Dropper DR/bridge.A2 & Trojanisches Pferd TR/Spy.Briss.G

#0
18.08.2004, 15:28
...neu hier

Beiträge: 3
#1 Hallo!

Ich habe über AntiVir die oben genannten Meldungen erhalten.

Wenn ich im Internet über den IE ins Netz gehe öffnet sich zunächst ganz normal und in normaler DSL Geschwindigkeit die Startseite.
Nach kurzer Zeit öffnet sich ein weiteres Browser Fenster mit gleichzeitiger AntiVir Warnung über den Bridge Virus.
Das Fenster was sich öffnet heißt in der unteren Leiste "Roller Vision: Index"
Die Internetseite die sich öffnet: http://users.pandora.be/wasteway/site/site3.html
Nach dem 1. Löschungsversuch über Antivir erscheint dann eine graue Seite mit dem Text: Loading Windows Update und in der Mitte die Aufforderung Click yes to begin setup.
Beim Versuch diese Aufforderung über X wegzuklicken kommt die Aufforderung und die gleichzeitige Warnung 3 Mal wieder ohne dass die Seite gelöscht werden kann. Erst nach dem 3. Versuch kommt keine Warnung mehr und man kann das Browser Fenster löschen.
Anschließend hat der Rechner keine DSL Geschwindigkeit mehr sondern läuft nur noch ziemlich langsam.
Ich habe bereits den gesamten Ordner Temporary Internet Files gelöscht. In der Registry kann ich die Einträge von bridge nicht finden. Ebenfalls nicht in den Verzeichnissen, wenn ich über /ausführen/regedit in die angegebenen Ordner gehe.
Wie kriege ich diesen Mist von meinem Rechner.
Seitenanfang Seitenende
18.08.2004, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @olley71 ;)
Lade bitte das HijackThis, scann<save und kopiere das Log hier ins Forum.
Downloadlink:
http://www.downloads.subratam.org/hijackthis.zip
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.08.2004 um 16:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.08.2004, 16:34
...neu hier

Themenstarter

Beiträge: 3
#3 Logfile of HijackThis v1.98.2
Scan saved at 16:31:49, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msnmsg.exe
C:\Programme\Winamp2\Winampa.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\Speedmgrneu\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\hp\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\MSlti32.exe
D:\Programme\Antivir\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\hp\Digital Imaging\bin\hpobnz08.exe
D:\Programme\hp\HP Share-to-Web\hpgs2wnf.exe
D:\Programme\hp\Digital Imaging\bin\hposol08.exe
D:\Programme\hp\Digital Imaging\bin\hpoevm08.exe
D:\Programme\Antivir\AVGUARD.EXE
D:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Speedmgrneu\tsmsvc.exe
C:\WINDOWS\System32\HPZipm12.exe
D:\Programme\hp\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\olli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2\Winampa.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\Speedmgrneu\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Programme\hp\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "D:\Programme\Corel\Register\NAVBrowser.exe" /r /i "D:\Programme\Corel\Register\NavLoad.ini"
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - Global Startup: hp psc 2000 Series.lnk = D:\Programme\hp\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\WorksWord\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Seitenanfang Seitenende
18.08.2004, 18:55
...neu hier

Beiträge: 2
#4 Hallöchen,habe mir heute die selben Viren eingefangen,son Mist und weiss nicht,wie ich sie loskriege,bin auch nicht so bewandert im Entfernen von Viren ohne spezielles Programm.Kann mir bitte jemand helfen???

C:\WINDOWS.000\Temporary Internet Files\Content.IE5\6PMF5KGI
bridge[1].cab
ArchiveType: CAB (Microsoft)
--> bridge.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
--> a.exe
[FUND!] Ist das Trojanische Pferd TR/Stomcc.01
--> jao.dll
[FUND!] Ist das Trojanische Pferd TR/Spy.Briss.G

Dies zeigt mir der Antivir Report an.

Hab jetzt mal die Temporary Internetfiles gelöscht und scanne nochmal neu.Mal sehn obs noch angezeigt wird.
Seitenanfang Seitenende
18.08.2004, 19:16
Member

Beiträge: 441
#5 @ olley71

Du hast viele aktive Backdoor Trojaner im Hintergrund laufen!
Die sicherste Lösung wäre ein Neuaufsetzen deines Systems, da es nicht mehr vertrauenswürdig ist. Alles andere ist reine Spekulation.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Das sind die Übeltäter:
C:\WINDOWS\System32\msnmsg.exe
C:\WINDOWS\System32\MSlti32.exe
muamgrd.exe

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

[url="http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
"]Kompromittierung unvermeidbar?[/url]
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 18.08.2004 um 19:16 Uhr von Cidre editiert.
Seitenanfang Seitenende
18.08.2004, 19:31
Member
Avatar Dafra

Beiträge: 1122
#6 @SpecialM
Poste mal bitte ein Hijackthis Log
MFG
DAFRA
Seitenanfang Seitenende
18.08.2004, 22:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 @olley71

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe mit dem HijackThis, danach sofort neustarten:

O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "D:\Programme\Corel\Register\NAVBrowser.exe" /r /i "D:\Programme\Corel\Register\NavLoad.ini"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe

neustarten

Ueberpruefe mit Kaspersky (poste dann das ergebnis)
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\msnmsg.exe
C:\WINDOWS\System32\MSlti32.exe


#Lade den Stinger
http://vil.nai.com/vil/stinger/

#Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

---Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.08.2004 um 23:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.08.2004, 23:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 @SpecialM

#Deaktiviere die Wiederherstellung (nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
und Scanne im abgesicherten Modus mit dem Antivirus

#Loesche manuell:
C:\WINDOWS.000\Temporary Internet Files\Content.IE5\6PMF5KGI
bridge[1].cab

#Dann kannst du noch dieses Tool (eScan ) laden:

Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die Virus Log Information posten. (falls was gefunden wird)


Dann poste auch das Log vom HijackThis
http://board.protecus.de/t9391.htm
scann<save und das Log mit der Maus ins Forum kopieren.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.08.2004 um 23:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.08.2004, 16:32
...neu hier

Themenstarter

Beiträge: 3
#9

Zitat

Sabina postete
@olley71

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe mit dem HijackThis, danach sofort neustarten:

O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "D:\Programme\Corel\Register\NAVBrowser.exe" /r /i "D:\Programme\Corel\Register\NavLoad.ini"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe

neustarten

Ueberpruefe mit Kaspersky (poste dann das ergebnis)
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\msnmsg.exe
C:\WINDOWS\System32\MSlti32.exe


#Lade den Stinger
http://vil.nai.com/vil/stinger/

#Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

---Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird)

mfg
Sabina
Attention!
Kaspersky Anti-Virus has detected a virus in the file you have submitted.

We suggest that you consider:

Reading about the virus/viruses in our Virus Encyclopedia

Downloading a trial version of Kaspersky Anti-Virus

Purchasing a copy of Kaspersky Anti-Virus in our E-Store

Purchasing Kaspersky Anti-Virus from a certified partner


Scanned file: msnmsg.exe

msnmsg.exe - packed with PESpin
msnmsg.exe - infected by Backdoor.Rbot.gen


Statistics:
Known viruses: 96709 Updated: 19-08-2004
File size (Kb): 104 Virus bodies: 1
Files: 2 Warnings: 0
Archives: 0 Suspicious: 0

Attention!
Kaspersky Anti-Virus has detected a virus in the file you have submitted.

We suggest that you consider:

Reading about the virus/viruses in our Virus Encyclopedia

Downloading a trial version of Kaspersky Anti-Virus

Purchasing a copy of Kaspersky Anti-Virus in our E-Store

Purchasing Kaspersky Anti-Virus from a certified partner


Scanned file: MSlti32.exe

MSlti32.exe - packed with PE-Diminisher
MSlti32.exe - infected by Backdoor.Rbot.gen


Statistics:
Known viruses: 96709 Updated: 19-08-2004
File size (Kb): 91 Virus bodies: 1
Files: 2 Warnings: 0
Archives: 0 Suspicious: 0
Seitenanfang Seitenende
19.08.2004, 23:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @olley71
falls du wichtige Daten hast (Bankgeschaefte, eBay ...Passworte...usw. empfehle ich , neu aufzusetzten.
Falls nicht, mache den Rest, den ich gepostet habe.(Und aendere auch im frisch installierten System alle sensiblen Daten, wie Passworte, denn der Backdoor "kennt sie, so wie du))
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.08.2004 um 23:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.08.2004, 14:22
...neu hier

Beiträge: 2
#11 Logfile of HijackThis v1.98.2
Scan saved at 14:15:06, on 20.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS.000\SYSTEM\CMMPU.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
D:\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS.000\LOADQM.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\WINDOWS.000\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\YAHOOMESSI\YPAGER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\SYSTEM\STIMON.EXE
C:\WINDOWS.000\NOTEPAD.EXE
D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F1 - win.ini: run=C:\WINDOWS.000\SYSTEM\cmmpu.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] D:\WinAmp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMME\YAHOOMESSI\ypager.exe -quiet
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOOMESSI\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOOMESSI\YPAGER.EXE
O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab

Hab es mal automatisch auswerten lassen und es zeigt mir an,dass
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun

böse ist.Hab es gefixt.Ist es nun gelöscht ,oder was muss ich tun?

Mfg,SpecialM
Seitenanfang Seitenende
20.08.2004, 14:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo @SpecialM

#C:\WINDOWS.000\scanregw.exe /autorun
Microsoft’s Registry Checker, loads on boot-up, verifies that the Registry is in order, and makes a backup. Located in "C:\Windows\" or "C:\WINNT\". [Edit]
Ich verstehe auch nicht, warum das vom HijackThis als <bad< bezeichnet wird.

#Mache unbedingt die WindowsUpdates und aktualisiere den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.08.2004 um 14:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: