Brauche dringend Hilfe TR/Dldr.Briss.A |
||
---|---|---|
#0
| ||
20.08.2004, 22:39
Member
Beiträge: 29 |
||
|
||
20.08.2004, 23:01
...neu hier
Themenstarter Beiträge: 10 |
#17
auf die Seite bin ich gegangen
habe Programm heruntergeladen wenn ich auf Buy eScan drücke kommt eine englische Seite mein Englisch ist nicht gut da weis ich nicht weiter |
|
|
||
21.08.2004, 01:29
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo @Misterstep
Lade bitte das HijackThis. Downloadlinks: http://www.downloads.subratam.org/hijackthis.zip Das geht so: laden<entpacken<scannen<save dieses Log kopierst du dann mit der Maus ins Forum. So kann ich dir helfen, den PC sauber zu bekommen. ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Was den eScan betrifft: Suche mal mit der Suchfunktion von Windows eine kavupd.exe" und anklicken. Dann oeffnet sich automatisch ein DOS-Fenster und du musst nur abwarten, bis der Update fertig ist. Dann suchst du eine mwav.exe (das ist der Scanner) Alle Häkchen setzen und "Clean-Scan" klicken. Dann warte ab, bis alles fertiggescannt ist . Dann kopiere das Virenlog ab (mit der Maus)und poste es hier mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.08.2004 um 01:34 Uhr von Sabina editiert.
|
|
|
||
24.08.2004, 19:20
...neu hier
Beiträge: 3 |
#19
Hi!
Bin (da ich den gleichen wurm hab) durch die Google suche hier im Forum gelandet. @ Sabina: Ich hab mir das Proggi mal geladen und ausgeführt. Vielleicht sagt es dir ja was? Mir leider nicht -.- btw. hab mir den Wurm durch irc eingefangen, falls das was zu sagen hat (was ich net glaub, bin aber 'nen kleiner b00n) Vielen Dank schon mal im vorraus Logfile of HijackThis v1.98.2 Scan saved at 19:14:57, on 24.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\Programme\Diskeeper\DkService.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\explorer.exe E:\Programme\Teamspeak2_RC2\TeamSpeak.exe E:\Programme\TuneUp Utilities 2004\ProcessManager.exe E:\Programme\mIRC\Weisseradler-Script 1.071\mirc.exe E:\Programme\Avant Browser\iexplore.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe C:\T-ONLINE\EMAIL4\mail.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dynclan.net/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - E:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - E:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Suchen - E:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - E:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - E:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B9BF647D-EBB9-41F7-BC78-54214004CF2C}: NameServer = 217.237.149.161 194.25.2.129 Dieser Beitrag wurde am 24.08.2004 um 19:31 Uhr von Ob1 editiert.
|
|
|
||
24.08.2004, 22:32
Ehrenmitglied
Beiträge: 29434 |
#20
Hallo @Ob1
fixe(dann neustarten) O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe neustarten #Lade eScan http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) .................................................................................................................... #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Start<Ausfuehren %temp% (reinschreiben oder reinkopieren) loesche : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe #suche "mwav.exe (es kann sein, dass sie auch im Temorary-Ordner ist)und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. normal neustarten #Sicherheitstipp: Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.(sicherheitsrisiko) deaktivieren unter <Systemsteuerung<Verwaltung<Dienste Poste dann, was gefunden wurde. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.08.2004 um 22:36 Uhr von Sabina editiert.
|
|
|
||
24.08.2004, 23:43
...neu hier
Beiträge: 3 |
#21
Zitat Sabina posteteHi! Erstmal danke für die prompte hilfe! Aber nun schon die erste (wenn auch peinliche) Frage. Was meinst du mist "fixen" bin leider richtiger PC nap! Hab dieses eScan geladen und das update über ausführen durchgeführt. Werde jetzt mal im abgesichertem Modus starten und hoffen das ich das alles so hinbekomm (Datei suchen, löschen, eScan usw.) ^^ da ich das "fixen" ja nicht gemacht hab. Die REGSVC.EXE hab ich schon mal deaktiviert! Also bis später Edit: so nachdem ich im abgesicherten Modus gescanned hatte und er nichts gefunden hatte. Hab ich nochmal dieses HiJackThis durchgeführt und auch die O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe gefixed und anschliessend den eScan gemacht. Das ist nun das Ergebnis: Wed Aug 25 00:51:19 2004 => ***** Scanning complete. ***** Wed Aug 25 00:51:19 2004 => Total Number of Files Scanned: 35054 Wed Aug 25 00:51:19 2004 => Total Number of Virus(es) Found: 0 Wed Aug 25 00:51:19 2004 => Total Number of Disinfected Files: 0 Wed Aug 25 00:51:19 2004 => Total Number of Files Renamed: 0 Wed Aug 25 00:51:19 2004 => Total Number of Deleted Files: 0 Wed Aug 25 00:51:19 2004 => Total Number of Errors: 3 Wed Aug 25 00:51:19 2004 => Time Elapsed: 00:13:25 Wed Aug 25 00:51:19 2004 => Virus Database Date: 2004/08/19 Wed Aug 25 00:51:19 2004 => Virus Database Count: 101270 Wed Aug 25 00:51:19 2004 => Scan Completed. danach nochmal HiJackThis und der sagt das: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dynclan.net/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - E:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - E:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Suchen - E:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - E:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - E:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B9BF647D-EBB9-41F7-BC78-54214004CF2C}: NameServer = 217.237.149.161 194.25.2.129 taucht auch nicht mehr auf, werde gleich mal irc starten und gucken ob ich den link noch poste. Weil anders hat er sich nicht bemerkbar gemacht der Wurm. Edit2: irgendwie hat es nicht geklappt. Meldung nachdem ich im irc connected bin und direkt darauf gekicked wurde "You are infected with a worm (fun-picz.tk), see http://trojanscan.quakenet.org/?139 for details - banned for 2 hours." -.- Werd mal so vorgehen wie die da sagen und weiter schauen Dieser Beitrag wurde am 25.08.2004 um 01:10 Uhr von Ob1 editiert.
|
|
|
||
25.08.2004, 09:45
Member
Beiträge: 1095 |
#22
@Ob1
Nun mal ganz langsam Hier erstmal die Virenbeschreibung vom Briss.a http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=46978 http://www.sophos.com/virusinfo/analyses/trojbrissa.html 1. Dann mit welchem Prog gehts du in den IRC? 2. Poste nochmal das vollständige Logfile. 3. EScan auch wirklich updgedatet? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
25.08.2004, 13:25
...neu hier
Beiträge: 3 |
#23
also bin gerad nochmal in irc connected und der g-line kick ist weg, war bestimmt noch weil ich ca. 2Std. zuvor den link geposted hatte.
Jetzt kein kick mehr und ich linke auch net den wurmlink. Vielen Dank Sabina!!! darf ich dich mal auf ne Tasse Kaffee einladen? *gg* Und Paff danke für deine links. Nur da mein englisch ziemlich fürn Popo ist bringen mir die nichts. Zu deinen Fragen 1. mIRC 6.15 2. hinfällig ^^ 3. ja sehr sicher, bin zwar etwas ungeschickt mit Programmen aber net blöd, da man von Sabinas Erklärung her nicht viel falsch machen konnte DDDAAAAAANNNNNNKKKKKKKKEEEEEEEE SABINA Edit: ey nachdem ich heute den rechner neu gestartet hatte und ins irc connected bin kam die gleiche scheisse wieder -.- hab danach irc runtergeschmissen und neu inst. da es bei anderen wohl geholfen hat. aber nichts da, bleibt mir wohl nur noch format c: :/ da die datei auch nicht mehr bei hijackthis auftaucht und format c: für mich noch am (wenn auch aufwendig) leichtesten... trotzdem danke für eure hilfe Dieser Beitrag wurde am 25.08.2004 um 18:54 Uhr von Ob1 editiert.
|
|
|
||
dann mal escan,
http://www.rokop-security.de/board/index.php?showtopic=3867
wenn der ordner c:\bases nich existiert dann erstelle ihn erst.