Backdoorprogramm "BDS/Iroffer.1228" |
||
|---|---|---|
| #0
| ||
|
18.03.2005, 02:13
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
18.03.2005, 02:20
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@Maschiene
File: winlogon.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None AntiVir No viruses found (1.71 seconds taken) Avast No viruses found (6.36 seconds taken) BitDefender No viruses found (2.84 seconds taken) ClamAV No viruses found (2.86 seconds taken) Dr.Web No viruses found (10.79 seconds taken) F-Prot Antivirus No viruses found (0.42 seconds taken) Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.ServiceRunner.d (4.21 seconds taken) mks_vir No viruses found (2.13 seconds taken) NOD32 No viruses found (2.27 seconds taken) Norman Virus Control No viruses found (2.88 seconds taken) csrss.exe: Service load: 0% 100% File: winlogon.exe Status: Uploading file, please wait... Packers detected: None AntiVir No viruses found (1.71 seconds taken) Avast No viruses found (6.36 seconds taken) BitDefender No viruses found (2.84 seconds taken) ClamAV No viruses found (2.86 seconds taken) Dr.Web No viruses found (10.79 seconds taken) F-Prot Antivirus No viruses found (0.42 seconds taken) Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.ServiceRunner.d (4.21 seconds taken) mks_vir No viruses found (2.13 seconds taken) NOD32 No viruses found (2.27 seconds taken) Norman Virus Control No viruses found (2.88 seconds taken) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe PC neustarten •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: NTLOAD Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) NTSVCMGR Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" c:\windows\system32\winmgnt.dll c:\windows\system32\spoolvc.dll c:\windows\system32\schost.dll c:\stcli\srvany.exe C:\Windows\system32\dllcache\win32\csrss.exe.tcf c:\windows\system32\dllcache\win32\winlogon.exe c:\windows\system32\dllcache\win32\services.exe c:\windows\system32\dllcache\win32\csrss.exe NEUstarten c:\windows\system32\dllcache\win32\ <--loeschen c:\WINDOWS\$NtServicePackUninstall$\ <--loeschen, wenn es ca. (11mb) gross ist, kein anders ______________________________________________________________________- download the trial version of tds-3 anti trojan from here: http://www.diamondcs.com.au/tds/downloads/tds3setup.exe install it, but do not launch it yet update it: right click the link below, select "save as" http://www.diamondcs.com.au/tds/radius.td3 save it to the directory where you installed tds-3, overwriting the previous radius.td3. then launch tds-3. in the top bar of tds window click system testing> full system scan. detections will appear in the lower pane of tds window. after the scan is finished ( it'll take a while ) right click the list> select save as txt. save it and post the contents of the scandump.txt here Here is the scandump.txt ------------------------------------------------------------------------ Scan Control Dumped @ 19:51:49 01-03-05 Positive identification: Riskware.Tool.ServiceRunner.d File: c:\windows\system32\dllcache\win32\winlogon.exe Positive identification: Riskware.Tool.ServiceRunner.d File: c:\windows\system32\dllcache\win32\winlogon.exe Positive identification: Riskware.Tool.ServiceRunner.d File: c:\windows\system32\dllcache\win32\winlogon.exe Positive identification: Riskware.FTP.Serv-U.4100a File: c:\windows\system32\dllcache\win32\csrss.exe.tcf Positive identification: Riskware.Tool.ServiceRunner.d File: c:\windows\system32\dllcache\win32\winlogon.exe _________________________________________________________________________ Antivirus: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien poste mir das Log vom Scann __________________________________________________________________ •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen --> boote in den abgesicherten Modus--> scannen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> -------------------------------------------------------------------------- •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php poste mir die Ergebnisse vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Wäre echt nett wenn du mir hierbei nochmal helfen könntest!!!
DANKE!!!
mein Antivir Guard lässt ständig eine Warnmeldung zum Backdoorprogramm "BDS/Iroffer.1228" ab:
C:\WINDOWS\SYSTEM32\DLLCACHE\WIN32\SERVICES.EXE
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Iroffer.1228
Ich habe als erstes einmal die Systemwiederherstellung ausgeschalten!
Als zweites poste ich hier mal ein aktuelles Hijack-This Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:34:15, on 14.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Anwendungen\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
F:\spiele\half life 2\steam.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSvcCDA.EXE
c:\windows\system32\dllcache\win32\winlogon.exe
c:\windows\system32\dllcache\win32\winlogon.exe
c:\windows\system32\dllcache\win32\services.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\windows\system32\dllcache\win32\csrss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Appz\HIJACK\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 00:0E:5C:AB:7C:32
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Anwendungen\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Anwendungen\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] F:\Anwendungen\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "f:\spiele\half life 2\steam.exe" -silent
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Anwendungen\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Anwendungen\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Bases\Tune Up XP\WinStylerThemeSvc.exe
Wäre echt spitze wenn mir jemand helfen würde, das nervt langsam mit den Antivir-Meldungen!!!
Herzlich Dank im voraus!!!!!
Gruss
Maschiene
__________
MfG Sabina
rund um die PC-Sicherheit