Dropper DR/bridge.A2 & Trojanisches Pferd TR/Spy.Briss.G |
||
---|---|---|
#0
| ||
18.08.2004, 15:28
...neu hier
Beiträge: 3 |
||
|
||
18.08.2004, 16:19
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @olley71
Lade bitte das HijackThis, scann<save und kopiere das Log hier ins Forum. Downloadlink: http://www.downloads.subratam.org/hijackthis.zip mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.08.2004 um 16:19 Uhr von Sabina editiert.
|
|
|
||
18.08.2004, 16:34
...neu hier
Themenstarter Beiträge: 3 |
#3
Logfile of HijackThis v1.98.2
Scan saved at 16:31:49, on 18.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\msnmsg.exe C:\Programme\Winamp2\Winampa.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe D:\Programme\Speedmgrneu\SpeedMgr.exe C:\WINDOWS\SOUNDMAN.EXE D:\Programme\hp\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\rmctrl.exe C:\WINDOWS\System32\MSlti32.exe D:\Programme\Antivir\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\hp\Digital Imaging\bin\hpobnz08.exe D:\Programme\hp\HP Share-to-Web\hpgs2wnf.exe D:\Programme\hp\Digital Imaging\bin\hposol08.exe D:\Programme\hp\Digital Imaging\bin\hpoevm08.exe D:\Programme\Antivir\AVGUARD.EXE D:\Programme\Antivir\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe D:\Programme\Speedmgrneu\tsmsvc.exe C:\WINDOWS\System32\HPZipm12.exe D:\Programme\hp\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\olli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [msn] msnmsg.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2\Winampa.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\Speedmgrneu\SpeedMgr.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Programme\hp\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "D:\Programme\Corel\Register\NAVBrowser.exe" /r /i "D:\Programme\Corel\Register\NavLoad.ini" O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe O4 - HKLM\..\RunServices: [msn] msnmsg.exe O4 - HKCU\..\Run: [msn] msnmsg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe O4 - HKCU\..\RunServices: [msn] msnmsg.exe O4 - Global Startup: hp psc 2000 Series.lnk = D:\Programme\hp\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\WorksWord\Office10\OSA.EXE O4 - Global Startup: officejet 6100.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm |
|
|
||
18.08.2004, 18:55
...neu hier
Beiträge: 2 |
#4
Hallöchen,habe mir heute die selben Viren eingefangen,son Mist und weiss nicht,wie ich sie loskriege,bin auch nicht so bewandert im Entfernen von Viren ohne spezielles Programm.Kann mir bitte jemand helfen???
C:\WINDOWS.000\Temporary Internet Files\Content.IE5\6PMF5KGI bridge[1].cab ArchiveType: CAB (Microsoft) --> bridge.dll [FUND!] Enthält Signatur des Droppers DR/Bridge.A.2 --> a.exe [FUND!] Ist das Trojanische Pferd TR/Stomcc.01 --> jao.dll [FUND!] Ist das Trojanische Pferd TR/Spy.Briss.G Dies zeigt mir der Antivir Report an. Hab jetzt mal die Temporary Internetfiles gelöscht und scanne nochmal neu.Mal sehn obs noch angezeigt wird. |
|
|
||
18.08.2004, 19:16
Member
Beiträge: 441 |
#5
@ olley71
Du hast viele aktive Backdoor Trojaner im Hintergrund laufen! Die sicherste Lösung wäre ein Neuaufsetzen deines Systems, da es nicht mehr vertrauenswürdig ist. Alles andere ist reine Spekulation. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Das sind die Übeltäter: C:\WINDOWS\System32\msnmsg.exe C:\WINDOWS\System32\MSlti32.exe muamgrd.exe Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 [url="http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html "]Kompromittierung unvermeidbar?[/url] __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 18.08.2004 um 19:16 Uhr von Cidre editiert.
|
|
|
||
18.08.2004, 19:31
Member
Beiträge: 1122 |
||
|
||
18.08.2004, 22:59
Ehrenmitglied
Beiträge: 29434 |
#7
@olley71
#Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe mit dem HijackThis, danach sofort neustarten: O4 - HKLM\..\Run: [msn] msnmsg.exe O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "D:\Programme\Corel\Register\NAVBrowser.exe" /r /i "D:\Programme\Corel\Register\NavLoad.ini" O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe O4 - HKLM\..\RunServices: [msn] msnmsg.exe O4 - HKCU\..\Run: [msn] msnmsg.exe O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe O4 - HKCU\..\RunServices: [msn] msnmsg.exe neustarten Ueberpruefe mit Kaspersky (poste dann das ergebnis) http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\System32\msnmsg.exe C:\WINDOWS\System32\MSlti32.exe #Lade den Stinger http://vil.nai.com/vil/stinger/ #Lade eScan (entpacke in C:\bases http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ---Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm <den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken. Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.08.2004 um 23:08 Uhr von Sabina editiert.
|
|
|
||
18.08.2004, 23:05
Ehrenmitglied
Beiträge: 29434 |
#8
@SpecialM
#Deaktiviere die Wiederherstellung (nach der Reinigung wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und Scanne im abgesicherten Modus mit dem Antivirus #Loesche manuell: C:\WINDOWS.000\Temporary Internet Files\Content.IE5\6PMF5KGI bridge[1].cab #Dann kannst du noch dieses Tool (eScan ) laden: Lade eScan (entpacke in C:\bases http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) <den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken. Danach die Virus Log Information posten. (falls was gefunden wird) Dann poste auch das Log vom HijackThis http://board.protecus.de/t9391.htm scann<save und das Log mit der Maus ins Forum kopieren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.08.2004 um 23:07 Uhr von Sabina editiert.
|
|
|
||
19.08.2004, 16:32
...neu hier
Themenstarter Beiträge: 3 |
#9
Zitat Sabina posteteAttention! Kaspersky Anti-Virus has detected a virus in the file you have submitted. We suggest that you consider: Reading about the virus/viruses in our Virus Encyclopedia Downloading a trial version of Kaspersky Anti-Virus Purchasing a copy of Kaspersky Anti-Virus in our E-Store Purchasing Kaspersky Anti-Virus from a certified partner Scanned file: msnmsg.exe msnmsg.exe - packed with PESpin msnmsg.exe - infected by Backdoor.Rbot.gen Statistics: Known viruses: 96709 Updated: 19-08-2004 File size (Kb): 104 Virus bodies: 1 Files: 2 Warnings: 0 Archives: 0 Suspicious: 0 Attention! Kaspersky Anti-Virus has detected a virus in the file you have submitted. We suggest that you consider: Reading about the virus/viruses in our Virus Encyclopedia Downloading a trial version of Kaspersky Anti-Virus Purchasing a copy of Kaspersky Anti-Virus in our E-Store Purchasing Kaspersky Anti-Virus from a certified partner Scanned file: MSlti32.exe MSlti32.exe - packed with PE-Diminisher MSlti32.exe - infected by Backdoor.Rbot.gen Statistics: Known viruses: 96709 Updated: 19-08-2004 File size (Kb): 91 Virus bodies: 1 Files: 2 Warnings: 0 Archives: 0 Suspicious: 0 |
|
|
||
19.08.2004, 23:22
Ehrenmitglied
Beiträge: 29434 |
#10
@olley71
falls du wichtige Daten hast (Bankgeschaefte, eBay ...Passworte...usw. empfehle ich , neu aufzusetzten. Falls nicht, mache den Rest, den ich gepostet habe.(Und aendere auch im frisch installierten System alle sensiblen Daten, wie Passworte, denn der Backdoor "kennt sie, so wie du)) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.08.2004 um 23:23 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 14:22
...neu hier
Beiträge: 2 |
#11
Logfile of HijackThis v1.98.2
Scan saved at 14:15:06, on 20.08.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS.000\SYSTEM\CMMPU.EXE C:\WINDOWS.000\TASKMON.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE D:\WINAMP\WINAMPA.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS.000\LOADQM.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\WINDOWS.000\SYSTEM\WBEM\WINMGMT.EXE C:\WINDOWS.000\SYSTEM\SPOOL32.EXE C:\WINDOWS.000\SYSTEM\RNAAPP.EXE C:\WINDOWS.000\SYSTEM\TAPISRV.EXE C:\PROGRAMME\YAHOOMESSI\YPAGER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\WINDOWS.000\SYSTEM\STIMON.EXE C:\WINDOWS.000\NOTEPAD.EXE D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F1 - win.ini: run=C:\WINDOWS.000\SYSTEM\cmmpu.exe O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WinampAgent] D:\WinAmp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMME\YAHOOMESSI\ypager.exe -quiet O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOOMESSI\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOOMESSI\YPAGER.EXE O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab Hab es mal automatisch auswerten lassen und es zeigt mir an,dass O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun böse ist.Hab es gefixt.Ist es nun gelöscht ,oder was muss ich tun? Mfg,SpecialM |
|
|
||
20.08.2004, 14:30
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo @SpecialM
#C:\WINDOWS.000\scanregw.exe /autorun Microsoft’s Registry Checker, loads on boot-up, verifies that the Registry is in order, and makes a backup. Located in "C:\Windows\" or "C:\WINNT\". [Edit] Ich verstehe auch nicht, warum das vom HijackThis als <bad< bezeichnet wird. #Mache unbedingt die WindowsUpdates und aktualisiere den IE http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 14:35 Uhr von Sabina editiert.
|
|
|
||
Ich habe über AntiVir die oben genannten Meldungen erhalten.
Wenn ich im Internet über den IE ins Netz gehe öffnet sich zunächst ganz normal und in normaler DSL Geschwindigkeit die Startseite.
Nach kurzer Zeit öffnet sich ein weiteres Browser Fenster mit gleichzeitiger AntiVir Warnung über den Bridge Virus.
Das Fenster was sich öffnet heißt in der unteren Leiste "Roller Vision: Index"
Die Internetseite die sich öffnet: http://users.pandora.be/wasteway/site/site3.html
Nach dem 1. Löschungsversuch über Antivir erscheint dann eine graue Seite mit dem Text: Loading Windows Update und in der Mitte die Aufforderung Click yes to begin setup.
Beim Versuch diese Aufforderung über X wegzuklicken kommt die Aufforderung und die gleichzeitige Warnung 3 Mal wieder ohne dass die Seite gelöscht werden kann. Erst nach dem 3. Versuch kommt keine Warnung mehr und man kann das Browser Fenster löschen.
Anschließend hat der Rechner keine DSL Geschwindigkeit mehr sondern läuft nur noch ziemlich langsam.
Ich habe bereits den gesamten Ordner Temporary Internet Files gelöscht. In der Registry kann ich die Einträge von bridge nicht finden. Ebenfalls nicht in den Verzeichnissen, wenn ich über /ausführen/regedit in die angegebenen Ordner gehe.
Wie kriege ich diesen Mist von meinem Rechner.