downloader briss.A - die ganze briss-family

#0
28.08.2004, 07:33
...neu hier

Beiträge: 1
#1 hallo leutz

avg (7.0) zeigt mir folgende troy's an:

-Downloader.Briss.A
-Downloader.Istbar.4.AG
-PSW.Briss.C
-PSW.Briss.H

wie bringe ich diese troy's von meinem system?? hijackthis hat folgendes entdeck:

Logfile of HijackThis v1.98.2
Scan saved at 07:18:36, on 28.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\regscan.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\wintcp.exe
C:\WINDOWS\System32\winsys.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\PROGRA~1\Grisoft\AVG7\avgwa.dat
C:\Dokumente und Einstellungen\nightcrawler°\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für RegSeeker.zip\RegSeeker\RegSeeker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\nightcrawler°\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wog.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6D8B435D-E019-55BA-D721-605578DD264C} - C:\WINDOWS\System32\koh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Network protocol service] wintcp.exe
O4 - HKLM\..\Run: [WindowsRegKey update] winsys.exe
O4 - HKLM\..\Run: [Micr Update] soundblaster.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\RunServices: [Network protocol service] wintcp.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winsys.exe
O4 - HKLM\..\RunServices: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Network protocol service] wintcp.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winsys.exe
O4 - HKCU\..\Run: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [Ehoh] C:\Dokumente und Einstellungen\nightcrawler°\Anwendungsdaten\rtuc.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093324793587

falls jemand helfen kann oder nützliche tipps hat, bin ich sehr dankbar! falls ihr mehr infos benötigt, lasst's mich wissen.

grüsse
nightcrawler°
__________
regards
nightcrawler°
Seitenanfang Seitenende
28.08.2004, 22:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @nightcrawler

0.)Falls du wichtige nicht verschluesselte Passworte o.a. hast, aendere sie.(dein PC ist voellig verseucht)
1. Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

2.scanne mit dem HijackThis, das hier anhaken und <fix< dann neustarten:

O2 - BHO: (no name) - {6D8B435D-E019-55BA-D721-605578DD264C} - C:\WINDOWS\System32\koh.dll
vor dem Fixen im Tasmanager deaktivieren:
O4 - HKLM\..\Run: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\Run: [Network protocol service] wintcp.exe
O4 - HKLM\..\Run: [WindowsRegKey update] winsys.exe
O4 - HKLM\..\Run: [Micr Update] soundblaster.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\RunServices: [Network protocol service] wintcp.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winsys.exe
O4 - HKLM\..\RunServices: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [Network protocol service] wintcp.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winsys.exe
O4 - HKCU\..\Run: [Micr Update] soundblaster.exe
O4 - HKCU\..\Run: [Ehoh] C:\Dokumente und Einstellungen\nightcrawler°\Anwendungsdaten\rtuc.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?

neustarten

#Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
__________________________________________________________________

#Mache die neusten WindowsUpdates
# scanne noch mal mit mwav.exe und:poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal.

#mache aber vorher noch diese Onlinetests ...warte ab. bis die
http://scan.sygatetech.com/
Gesamteinschaetzung erscheint, kopiere sie und poste sie zusammen mit den anderen Sachen.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 22:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.08.2004, 10:50
Moderator

Beiträge: 7805
#3 Es ist schon interessant, was AVG alles *nicht* findet. Du solltest, bevor du die Dateien loescht, sie lieber umbenennen und an AVG schicken, damit sie diese "Plagen" hinzufuegen koennen.

Die kavupd.exe befindet sich in dem Bases Verzeichniss, wenn du MWAV dahin entpackt hast. Das musst du Manuell mit Winzip oder Winrar machen.

Du solltest dir auch gedanken darueber machen, wie du diese infectionen vermeiden kannst.

Einige interessante Links kannst du unter anderem hier finden:

http://board.protecus.de/t12108-1.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: