Trojaner TR/Spy.Tofger.BI.2 und TR/Dldr.Agent.BQ kommen immer wieder |
||
---|---|---|
#0
| ||
17.11.2004, 20:54
Ehrenmitglied
Beiträge: 29434 |
||
|
||
17.11.2004, 20:58
Member
Beiträge: 1095 |
#47
@giessi
Geh in HiJackThis auf Config... Misc Tools Dann Generate startup list WICHTIG Nur "List Minor Section" ankreuzen NICHT "List empty section" Ergebnis hier posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
22.11.2004, 16:50
...neu hier
Beiträge: 10 |
#48
Hi leute, also ich finds super das ihr hier alle son helft.... ich bewundere das weil ich niemals wüsste was ich tun würde.... also hier ist mal meine logg-file und ich hoffe mal ihr helft mir damit weiter...
Logfile of HijackThis v1.98.2 Scan saved at 16:47:47, on 22.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\netyb.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Winamp\winamp.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\addoj32.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {0FF54064-5091-3F1C-21F7-EF5710EE3A23} - C:\WINDOWS\system32\appam32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [crfe.exe] C:\WINDOWS\system32\crfe.exe O4 - HKLM\..\Run: [addoj32.exe] C:\WINDOWS\addoj32.exe O4 - HKLM\..\RunOnce: [netyb.exe] C:\WINDOWS\system32\netyb.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{428153E4-CC83-45C6-BCC9-05A85EAF592C}: NameServer = 217.237.150.97 217.237.149.161 |
|
|
||
22.11.2004, 17:05
Moderator
Beiträge: 7805 |
#49
Fix bitte mal folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {0FF54064-5091-3F1C-21F7-EF5710EE3A23} - C:\WINDOWS\system32\appam32.dll O4 - HKLM\..\Run: [crfe.exe] C:\WINDOWS\system32\crfe.exe O4 - HKLM\..\Run: [addoj32.exe] C:\WINDOWS\addoj32.exe O4 - HKLM\..\RunOnce: [netyb.exe] C:\WINDOWS\system32\netyb.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe starte dann neu, schicke folgende Dateien bitte an virus@protecus.de : C:\WINDOWS\system32\appam32.dll C:\WINDOWS\system32\pzcfs.dll C:\WINDOWS\system32\crfe.exe C:\WINDOWS\addoj32.exe C:\WINDOWS\system32\netyb.exe Oh ja, fast vergessen. Bitte dein Windows via www.windowsupdate.com aktualisieren! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.11.2004, 17:15
...neu hier
Beiträge: 10 |
#50
ähm ich hab leider keine ahnung was du mit fixen genau meinst... sorry....
|
|
|
||
22.11.2004, 17:19
Moderator
Beiträge: 7805 |
#51
Kein Problem! Einfach die von mir angegebenen Eintraege anhaken und "fix checked" druecken.
Bevor du fix checked drueckst, muss dein Internetexxplorer geschlossen sein. Mache danach bitte ein Neustart! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.11.2004, 17:23
...neu hier
Beiträge: 10 |
#52
dankesehr, ich geh davon aus das ich die 5 dateien nach dem fixen senden soll und tu das auch das dauert aber nochw as da ich grad noch das update lade und das dauert ziemlich lange (18 elemente) uups....
|
|
|
||
22.11.2004, 17:50
Moderator
Beiträge: 7805 |
||
|
||
22.11.2004, 18:10
...neu hier
Beiträge: 10 |
#54
C:\WINDOWS\system32\appam32.dll
ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe diese beiden dateien finde ich nich im hijack.... |
|
|
||
22.11.2004, 18:31
Moderator
Beiträge: 7805 |
#55
Wenn du den "O2" und die "O16" Eintraege "Fix"t, sollte es shon reichne. Nach dem ganzen poste bitte ein neues Log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.11.2004, 18:36
...neu hier
Beiträge: 10 |
#56
so, also hab die beiden dateien doch gefunden, gefixt und neu gestartet, hab versucht die 5 dateien bei web.de hochzuladen und an die angegebene addresse zu schicken, jedoch finde ich keine der dateien manuell, gebe ich den oben genannten pfad ein kommt nur das die anlage größer als 0kb sein muss um angehängt zu werden....
|
|
|
||
22.11.2004, 18:37
...neu hier
Beiträge: 10 |
#57
hier das neue log, wie gesagt nur ohne dir die 5 dateien zu schicken...
Logfile of HijackThis v1.98.2 Scan saved at 18:36:38, on 22.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {DBD17118-557D-6A66-C881-9D6BA43E91D2} - C:\WINDOWS\system32\apiep32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{428153E4-CC83-45C6-BCC9-05A85EAF592C}: NameServer = 217.237.150.97 217.237.149.161 |
|
|
||
22.11.2004, 18:58
Moderator
Beiträge: 7805 |
#58
Sieht schon besser aus. Fixe noch das:
R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {DBD17118-557D-6A66-C881-9D6BA43E91D2} - C:\WINDOWS\system32\apiep32.dll Starte neu, erstelle eine neue Startseite und poste nohmal ein log. In Bezug auf die Dateien. nutze mal Killbox* um die Dateien zu loeschen(siehe hier http://www.rokop-security.de/board/index.php?showtopic=3867 ), danach packe den Ordner !Submit und schick ihn mir. *) Gebe diese Datinamen ins weise Feld einzeln ein, druecke bei jeder Datei das Rote x: C:\WINDOWS\system32\appam32.dll C:\WINDOWS\system32\pzcfs.dll C:\WINDOWS\system32\crfe.exe C:\WINDOWS\addoj32.exe C:\WINDOWS\system32\netyb.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.11.2004, 19:28
...neu hier
Beiträge: 10 |
#59
wo ist denn der ordner submit? soll ich nur diese:
C:\WINDOWS\system32\appam32.dll C:\WINDOWS\system32\pzcfs.dll C:\WINDOWS\system32\crfe.exe C:\WINDOWS\addoj32.exe C:\WINDOWS\system32\netyb.exe dateinen löschen? |
|
|
||
22.11.2004, 19:30
...neu hier
Beiträge: 10 |
#60
also mit dem killbox finde ich die dateienn genausi wenig wenn ich den pfad eingebe kommt nur "the file seems not to exist"
|
|
|
||
W32.tofger faßt Varianten einer Trojaner-Familie zusammen, die als Keylogger fungieren, d.h. sie versuchen, sämtliche Tastatureingaben des aktiven Fensters (darunter natürlich auch Passwörter und Zugangsdaten) per email zu versenden.
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
-------------------------------------------------------------------------------
Lade das aktuelle HijackThis, das andere loesche
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
O2 - BHO: (no name) - {2DB2B4D5-50F2-B854-35AD-B1004EF4A759} - C:\WINDOWS\mfclu32.dll
neustarten
#oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\WINDOWS\mfclu32.dll
wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )---->>klicke "yes"
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten, bzw
die Dateien im abgesicherten Modus loeschen
und das neue Log vom HijackThis noch einmal posten (vorher unter Internetoption eine neue Startseite einstellen)
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit