDkBOGw90Y_IOEEE_/9uv/Ga3a2LoLdrb3C8W_aIyXNj7LyNr53.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gdblbqvofnagglqkahgvy.com/QQQFR0dLmiNBRLjQ9076zWU4XhhwRgjBrInxnUR3Ank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {03EBC03C-8BC9-4749-9CA3-3F02989A0DE7} - C:\WINNT\m.dll (file missing)
O2 - BHO: (no name) - {1C03A3D8-FBAB-5253-4BBB-405BB6640FAF} - C:\DOKUME~1\Tommy\ANWEND~1\SITEAI~1\boltdale.exe
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINNT\questmod.dll (file missing)
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINNT\system32\qilexolo.dll (file missing)

O4 - HKLM\..\Run: [saap] c:\winnt\180solutions\saap.exe
O4 - HKLM\..\Run: [hql] C:\WINNT\hql.exe
O4 - HKLM\..\Run: [heck 64 global free] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BagsSizeHeck64\atom close.exe
O4 - HKCU\..\Run: [loader] c:\WINNT\loader.exe [coollllwebsearch\TR/Small.DG]
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe [Adware.IEPlugin]
O4 - HKCU\..\Run: [NoAdware] "C:\NoAdware\NoAdware.exe" /s
O4 - HKCU\..\Run: [helpextra] C:\DOKUME~1\Tommy\ANWEND~1\SPAMIN~1\save each intra.exe

O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll [TR/Scagent.DLL.C]
O18 - Filter: text/plain - {957F957E-818D-43DF-BA48-3DD4B1CB0309} - C:\WINNT\m.dll [Trojan Horse Downloader.Winshow.D]

neustarten

Gehe in den abgesicherten Modus

#deinstalliere den Go!Zilla

Oeffne das hijackThis und loesche:
<HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren: C:\WINNT\m.dll <PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren: C:\DOKUME~1\Tommy\ANWEND~1\SITEAI~1\boltdale.exe <PC neustarten

Das machst du mit:

TROJ_SCAGENT.C
<C:\WINNT\saintag.exe
<C:\WINNT\digfilt.dll

<<C:\WINNT\m.dll
<C:\WINNT\questmod.dll
<C:\WINNT\system32\qilexolo.dll
<C:\DOKUME~1\Tommy\ANWEND~1\SITEAI~1\boltdale.exe
<c:\winnt\180solutions\saap.exe
<c:\Program Files\Music Station\saap.exe (?)
<c:\WINNT\loader.exe
<C:\DOKUME~1\Tommy\ANWEND~1\SPAMIN~1\save each intra.exe
<c:\WINNT\0887e3.exe
<c:\WINNT\0887e4.exe

#Adware.IEPlugin
Start<Ausfuehren< cmd
kopiere rein: regsvr32 /u winobject.dll
<enter<
PC neustarten

Start<Ausfuehren<cmd
kopiere rein:
regsvr32 /u systb.dll
<enter<
PC neustarten

Loesche mit dem HijackThis:oder manuell

<HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren: c:\winnt\winserv.exe <PC neustarten

<c:\winnt\winserv.exe
<c:\winnt\winobject.dll
<c:\winnt\wupdt.exe
<c:\winnt\systb.dll
<C:\Winnt\Kw.dat
<C:\Winnt\Toserver.pst
<C:\Winnt\Lu.dat
<C:\Winnt\Extract.exe
<C:\Winnt\Button0.ico
<C:\Winnt\Button1.ico
<C:\Winnt\Button2.ico
<C:\Winnt\Logo.ico

#Bevor du das loescht , ueberpruefe es bitte, denn es kann ein Backdoor sein, aber auch ein Driver (?)
<C:\WINNT\hql.exe
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

Internetexplorer reinigen:

1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

Dann deaktivierst du fuer 15 Tage deinen Antivirus und laedst:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
und scannst im abgesicherten Modus. (!)

Dann aktualisierst du den IE und machst die WindowsUpdates:
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
#Apply the fix to the Java VM vulnerability and clear temporary Internet files cache. See http://www.microsoft.com/technet/security/bulletin/ms03-011.asp for more info.

#Installiere java-Sun
http://java.com/en/download/windows_xpi.jsp

#Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.

#Standardeinstellungen für die Sicherheitszonen (IE)
http://www.misitio.ch/ie/ie6/securityzones.html

Saeubere den IE
#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
Stelle eine neue Startseite ein und poste das Log noch mal.

Dann poste das Log noch mal.

MfG
Sabina
******
http://sarc.com/avcenter/venc/data/pf/adware.ieplugin.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SCAGENT.C
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.10.2004 um 18:49 Uhr von Sabina editiert.
Seitenanfang Seitenende