Trojaner und Dropper legen lahm.. plz Help |
||
---|---|---|
#0
| ||
05.10.2004, 23:37
...neu hier
Beiträge: 4 |
||
|
||
06.10.2004, 02:27
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @duracellZIq3
Fixe mit dem HijackThis, dann neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchforit.com/searchbar R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab O21 - SSODL: System - {21AC04D4-EDCE-47DD-BCCD-CCACF938A33C} - (no file) neustarten #Gehe in die Registry Start<Ausfuehren<regedit HKEY_CLASSES_ROOT\CLSID\{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}\InProcServer32\ Poste bitte, welche dll unter diesem Schluessel verzeichnet ist (und ob du noch andere Eintrage findest mit:{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C} ___________________________________________________________________________________________ #Loescheist vielleicht in WinRar, weil eine gepackte Datei) SYSsfitb.cab #oeffne noch mal das HijackThis: HijackThis<Config<Delete a file on reboot< replaceSearch.dll < neustarten #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Datien im abgesicherten Modus loeschen. Auch muss man die Eintraege in der Registrierung per Hand entfernen und das neue Log vom HijackThis noch mal posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.10.2004 um 15:16 Uhr von Sabina editiert.
|
|
|
||
06.10.2004, 13:36
...neu hier
Themenstarter Beiträge: 4 |
#3
Vielen Dank schonmal, werde jetzt beginnen mit den schritten.
Mein einziges Problem ist, wie ich die programme (escan) auf den infizierten Rechner bekomme.it laN funktioniert nicht und nen cd rohling hab ich so auch nit hier. Update Bin gerade bei den ersten registry eintraegen. Der von dir beschriebene Pfad existiert nicht, in CLSID, ist kein ordner mit {21ac.....} --auch nicht suchfunktion zu der Sysfitb.cab.: !! Langsam wird mir klar woher der kommt, hatte vor 2 Wochen auf megagames (für gekauftes D3!) ne AntiVir Meldung mit der Datei, in dieser Datei: C:\windows\system32\SYSsfitb.dll habe danch Sp2 installiert Diese Datei ist z.Z. vorhanden, jedoch keine .cab Ich warte erstmal hier im Forum, bevor ich weitermache. oder? Dieser Beitrag wurde am 06.10.2004 um 14:11 Uhr von duracellZIq3 editiert.
|
|
|
||
06.10.2004, 15:18
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @duracellZIq3
1.Schritt: Du musst alles in diesem Ordner loeschennicht den Ordner selbst) C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5 und:: http://www.icra.org/_de/icraplus/help/clearingthecacheie.htm Zum Beispiel: C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\IZIT4T0H MediaTicketsInstaller[1].cab (ist:MediaTicketsInstaller.ocx Ist das Trojanische Pferd TR/Dldr.PurityS.E.2) 2.Schritt: AdShooter\Spy.Sysfit Trojaner +Bridge loeschen (SYSsfitb.dll) #Gehe in die Registry Start<Ausfuehren<regedit #loesche alle diese Eintraege: HKEY_CLASSES_ROOT \ clsid{c109664b-ceb1-420b-b353-d55a561536dd} HKEY_CLASSES_ROOT \ clsid{832BEBED-C3DA-4534-A2C2-B2FFF220C820} HKEY_LOCAL_MACHINE \ clsid{c109664b-ceb1-420b-b353-d55a561536dd} HKEY_LOCAL_MACHINE \ clsid{832BEBED-C3DA-4534-A2C2-B2FFF220C820} HKEY_LOCAL_MACHINE \ software \ classes \ clsid{c109664b-ceb1-420b-b353-d55a561536dd} HKEY_LOCAL_MACHINE \ software \ classes \ clsid{832BEBED-C3DA-4534-A2C2-B2FFF220C820} HKEY_LOCAL_MACHINE \ software \ microsoft \ internet explorer \ toolbar{c109664b-ceb1-420b-b353-d55a561536dd} HKEY_LOCAL_MACHINE \ software \ microsoft \ internet explorer \ toolbar{832BEBED-C3DA-4534-A2C2-B2FFF220C820} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\bridge HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ Browser Helper Objects\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF} #suche (oben links ist die Suchfunktion der Registry)und loesche alles, was du findest mit: replaceSearch.dll + SYSsfitb.dll {c109664b-ceb1-420b-b353-d55a561536dd} {832BEBED-C3DA-4534-A2C2-B2FFF220C820} schliesse die Registry #Oeffne noch mal das HijackThis <HijackThis<Config<Delete a file on reboot< SYSsfitb.dll< neustarten (!) <HijackThis<Config<Delete a file on reboot<bridge.dll <<neustarten (!) <HijackThis<Config<Delete a file on reboot< replaceSearch.dll<< neustarten (!) #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" <loesche auch:"Bridge.ini" und "bridge.inf" < Eintrag in C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (hast du ja schon geloescht.....wie weiter oben empfehlen) Loeschen Downloader.Harnig Registry: Loesche rechts folgende Eintraege: "ShellServiceObjectDelayLoadSystem"="{0A323FA1-38DE-44EC-B2FA-4002183C143E} "ShellServiceObjectDelayLoadSystem"="{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C} HKEY_CLASSES_ROOT\CLSID\{0A323FA1-38DE-44EC-B2FA-4002183C143E}\InProcServer32 HKEY_CLASSES_ROOT\CLSID\{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}\InProcServer32 HKEY_CLASSES_ROOT\CLSID\{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C}\InProcServer32\ Poste bitte, welche dll unter diesem Schluessel verzeichnet ist (und ob du noch andere Eintrage findest mit:{21AC04D4-EDCE-47DD-BCCD-CCACF938A33C} ..................................................... unter den korrekten Eintreagen: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings Loesche folgende Eintraege: "MinLevel" = "Code Download" "Safety Warning Level" = "SucceedSilent" "Security_RunActiveXControls" = "0x01000000" "Security_RunScripts" = "0x01000000" "Trust Warning Level" = "No Security" Suche und loesche: eventuell mit dem HijackThis loeschen # %System%\secure32.txt # %Windir%\system.exe # %Windir%\system32\system32.dll # %Windir%\desktop.exe # %Windir%\toolbar.exe # %Windir%\mstasks1.exe (Detected as Backdoor.Jeem) # %Windir%\mstasks2.exe # %Windir%\test # %Windir%\seksdialer.exe # %Windir%\system32\wintime.exe # %Windir%\system32\dkdial.exe # %Windir%\system32\dial32.exe # %Windir%\Web\i_xx.gif(Where xx is a number between 01 and 20.) # %Windir%\Web\desktop.html ................. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.10.2004 um 16:45 Uhr von Sabina editiert.
|
|
|
||
06.10.2004, 16:40
...neu hier
Themenstarter Beiträge: 4 |
#5
Saubere Arbeit, schreibe diese Antwort mit dem ehemals infizierten Rechner
Vielen Dank, und das kostenlos. Wahnsinn!! ^^ Das siehst du alles an Highjack? muss ich mir mal genauer reinziehen die Sache.. Werde natürlich eScann laden, updaten , spybot etc un d nochmal gründlich suchen, ev. ne software firewall... *freu* Hier nochmal Log: Logfile of HijackThis v1.98.2 Scan saved at 16:39:35, on 06.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Mozilla Firefox\firefox.exe E:\hijack\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe Die Prozesse kenn ich doch fast alle Danke nochmal Edit Oh du hast editiert, bevor ich abgeschickt he. Ok such ich noch nach dem HArnig. Fast alle registry Einträge waren nicht zu finden, wie auch ne dll, es gibt aber mehrere bridge.sys. PS:ICh mache fast alles im abgesicherten Modus, weil ich Angst hab die könnten sich reaktivi(e)ren. Dieser Beitrag wurde am 06.10.2004 um 20:02 Uhr von duracellZIq3 editiert.
|
|
|
||
habe leider über Nacht DRopper,Trojaner,und Dlder bekommen.
Kam von der Schule und hatte kein NEtz. Das skurrile: Der Rechner war gar nicht an über Nacht.
Andere Rechner am NEtzwerk (Router) sind nicht betroffen.
ANtiVir findet:
DR/Bridge.A.2
TR/Dldr.PurityS.E.2
TR/Dldr.RunAdo.DlD.1
TR/dldr.lstBar.ET1
TR/Dldlr.DlD.HArnig.Y.4
Antivir ist von gestern, lässt sich nicht updaten, findet jetzt auch nix mehr.
ebenso Spybot...
KEin Inet ,kein LAN !, Icq für 5 Min. High JAck per Einbau eines Diskettenlaufwerks. *Uff*
HAbe alle anderen Threads zu den Viren gelesen.
Die Festplatte ist voll, auf Format c: hab ich wenig Bock.
MAnn will wieder Quakeworld zocken -_-
-
Danke
Logfile of HijackThis v1.98.2
Scan saved at 23:04:21, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\WinRAR\WinRAR.exe
E:\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093351511468
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O21 - SSODL: System - {21AC04D4-EDCE-47DD-BCCD-CCACF938A33C} - (no file)
PS: ja shice search for it toolbar (spyware?!),die is ja auch noch druff