downloader briss.A - die ganze briss-family |
||
---|---|---|
#0
| ||
28.08.2004, 07:33
...neu hier
Beiträge: 1 |
||
|
||
28.08.2004, 22:40
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @nightcrawler
0.)Falls du wichtige nicht verschluesselte Passworte o.a. hast, aendere sie.(dein PC ist voellig verseucht) 1. Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.scanne mit dem HijackThis, das hier anhaken und <fix< dann neustarten: O2 - BHO: (no name) - {6D8B435D-E019-55BA-D721-605578DD264C} - C:\WINDOWS\System32\koh.dll vor dem Fixen im Tasmanager deaktivieren: O4 - HKLM\..\Run: [Windows Registry Scan] regscan.exe O4 - HKLM\..\Run: [Network protocol service] wintcp.exe O4 - HKLM\..\Run: [WindowsRegKey update] winsys.exe O4 - HKLM\..\Run: [Micr Update] soundblaster.exe O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe O4 - HKLM\..\RunServices: [Network protocol service] wintcp.exe O4 - HKLM\..\RunServices: [WindowsRegKey update] winsys.exe O4 - HKLM\..\RunServices: [Micr Update] soundblaster.exe O4 - HKCU\..\Run: [Network protocol service] wintcp.exe O4 - HKCU\..\Run: [WindowsRegKey update] winsys.exe O4 - HKCU\..\Run: [Micr Update] soundblaster.exe O4 - HKCU\..\Run: [Ehoh] C:\Dokumente und Einstellungen\nightcrawler°\Anwendungsdaten\rtuc.exe O4 - Global Startup: D-Link AirPlus.lnk = ? neustarten #Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. __________________________________________________________________ #Mache die neusten WindowsUpdates # scanne noch mal mit mwav.exe undoste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal. #mache aber vorher noch diese Onlinetests ...warte ab. bis die http://scan.sygatetech.com/ Gesamteinschaetzung erscheint, kopiere sie und poste sie zusammen mit den anderen Sachen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 22:52 Uhr von Sabina editiert.
|
|
|
||
29.08.2004, 10:50
Moderator
Beiträge: 7805 |
#3
Es ist schon interessant, was AVG alles *nicht* findet. Du solltest, bevor du die Dateien loescht, sie lieber umbenennen und an AVG schicken, damit sie diese "Plagen" hinzufuegen koennen.
Die kavupd.exe befindet sich in dem Bases Verzeichniss, wenn du MWAV dahin entpackt hast. Das musst du Manuell mit Winzip oder Winrar machen. Du solltest dir auch gedanken darueber machen, wie du diese infectionen vermeiden kannst. Einige interessante Links kannst du unter anderem hier finden: http://board.protecus.de/t12108-1.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
avg (7.0) zeigt mir folgende troy's an:
-Downloader.Briss.A
-Downloader.Istbar.4.AG
-PSW.Briss.C
-PSW.Briss.H
wie bringe ich diese troy's von meinem system?? hijackthis hat folgendes entdeck:
Logfile of HijackThis v1.98.2
Scan saved at 07:18:36, on 28.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\regscan.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\wintcp.exe
C:\WINDOWS\System32\winsys.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\PROGRA~1\Grisoft\AVG7\avgwa.dat
C:\Dokumente und Einstellungen\nightcrawler°\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für RegSeeker.zip\RegSeeker\RegSeeker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\nightcrawler°\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wog.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6D8B435D-E019-55BA-D721-605578DD264C} - C:\WINDOWS\System32\koh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Network protocol service] wintcp.exe
O4 - HKLM\..\Run: [WindowsRegKey update] winsys.exe
O4 - HKLM\..\Run: [Micr Update] soundblaster.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\RunServices: [Network protocol service] wintcp.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winsys.exe
O4 - HKLM\..\RunServices: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Network protocol service] wintcp.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winsys.exe
O4 - HKCU\..\Run: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [Ehoh] C:\Dokumente und Einstellungen\nightcrawler°\Anwendungsdaten\rtuc.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093324793587
falls jemand helfen kann oder nützliche tipps hat, bin ich sehr dankbar! falls ihr mehr infos benötigt, lasst's mich wissen.
grüsse
nightcrawler°
__________
regards
nightcrawler°