Trojaner TR/Spy.Tofger.BI.2 und TR/Dldr.Agent.BQ kommen immer wieder

#46 Hallo@giessi

W32.tofger faßt Varianten einer Trojaner-Familie zusammen, die als Keylogger fungieren, d.h. sie versuchen, sämtliche Tastatureingaben des aktiven Fensters (darunter natürlich auch Passwörter und Zugangsdaten) per email zu versenden.

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
-------------------------------------------------------------------------------

Lade das aktuelle HijackThis, das andere loesche
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rbgjx.dll/sp.html#11111

O2 - BHO: (no name) - {2DB2B4D5-50F2-B854-35AD-B1004EF4A759} - C:\WINDOWS\mfclu32.dll

neustarten

#oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\mfclu32.dll

wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )---->>klicke "yes"

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten, bzw
die Dateien im abgesicherten Modus loeschen
und das neue Log vom HijackThis noch einmal posten (vorher unter Internetoption eine neue Startseite einstellen)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#47 @giessi

Geh in HiJackThis auf
Config...
Misc Tools

Dann

Generate startup list
WICHTIG
Nur "List Minor Section" ankreuzen NICHT "List empty section"

Ergebnis hier posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#48 Hi leute, also ich finds super das ihr hier alle son helft.... ich bewundere das weil ich niemals wüsste was ich tun würde.... also hier ist mal meine logg-file und ich hoffe mal ihr helft mir damit weiter...


Logfile of HijackThis v1.98.2
Scan saved at 16:47:47, on 22.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\netyb.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\addoj32.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0FF54064-5091-3F1C-21F7-EF5710EE3A23} - C:\WINDOWS\system32\appam32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [crfe.exe] C:\WINDOWS\system32\crfe.exe
O4 - HKLM\..\Run: [addoj32.exe] C:\WINDOWS\addoj32.exe
O4 - HKLM\..\RunOnce: [netyb.exe] C:\WINDOWS\system32\netyb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428153E4-CC83-45C6-BCC9-05A85EAF592C}: NameServer = 217.237.150.97 217.237.149.161

#49 Fix bitte mal folgendes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pzcfs.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0FF54064-5091-3F1C-21F7-EF5710EE3A23} - C:\WINDOWS\system32\appam32.dll
O4 - HKLM\..\Run: [crfe.exe] C:\WINDOWS\system32\crfe.exe
O4 - HKLM\..\Run: [addoj32.exe] C:\WINDOWS\addoj32.exe
O4 - HKLM\..\RunOnce: [netyb.exe] C:\WINDOWS\system32\netyb.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe

starte dann neu, schicke folgende Dateien bitte an virus@protecus.de :

C:\WINDOWS\system32\appam32.dll
C:\WINDOWS\system32\pzcfs.dll
C:\WINDOWS\system32\crfe.exe
C:\WINDOWS\addoj32.exe
C:\WINDOWS\system32\netyb.exe

Oh ja, fast vergessen. Bitte dein Windows via www.windowsupdate.com aktualisieren!
__________
MfG Ralf
SEO-Spam Hunter

#50 ähm ich hab leider keine ahnung was du mit fixen genau meinst... sorry....

#51 Kein Problem! Einfach die von mir angegebenen Eintraege anhaken und "fix checked" druecken.
Bevor du fix checked drueckst, muss dein Internetexxplorer geschlossen sein. Mache danach bitte ein Neustart!
__________
MfG Ralf
SEO-Spam Hunter

#52 dankesehr, ich geh davon aus das ich die 5 dateien nach dem fixen senden soll und tu das auch das dauert aber nochw as da ich grad noch das update lade und das dauert ziemlich lange (18 elemente) uups....

#53 Ja, das weren wohl insgesamt 100 MB werden!
__________
MfG Ralf
SEO-Spam Hunter

#54 C:\WINDOWS\system32\appam32.dll

ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe

diese beiden dateien finde ich nich im hijack....

#55 Wenn du den "O2" und die "O16" Eintraege "Fix"t, sollte es shon reichne. Nach dem ganzen poste bitte ein neues Log.
__________
MfG Ralf
SEO-Spam Hunter

#56 so, also hab die beiden dateien doch gefunden, gefixt und neu gestartet, hab versucht die 5 dateien bei web.de hochzuladen und an die angegebene addresse zu schicken, jedoch finde ich keine der dateien manuell, gebe ich den oben genannten pfad ein kommt nur das die anlage größer als 0kb sein muss um angehängt zu werden....

#57 hier das neue log, wie gesagt nur ohne dir die 5 dateien zu schicken...


Logfile of HijackThis v1.98.2
Scan saved at 18:36:38, on 22.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {DBD17118-557D-6A66-C881-9D6BA43E91D2} - C:\WINDOWS\system32\apiep32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428153E4-CC83-45C6-BCC9-05A85EAF592C}: NameServer = 217.237.150.97 217.237.149.161

#58 Sieht schon besser aus. Fixe noch das:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {DBD17118-557D-6A66-C881-9D6BA43E91D2} - C:\WINDOWS\system32\apiep32.dll

Starte neu, erstelle eine neue Startseite und poste nohmal ein log.

In Bezug auf die Dateien. nutze mal Killbox* um die Dateien zu loeschen(siehe hier http://www.rokop-security.de/board/index.php?showtopic=3867 ), danach packe den Ordner !Submit und schick ihn mir.

*) Gebe diese Datinamen ins weise Feld einzeln ein, druecke bei jeder Datei das Rote x:
C:\WINDOWS\system32\appam32.dll
C:\WINDOWS\system32\pzcfs.dll
C:\WINDOWS\system32\crfe.exe
C:\WINDOWS\addoj32.exe
C:\WINDOWS\system32\netyb.exe
__________
MfG Ralf
SEO-Spam Hunter

#59 wo ist denn der ordner submit? soll ich nur diese:

C:\WINDOWS\system32\appam32.dll
C:\WINDOWS\system32\pzcfs.dll
C:\WINDOWS\system32\crfe.exe
C:\WINDOWS\addoj32.exe
C:\WINDOWS\system32\netyb.exe

dateinen löschen?

#60 also mit dem killbox finde ich die dateienn genausi wenig wenn ich den pfad eingebe kommt nur "the file seems not to exist"