Home » Viren, Trojaner & Malware Forum » W32spybot ([Virus Protect] vrsprtc.exe) + NsUpdate.exe <--Dialer.Lusval » Themenansicht
W32spybot ([Virus Protect] vrsprtc.exe) + NsUpdate.exe <--Dialer.Lusval |
||
|---|---|---|
| #0
| ||
|
23.03.2005, 14:09
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
23.03.2005, 14:16
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@IDONTNO
Das dein PC mit backdoors durchsetzt ist, verwundert mich nicht. Du scheinst noch nie etwas von gewissen WindowsUpdates gehoert zu haben...... •KillBox (entpacke auf dem Desktop) http://www.bleepingcomputer.com/files/killbox.php Laden Sie die Trial Version von tds-3 anti trojan von hier : http://www.diamondcs.com.au/tds/downloads/tds3setup.exe tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht. #Machen Sie ein Update. http://www.diamondcs.com.au/tds/radius.td3 #Um das Update durchzuführen --> [Rechts-klick] --> speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor installiert haben. Update radius.td3 (Die vorherige Datei radius.td3.wird so ueberschrieben ) #Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster, klicken Sie auf System testing --> full system scan #Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen. Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei). #Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread  •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE<--Dialer.Lusval O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\bjicccodes.dll,_mainRD<--W32.Mota.A O4 - HKLM\..\Run: [Task managers] msupdates.exe O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe O4 - HKLM\..\RunServices: [Task managers] msupdates.exe O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe O4 - HKCU\..\Run: [Task managers] msupdates.exe PC neustarten gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml gehe in die Registry Start<Ausfuehren--> regedit loesche mit rechtsklick: "GlobalCS" unter dem Schluessel: HKEY_CURRENT_USER\SOFTWARE\ Bearbeiten--> suchen --> <msupdates.exe <Virus Protect <winupdt <vrsprtc.exe loesche alles, was du findest mit rechtsklick (aber immer darauf achten, dass es wirklich zu den Viren gehoert und nicht etwa zu Windows) schliesse die Registry und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. Killbox:(oeffnen) •Delete File on Reboot <--anhaken c:\windows\bjicccodes.dll C:\WINDOWS\cfg.dat C:\WINDOWS\NsUpdate.exe C:\WINDOWS\System32\vrsprtc.exe C:\WINDOWS\System32\msupdates.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten ----------------------------------------------------------------------- Dial/Laet-A/Dialer.Lusval ist ein Premiumraten-Diallerprogramm.--> * Trojaner Der Dialler kopiert sich in einen Unterordner des Programme-Ordners und verwendet dabei den Dateinamen des Diallers als Ordnernamen (d. h., wenn der Dialler den Namen dial.exe hat, kopiert er sich nach <Program Files>\dial\dial.exe). Der Dialler erstellt Verknüpfungen zu der Kopie auf dem Desktop und im Startmenü. Der Dialler kopiert sich außerdem als NsUpdate.exe in den Windows-Ordner. ------------------------------------------------------------------------ When W32.Mota.A runs, it does the following: 1. Creates the following files: * %Windir%\[random value].exe (27136 bytes)--> ????? * %Windir%\[random value].dll (39936 bytes) -->c:\windows\bjicccodes.dll * %Windir%\cfg.dat (32768 bytes)-->c:\windows\cfg.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe mich ins netz auf die suche nach hilfe gemacht und bin hier gelandet.Ich stelle fest das Norton anti virus program ein magnet für das bestien ist...Ich habe absolut keine ahnung von komputer und genau so wenig von Fachvokabular .
Nach deine empfehlung für ein andere glucklische kunde der firma semantec , habe ich die hinweise gefolt und bin auch an etwas gekommen die ich gar nicht entzieffern kann: HIJACKTHIS.
Ich bitte um licht in meine dunkelheit und wäre sehr dankbar wenn jemand mir damit weiter helfen könnte ...es wäre serh freundlich wenn ich die infos in eine für mich pratikable sprache bekäme.IDONTNO don't know...
Also wie ernst ist es doc ?
Ich hoffe du hast gerade zeit für mich.
Besten danke
Michel
..................................................................................................
Logfile of HijackThis v1.99.1
Scan saved at 14:47:53, on 22.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\vrsprtc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msupdates.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\Michel\Eigene Dateien\michel\virus\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comundo.lycos.de/?version=v401
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.comundo.lycos.de/?version=v401
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Comundo - Click to Quality
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\bjicccodes.dll,_mainRD
O4 - HKLM\..\Run: [SA] C:\Programme\Logitech\QuickCam\SA3.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Task managers] msupdates.exe
O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [Task managers] msupdates.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Task managers] msupdates.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.comundo.lycos.de/?version=v401
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{856493DD-16D2-4498-8270-F20F86834CB3}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
__________
MfG Sabina
rund um die PC-Sicherheit