Brauche dringend Hilfe TR/Dldr.Briss.A

#16 ok,
dann mal escan,
http://www.rokop-security.de/board/index.php?showtopic=3867

wenn der ordner c:\bases nich existiert dann erstelle ihn erst.

#17 auf die Seite bin ich gegangen
habe Programm heruntergeladen
wenn ich auf Buy eScan drücke kommt eine englische Seite
mein Englisch ist nicht gut
da weis ich nicht weiter

#18 Hallo @Misterstep
Lade bitte das HijackThis.
Downloadlinks:

http://www.downloads.subratam.org/hijackthis.zip

Das geht so:
laden<entpacken<scannen<save
dieses Log kopierst du dann mit der Maus ins Forum.
So kann ich dir helfen, den PC sauber zu bekommen.
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Was den eScan betrifft:
Suche mal mit der Suchfunktion von Windows eine kavupd.exe" und anklicken.
Dann oeffnet sich automatisch ein DOS-Fenster und du musst nur abwarten, bis der Update fertig ist.
Dann suchst du eine mwav.exe (das ist der Scanner)
Alle Häkchen setzen und "Clean-Scan" klicken.
Dann warte ab, bis alles fertiggescannt ist .
Dann kopiere das Virenlog ab (mit der Maus)und poste es hier

mfg
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hi!
Bin (da ich den gleichen wurm hab) durch die Google suche hier im Forum gelandet.
@ Sabina: Ich hab mir das Proggi mal geladen und ausgeführt. Vielleicht sagt es dir ja was? Mir leider nicht -.- btw. hab mir den Wurm durch irc eingefangen, falls das was zu sagen hat (was ich net glaub, bin aber 'nen kleiner b00n)
Vielen Dank schon mal im vorraus

Logfile of HijackThis v1.98.2
Scan saved at 19:14:57, on 24.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\explorer.exe
E:\Programme\Teamspeak2_RC2\TeamSpeak.exe
E:\Programme\TuneUp Utilities 2004\ProcessManager.exe
E:\Programme\mIRC\Weisseradler-Script 1.071\mirc.exe
E:\Programme\Avant Browser\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe
C:\T-ONLINE\EMAIL4\mail.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dynclan.net/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - E:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - E:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - E:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - E:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - E:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9BF647D-EBB9-41F7-BC78-54214004CF2C}: NameServer = 217.237.149.161 194.25.2.129

#20 Hallo @Ob1

fixe(dann neustarten)
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe

neustarten

#Lade eScan
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
....................................................................................................................
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Start<Ausfuehren %temp% (reinschreiben oder reinkopieren)
loesche :
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe

#suche "mwav.exe (es kann sein, dass sie auch im Temorary-Ordner ist)und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

normal neustarten

#Sicherheitstipp:
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.(sicherheitsrisiko)
deaktivieren unter <Systemsteuerung<Verwaltung<Dienste

Poste dann, was gefunden wurde.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#21

Zitat

Sabina postete
Hallo @Ob1

fixe(dann neustarten)
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe

neustarten

Hi!
Erstmal danke für die prompte hilfe! Aber nun schon die erste (wenn auch peinliche) Frage. Was meinst du mist "fixen" bin leider richtiger PC nap!

Hab dieses eScan geladen und das update über ausführen durchgeführt. Werde jetzt mal im abgesichertem Modus starten und hoffen das ich das alles so hinbekomm (Datei suchen, löschen, eScan usw.) ^^ da ich das "fixen" ja nicht gemacht hab.

Die REGSVC.EXE hab ich schon mal deaktiviert!
Also bis später

Edit: so nachdem ich im abgesicherten Modus gescanned hatte und er nichts gefunden hatte. Hab ich nochmal dieses HiJackThis durchgeführt und auch die O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\WAS227E.tmp\html\1.exe gefixed und anschliessend den eScan gemacht.
Das ist nun das Ergebnis:

Wed Aug 25 00:51:19 2004 => ***** Scanning complete. *****
Wed Aug 25 00:51:19 2004 => Total Number of Files Scanned: 35054
Wed Aug 25 00:51:19 2004 => Total Number of Virus(es) Found: 0
Wed Aug 25 00:51:19 2004 => Total Number of Disinfected Files: 0
Wed Aug 25 00:51:19 2004 => Total Number of Files Renamed: 0
Wed Aug 25 00:51:19 2004 => Total Number of Deleted Files: 0
Wed Aug 25 00:51:19 2004 => Total Number of Errors: 3
Wed Aug 25 00:51:19 2004 => Time Elapsed: 00:13:25
Wed Aug 25 00:51:19 2004 => Virus Database Date: 2004/08/19
Wed Aug 25 00:51:19 2004 => Virus Database Count: 101270

Wed Aug 25 00:51:19 2004 => Scan Completed.

danach nochmal HiJackThis und der sagt das:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dynclan.net/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - E:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - E:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - E:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - E:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - E:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9BF647D-EBB9-41F7-BC78-54214004CF2C}: NameServer = 217.237.149.161 194.25.2.129

taucht auch nicht mehr auf, werde gleich mal irc starten und gucken ob ich den link noch poste. Weil anders hat er sich nicht bemerkbar gemacht der Wurm.

Edit2:
irgendwie hat es nicht geklappt.
Meldung nachdem ich im irc connected bin und direkt darauf gekicked wurde "You are infected with a worm (fun-picz.tk), see http://trojanscan.quakenet.org/?139 for details - banned for 2 hours." -.- Werd mal so vorgehen wie die da sagen und weiter schauen

#22 @Ob1

Nun mal ganz langsam
Hier erstmal die Virenbeschreibung vom Briss.a
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=46978
http://www.sophos.com/virusinfo/analyses/trojbrissa.html

1. Dann mit welchem Prog gehts du in den IRC?

2. Poste nochmal das vollständige Logfile.

3. EScan auch wirklich updgedatet?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#23 also bin gerad nochmal in irc connected und der g-line kick ist weg, war bestimmt noch weil ich ca. 2Std. zuvor den link geposted hatte.
Jetzt kein kick mehr und ich linke auch net den wurmlink.

Vielen Dank Sabina!!! darf ich dich mal auf ne Tasse Kaffee einladen? *gg*

Und Paff danke für deine links. Nur da mein englisch ziemlich fürn Popo ist bringen mir die nichts. Zu deinen Fragen
1. mIRC 6.15
2. hinfällig ^^
3. ja sehr sicher, bin zwar etwas ungeschickt mit Programmen aber net blöd, da man von Sabinas Erklärung her nicht viel falsch machen konnte

DDDAAAAAANNNNNNKKKKKKKKEEEEEEEE SABINA

Edit:
ey
nachdem ich heute den rechner neu gestartet hatte und ins irc connected bin kam die gleiche scheisse wieder -.- hab danach irc runtergeschmissen und neu inst. da es bei anderen wohl geholfen hat. aber nichts da, bleibt mir wohl nur noch format c: :/ da die datei auch nicht mehr bei hijackthis auftaucht und format c: für mich noch am (wenn auch aufwendig) leichtesten...
trotzdem danke für eure hilfe