tr/dldr.small.or

#76 @ TheCrow

Die Dateien im Submit Ordner interessieren mich nur, da ich nicht alle Einordnen kann, besonders:
C:\Program Files\Win Comm\WinComm.exe

Du solltst auch diesen kompletten Ordner loeschen: c:\programme\180solutions


Wegen der Firewall, das ist mehr so eine Glaubensfrage. Sabina sagt gerne Sygate, einige schwoeren auf Kerio, aber das neue Zonealarm tut es wohl auch.
__________
MfG Ralf
SEO-Spam Hunter

#77 Hallo@raman

W32/Agobot-BH (?)
http://www.sophos.de/virusinfo/analyses/w32agobotbh.html
Der Wurm kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf Computer zu verbreiten, indem er die DCOM RPC- und die RPC Locator-Schwachstellen ausnutzt.
Durch diese Schwachstellen kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstellen und Hinweise dazu, wie Sie Ihre Computer vor solchen Angriffen schützen können, finden Sie in den Microsoft Security Bulletins MS03-026 und MS03-001.

Hier wird ein anderer Agabot behandelt:
http://forums.winforums.org/showthread.php?t=4246

<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe
<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

<C:\Program Files\Win Comm\WinComm.exe

ich weiss nicht, ob das dazugehoert ?
<C:\WINDOWS\Downloaded Program Files\WinCommX.dll [AdvWare.WinAD]
<C:\Program Files\Win Comm\WinLock.exe
aber es tritt immer gemeinsam auf.....

mfg
Sabina

,
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#78 omg ey.. muss ich das wirklich alles machn ?!? -_- son Schei... ey
naja muss jetz eh erstma weg

#79 hallo

echt tolles forum hier, und echt klasse wie hier geantwortet wird.
besonders lob an sabina, die ja anscheinend unermüdlich ist.

hat auch diesen trojaner TR/Dldr.small.or drauf und konnte ihn mit diesem forum denk ich mal beseitigen.

eine frag bleibt aber noch: welche auswirkungen hatte dieser Trojaner? Konnte dazu noch nix im Netz finden. auch in verschiedenen virenlisten taucht er nicht auf.

@sabina: war das ein passwort-auspionierender trojaner u. wahrsch harmlos?

mfg

heiko

#80 Hallo Sabina,

C:\Program Files\Win Comm\WinComm.exe ist kein Agobot, Spybot/Adware wahrscheinlich, nur will ichs genau wissen!

Das ist mir nun schon 4 mal ueber den weg gelaufen. Da werden wohl wieder mehrere "Schmuddelseiten" und "[wares/crack]" Seiten ihre activeMalware umgestellt haben.
__________
MfG Ralf
SEO-Spam Hunter

#81 sche... die obere hälfte deines post raff ich net ich geh in die regedit oder was auch immer über ausführen und dann ?!? wie soll ich die suchen ?!? die find ich da net da is nix mit hklm oder hkcu davor ?!?

und mit den benutzern.. da komm ich bis /run/ und dann is da aber kein win32 usb2driver oder sowat o.0

bin dann heute abend wieder da und hoffe dann mehr zu verstehn xD
ihr könnt ja schonmal versuchen es für einen noob wie mich verständlich zu erklären

#82 wenn ich was suche dann erhalte ich nur die meldung suche abgeschlossen oder sowas...
und wo werden die gefundenen sachen dann angezeigt ??

#83 noch was: hier is mein "gesäubertes hijack-log"

@sabina: kannste ma kurz nen blick drüber werfen? hab alles was böse war gefixt.
vielleicht fällt dir ja noch was auf.

wär lieb

mfg heiko

Logfile of HijackThis v1.98.2
Scan saved at 13:07:07, on 27.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\0190wa~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\0190WA~1\WARN0900.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ard.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0190WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S20.tmp"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098826409843
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{629D941D-1537-4ECA-B589-ACEFCA904B37}: NameServer = 195.182.110.132 62.134.11.4

#84 Hallo@Raman

Hier meine Erfahrungen mit der Malware:

<c:\windows\system\wincomm.exe (nicht sichtbar)
<C:\WINDOWS\Downloaded Program Files\WinCommX.dll ..(laesst sich loeschen)
[AdvWare.WinAD]
<C:\Program Files\Win Comm\WinLock.exe...(laesst sich loeschen)
C:\Program Files\Win Comm\WinComm.exe...(laesst sich nicht so einfach loeschen,solange :c:\windows\system\wincomm.exe noch nicht geloescht ist.)

Zitat:
<C:\Program Files\Win Comm\WinComm.exe - lässt sich nicht löschen!!!! ... system sagt, dass es noch läuft oder ich keine berechtigung habe, es zu löschen
_____________________________________________________________________________-
Geloescht bekommt man es so:

Start<Ausfuehren<regedit
loeschen:
<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe
<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\windows\system\wincomm.exe <PC NEUSTARTEN
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Program Files\Win Comm\WinComm.exe < PC NEUSTARTEN
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\Downloaded Program Files\WinCommX.dll < PC neustarten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#85 Hallo@TheCrow

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32 USB2 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB2 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32 USB2 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Win32 USB2 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB2 Driver

HKLM<bedeutet: HKEY_LOCAL_MACHINE
HKCU<bedeutet: HKEY_CURRENT_USER

bei der Gelegenheit loesche auch gleich:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\180solutions\sais.exe


und vergiss nicht, den
[Dienst namens "" "L O L "mit dem Anzeigennamen "Win32 USB2 Driver".]
zu deaktivieren, wie im anderen Thread erklaert.

Dann fixt du, was ich geschrieben hatte im HijackThis, startest unbedingt den PC neu und arbeitest den Rest ab.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#86 Hallo@funka
Es ist alles sauber

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

#NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios
________________________________________________________________________

Trojaner und die Wirkung als Remotecontroller & Backdoors
http://www.emsisoft.de/de/kb/articles/tec030418/
#Backdoor Functionality
http://www.trojaner-board.de/showpost.php?p=71796&postcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#87 Hi Sabina,

danke fuer die Infos, irgendwann laeuft mir das schon noch ueber den Weg.
__________
MfG Ralf
SEO-Spam Hunter

#88 Hi Sabina
Also ich habe die von dir angegebenen Probs mit HiJackThis gefixt.
Meinen Pc habe ich schon wie gesagt vorher gescannt und das kam dabei raus (es handelt es sich hier bereits um einen 2en scan von mir, beim ersten wurden bereits 14 gefunden die ich dann gelöscht habe...:

C:\System Volume Information\_restore{17CCB174-F6FC-4B48-8944-9EA382CD89D2}\RP45\A0020817.EXE infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
C:\WINDOWS\Downloaded Program Files\rundlg32.dll tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
C:\Dokumente und Einstellungen\.dreck\Lokale Einstellungen\Temp\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.Toolbar.MyWay.e. No Action Taken.
C:\System Volume Information\_restore{17CCB174-F6FC-4B48-8944-9EA382CD89D2}\RP45\A0020819.DLL tagged as not-a-virus:AdWare.Toolbar.MyWay.e. No Action Taken.
D:\Rein-hier\Illys Sicherung\Install-Sonstiges\DivX\DivX 5.02.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
D:\System Volume Information\_restore{17CCB174-F6FC-4B48-8944-9EA382CD89D2}\RP45\A0020820.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


die beim ersten fund gefundenen habe ich auch noch als log.

#89 Und hier gleich die HiJackThis (normaler modus):

Logfile of HijackThis v1.98.2
Scan saved at 16:41:54, on 27.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PCI Audio Applications\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\.dreck\Eigene Dateien\hijackthis2\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 Ser*hier nicht!*=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B621D02E-BBC5-47A6-9D63-8DA02A289BDC}: NameServer = 217.237.151.225 217.237.150.225

#90 Hallo@Spectre

oeffne das HijackThis:

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\Downloaded Program Files\rundlg32.dll
<PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Dokumente und Einstellungen\.dreck\Lokale Einstellungen\Temp\cd_clint.dll
<PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
<PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL
<PC neustarten

Dann deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.

Dann scanne noch mal mit <eScan<.

saeubere denIE
#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt .
http://www.almisoft.de/traxex2.htm

saeubere \optimiere
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit