Trojaner und Dropper legen lahm.. plz Help

#0
05.10.2004, 23:37
...neu hier

Beiträge: 4
#1 Hallo Leute

habe leider über Nacht DRopper,Trojaner,und Dlder bekommen.
Kam von der Schule und hatte kein NEtz. Das skurrile: Der Rechner war gar nicht an über Nacht.
Andere Rechner am NEtzwerk (Router) sind nicht betroffen.


ANtiVir findet:

DR/Bridge.A.2
TR/Dldr.PurityS.E.2
TR/Dldr.RunAdo.DlD.1
TR/dldr.lstBar.ET1
TR/Dldlr.DlD.HArnig.Y.4

Antivir ist von gestern, lässt sich nicht updaten, findet jetzt auch nix mehr.
ebenso Spybot...

KEin Inet ,kein LAN !, Icq für 5 Min. High JAck per Einbau eines Diskettenlaufwerks. *Uff*

HAbe alle anderen Threads zu den Viren gelesen.
Die Festplatte ist voll, auf Format c: hab ich wenig Bock.
MAnn will wieder Quakeworld zocken -_-

-
Danke




Logfile of HijackThis v1.98.2
Scan saved at 23:04:21, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\WinRAR\WinRAR.exe
E:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093351511468
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O21 - SSODL: System - {21AC04D4-EDCE-47DD-BCCD-CCACF938A33C} - (no file)


PS: ja shice search for it toolbar (spyware?!),die is ja auch noch druff
Seitenanfang Seitenende
06.10.2004, 02:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @duracellZIq3

Fixe mit dem HijackThis, dann neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar

O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll

O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com

O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O21 - SSODL: System - {21AC04D4-EDCE-47DD-BCCD-CCACF938A33C} - (no file)

neustarten


#Gehe in die Registry

Start<Ausfuehren<regedit
HKEY_CLASSES_ROOT\CLSID\{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}\InProcServer32\
Poste bitte, welche dll unter diesem Schluessel verzeichnet ist (und ob du noch andere Eintrage findest mit:{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}

___________________________________________________________________________________________

#Loesche;)ist vielleicht in WinRar, weil eine gepackte Datei)
SYSsfitb.cab

#oeffne noch mal das HijackThis:
HijackThis<Config<Delete a file on reboot< replaceSearch.dll < neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp

die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Datien im abgesicherten Modus loeschen. Auch muss man die Eintraege in der Registrierung per Hand entfernen

und das neue Log vom HijackThis noch mal posten.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.10.2004 um 15:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.10.2004, 13:36
...neu hier

Themenstarter

Beiträge: 4
#3 Vielen Dank schonmal, werde jetzt beginnen mit den schritten.
Mein einziges Problem ist, wie ich die programme (escan) auf den infizierten Rechner bekomme.it

laN funktioniert nicht und nen cd rohling hab ich so auch nit hier.
Update

Bin gerade bei den ersten registry eintraegen.
Der von dir beschriebene Pfad existiert nicht, in CLSID, ist kein ordner mit {21ac.....} --auch nicht suchfunktion

zu der Sysfitb.cab.: !!
Langsam wird mir klar woher der kommt, hatte vor 2 Wochen auf megagames
(für gekauftes D3!) ne AntiVir Meldung mit der Datei, in dieser Datei:
C:\windows\system32\SYSsfitb.dll
habe danch Sp2 installiert ;)

Diese Datei ist z.Z. vorhanden, jedoch keine .cab
Ich warte erstmal hier im Forum, bevor ich weitermache. oder?
Dieser Beitrag wurde am 06.10.2004 um 14:11 Uhr von duracellZIq3 editiert.
Seitenanfang Seitenende
06.10.2004, 15:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @duracellZIq3

1.Schritt:
Du musst alles in diesem Ordner loeschen;)nicht den Ordner selbst)
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5
und:: http://www.icra.org/_de/icraplus/help/clearingthecacheie.htm

Zum Beispiel:
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\IZIT4T0H
MediaTicketsInstaller[1].cab (ist:MediaTicketsInstaller.ocx
Ist das Trojanische Pferd TR/Dldr.PurityS.E.2)

2.Schritt:

AdShooter\Spy.Sysfit Trojaner +Bridge loeschen
(SYSsfitb.dll)
#Gehe in die Registry
Start<Ausfuehren<regedit
#loesche alle diese Eintraege:
HKEY_CLASSES_ROOT \ clsid{c109664b-ceb1-420b-b353-d55a561536dd}
HKEY_CLASSES_ROOT \ clsid{832BEBED-C3DA-4534-A2C2-B2FFF220C820}
HKEY_LOCAL_MACHINE \ clsid{c109664b-ceb1-420b-b353-d55a561536dd}
HKEY_LOCAL_MACHINE \ clsid{832BEBED-C3DA-4534-A2C2-B2FFF220C820}
HKEY_LOCAL_MACHINE \ software \ classes \ clsid{c109664b-ceb1-420b-b353-d55a561536dd}
HKEY_LOCAL_MACHINE \ software \ classes \ clsid{832BEBED-C3DA-4534-A2C2-B2FFF220C820}
HKEY_LOCAL_MACHINE \ software \ microsoft \ internet explorer \ toolbar{c109664b-ceb1-420b-b353-d55a561536dd}
HKEY_LOCAL_MACHINE \ software \ microsoft \ internet explorer \ toolbar{832BEBED-C3DA-4534-A2C2-B2FFF220C820}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\bridge
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
Browser Helper Objects\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}

#suche (oben links ist die Suchfunktion der Registry)und loesche alles, was du findest mit:
replaceSearch.dll + SYSsfitb.dll
{c109664b-ceb1-420b-b353-d55a561536dd}
{832BEBED-C3DA-4534-A2C2-B2FFF220C820}

schliesse die Registry

#Oeffne noch mal das HijackThis
<HijackThis<Config<Delete a file on reboot< SYSsfitb.dll< neustarten (!)
<HijackThis<Config<Delete a file on reboot<bridge.dll <<neustarten (!)
<HijackThis<Config<Delete a file on reboot< replaceSearch.dll<< neustarten (!)

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

<loesche auch:"Bridge.ini" und "bridge.inf"
< Eintrag in C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (hast du ja schon geloescht.....wie weiter oben empfehlen)

Loeschen Downloader.Harnig


Registry:

Loesche rechts folgende Eintraege:

"ShellServiceObjectDelayLoadSystem"="{0A323FA1-38DE-44EC-B2FA-4002183C143E}
"ShellServiceObjectDelayLoadSystem"="{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}
HKEY_CLASSES_ROOT\CLSID\{0A323FA1-38DE-44EC-B2FA-4002183C143E}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}\InProcServer32

HKEY_CLASSES_ROOT\CLSID\{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}\InProcServer32\
Poste bitte, welche dll unter diesem Schluessel verzeichnet ist (und ob du noch andere Eintrage findest mit:{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}
.....................................................
unter den korrekten Eintreagen:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Loesche folgende Eintraege:
"MinLevel" = "Code Download"
"Safety Warning Level" = "SucceedSilent"
"Security_RunActiveXControls" = "0x01000000"
"Security_RunScripts" = "0x01000000"
"Trust Warning Level" = "No Security"


Suche und loesche:
eventuell mit dem HijackThis loeschen
# %System%\secure32.txt
# %Windir%\system.exe
# %Windir%\system32\system32.dll
# %Windir%\desktop.exe
# %Windir%\toolbar.exe
# %Windir%\mstasks1.exe (Detected as Backdoor.Jeem)
# %Windir%\mstasks2.exe
# %Windir%\test
# %Windir%\seksdialer.exe
# %Windir%\system32\wintime.exe
# %Windir%\system32\dkdial.exe
# %Windir%\system32\dial32.exe
# %Windir%\Web\i_xx.gif(Where xx is a number between 01 and 20.)
# %Windir%\Web\desktop.html

.................
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.10.2004 um 16:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.10.2004, 16:40
...neu hier

Themenstarter

Beiträge: 4
#5 Saubere Arbeit, schreibe diese Antwort mit dem ehemals infizierten Rechner ;)
Vielen Dank, und das kostenlos. Wahnsinn!! ^^
Das siehst du alles an Highjack? muss ich mir mal genauer reinziehen die Sache..

Werde natürlich eScann laden, updaten , spybot etc un d nochmal gründlich suchen, ev. ne software firewall...

*freu*

Hier nochmal Log:

Logfile of HijackThis v1.98.2
Scan saved at 16:39:35, on 06.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\hijack\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe


Die Prozesse kenn ich doch fast alle ;)
Danke nochmal


Edit
Oh du hast editiert, bevor ich abgeschickt he.
Ok such ich noch nach dem HArnig.

Fast alle registry Einträge waren nicht zu finden, wie auch ne dll,
es gibt aber mehrere bridge.sys.

PS:ICh mache fast alles im abgesicherten Modus, weil ich Angst hab die könnten sich reaktivi(e)ren.
Dieser Beitrag wurde am 06.10.2004 um 20:02 Uhr von duracellZIq3 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: