Neuer Rechnung.pdf.exe / T-com-Rechnung.pdf.exe TrojanerThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.08.2005, 21:33
Moderator
Beiträge: 7805 |
||
|
||
14.08.2005, 01:07
Member
Beiträge: 4730 |
#2
Jetzt mal mit der Opodo-Version von dem Ding:
Wer auf so ein Ding klickt, holt sich mächtig was ins Haus. Gespeichert ist der Virus als Rechnung.pdf.exe. Diese Datei ist nach F-Secure der Trojaner Small.avu bzw. Dumador.bl oder eine seiner Varianten. Das Ding macht eine ganze Menge. Ich infiziere meinen Test-PC am 12.08.2005: Logfile of HijackThis v1.99.1 Scan saved at 22:55:01, on 13.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\VMADD\VMUSrvc.exe C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe C:\WINDOWS\System32\winldra.exe C:\WINDOWS\wzcpsrv.exe (Backdoor.W32.Bancodor.z) C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [sunasDTServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe O4 - HKLM\..\Run: [sunasServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe O4 - HKLM\..\Run: [WzcpSrv32] C:\WINDOWS\wzcpsrv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SVCHOST] C:\WINDOWS\rechnung[1].pdf.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE rot markierte Einträge gefixt. Systemwiederherstellung ausgeschaltet. --> cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Zitat Volume in Laufwerk C: hat keine Bezeichnung.eScan-Log: Zitat Sat Aug 13 23:14:04 2005 => File C:\WINDOWS\rechnung[1].pdf.exe infected by "Trojan-Downloader.Win32.Small.bgp" Virus! Action Taken: No Action Taken.Weiteres Vorgehen: Killbox: lösche alle gefundenen Viren-Dateien mit "Delete on Reboot". Mit dem CCleaner alle Temporären Dateien löschen. Manuelles löschen der Dateien: c:\windows\system32\winldr.ini - beinhaltet Zitat [params]c:\windows\system32\dllsys.dll c:\windows\url.dat - beinhaltet Zitat http://npfpk.ru/content/img/logger.phpc:\windows\cmdid.dat (beinhaltet nur die Zahl 1123828482) c:\windows\netdx.dat (beinhaltet: RDKTMKAWHRLXDCUEXOFDOUZUQOLINBQ) Zum Schluss nochmal ein HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 00:21:58, on 14.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\VMADD\VMUSrvc.exe C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [sunasDTServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe O4 - HKLM\..\Run: [sunasServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SVCHOST] C:\WINDOWS\rechnung[1].pdf.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE Das rote entfernen ich wieder mit HJT (möglicherweise hab ich es vorhin übersehen, aber ich scanne vorsichtshalber nochmal). Ah ja, c:\windows\wzcpsrv.exe wird noch gefunden (hab ich vorhin möglicherweise auch "vergessen" - also nochmal mit Killbox löschen) So, System ist nun "sauber". Noch eine Überprüfung mit Spybot: Er findet einige Einträge von CWS, die u.a. symantec.com auf 127.0.0.1 umleiten. Das bringt mich auf die Idee, mal in die Hosts-Datei zu gucken. Sämtliche Seiten von AntiViren-Software-Herstellern sind auf 127.0.0.1 geroutet, also werden entsprechende Einträge gelöscht. Und nun muss aber noch der RegCleaner ran, weil da auch einiges im Unklaren ist: Zitat Sun Aug 14 00:42:47 2005 => Entry "HKCR\cs_srv.CSManip" refers to invalid object "{E456535C-4E03-4a54-8F5C-5B8A218404DB}". Action Taken: No Action Taken.Ich weiß jetzt aber nicht, ob das von der Infektion herrührt... lässt sich mit RegCleaner nicht löschen, deshalb hab ichs manuell gemacht. Windows startet auch ganz normal, also sollte der PC nun sauber sein. Das letzte HJT-Log nun ist sauber. Ich hoffe, dass dieser Workaround zur Säuberung hilfreich ist. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 14.08.2005 um 01:09 Uhr von Managor editiert.
|
|
|
||
14.08.2005, 01:15
Ehrenmitglied
Beiträge: 29434 |
#3
Keylogger: "trojan Srv.SSA-KeyLogger"
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe Entfernungstool Sunbelt und deutsche Uebersetzung von "spywareinfo.com/newsletter": http://virus-protect.org/Artikel/newsletter/newsletter12082005.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.08.2005, 01:26
Member
Beiträge: 4730 |
#4
Du meinst, ich sollte nochmal explizit danach suchen? Mach ich... obwohl ich nichts verdächtiges mehr feststellen konnte.
Nachtrag: SSA Keylogger Cleaner Log (c) Sunbelt Software Inc. 2005 www.sunbelt-software.com Scan Running Processes: Scanning For Trojan Files: Searching for SSA files: C: C:\WINDOWS C:\WINDOWS\System C:\WINDOWS\temp C:\Program Files\Internet Explorer\SHTTP Cleaning HOSTS file: Cleaning Registry. Deleted Reg Key: Software\SARS System Clean The SSA Keylogger was not found on your system. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 14.08.2005 um 01:30 Uhr von Managor editiert.
|
|
|
||
14.08.2005, 02:44
Ehrenmitglied
Beiträge: 29434 |
#5
Managor
infiziere das System noch mal. versuche,ob das Entfernungstool funktioniert .... ich glaube es nicht so ganz, weil die Vielfalt der geladenen Malware doch sehr gross ist. und den Haxdoor hast du auch nicht mitgeladen das Entfernungstool scheint nur zu sein fuer: O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe ------------- dann solltest du auch sehen, welche Veraenderungen in der Registry eingetreten sind.....schade, dass du kein XP+ SP2 hast .... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.08.2005, 03:05
Member
Beiträge: 4730 |
#6
ich will das SP2 nicht installieren, weil dadurch potentielle Gefährungen ausgeschlossen werden würden. Mich ärgert es ja schon, dass ich SP1 habe...
Ich bin gerade am basteln mit Messenger Plus! 3 __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
14.08.2005, 03:10
Ehrenmitglied
Beiträge: 29434 |
#7
mit SP2 wird es doch erst so richtig interessant
Zitat Keylogger: "trojan Srv.SSA-KeyLogger" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.08.2005, 03:16
Member
Beiträge: 4730 |
#8
Ok, ich probiers... hab ja noch ne Kopie des virtuellen Systems - da kann ich also notfalls drauf zurück greifen
SP2-Installation ging - trotz Infektion. Aber ich hatte seit des Aufrufs von rechnung.pdf.exe noch nicht neu gestartet, also war der Virus evtl. noch nicht aktiv. Das SicherheitsCenter meldet sich aber trotzdem. Jedoch: mache ich nen Doppelklick darauf, startet der PC neu. Also erstmal die Option "Bei Systemfehler neu starten" deaktivieren. Firewall und automatische Updates werden regelmäßig deaktiviert. SSACleaner-Log: SSA Keylogger Cleaner Log (c) Sunbelt Software Inc. 2005 www.sunbelt-software.com SSA Keylogger Cleaner Log (c) Sunbelt Software Inc. 2005 www.sunbelt-software.com Scan Running Processes: Killed process: winldra.exe Scanning For Trojan Files: SSA Keylogger Cleaner Log (c) Sunbelt Software Inc. 2005 www.sunbelt-software.com Scan Running Processes: Killed process: winldra.exe Scanning For Trojan Files: Searching for SSA files: C: C:\WINDOWS Delete file: netdx.dat Delete file: cmdid.dat C:\WINDOWS\System C:\WINDOWS\temp Delete file: fe43e701.htm C:\Program Files\Internet Explorer\SHTTP Cleaning HOSTS file: 127.0.0.1 www.trendmicro.com stripped from HOSTS file. 127.0.0.1 trendmicro.com stripped from HOSTS file. 127.0.0.1 rads.mcafee.com stripped from HOSTS file. 127.0.0.1 customer.symantec.com stripped from HOSTS file. 127.0.0.1 liveupdate.symantec.com stripped from HOSTS file. 127.0.0.1 us.mcafee.com stripped from HOSTS file. 127.0.0.1 updates.symantec.com stripped from HOSTS file. 127.0.0.1 update.symantec.com stripped from HOSTS file. 127.0.0.1 www.nai.com stripped from HOSTS file. 127.0.0.1 nai.com stripped from HOSTS file. 127.0.0.1 secure.nai.com stripped from HOSTS file. 127.0.0.1 dispatch.mcafee.com stripped from HOSTS file. 127.0.0.1 download.mcafee.com stripped from HOSTS file. 127.0.0.1 www.my-etrust.com stripped from HOSTS file. 127.0.0.1 my-etrust.com stripped from HOSTS file. 127.0.0.1 mast.mcafee.com stripped from HOSTS file. 127.0.0.1 ca.com stripped from HOSTS file. 127.0.0.1 www.ca.com stripped from HOSTS file. 127.0.0.1 networkassociates.com stripped from HOSTS file. 127.0.0.1 www.networkassociates.com stripped from HOSTS file. 127.0.0.1 avp.com stripped from HOSTS file. 127.0.0.1 www.kaspersky.com stripped from HOSTS file. 127.0.0.1 www.avp.com stripped from HOSTS file. 127.0.0.1 kaspersky.com stripped from HOSTS file. 127.0.0.1 www.f-secure.com stripped from HOSTS file. 127.0.0.1 f-secure.com stripped from HOSTS file. 127.0.0.1 viruslist.com stripped from HOSTS file. 127.0.0.1 www.viruslist.com stripped from HOSTS file. 127.0.0.1 liveupdate.symantecliveupdate.com stripped from HOSTS file. 127.0.0.1 mcafee.com stripped from HOSTS file. 127.0.0.1 www.mcafee.com stripped from HOSTS file. 127.0.0.1 sophos.com stripped from HOSTS file. 127.0.0.1 www.sophos.com stripped from HOSTS file. 127.0.0.1 symantec.com stripped from HOSTS file. 127.0.0.1 securityresponse.symantec.com stripped from HOSTS file. 127.0.0.1 us.mcafee.com/root/ stripped from HOSTS file. 127.0.0.1 www.symantec.com stripped from HOSTS file. Cleaning Registry. Deleted Reg Key: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\load32 Deleted Reg Key: Software\SARS Neustart... rechnung[1].pdf.exe war kurz aktiv, hat sich dann aber verabschiedet... und irgendwie läuft da nichts mehr virales... __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 14.08.2005 um 04:13 Uhr von Managor editiert.
|
|
|
||
14.08.2005, 08:36
Moderator
Themenstarter Beiträge: 7805 |
#9
Man sollte bedenken, das man auch auf anderem Gebiet taetig werden muss. Sprich sperrung der aktuellen TAN Liste bzw Sperrung des/der Konten fuer den Onlinebetrieb, aenderung der PIN, Aenderung aller Passworte, die auf diesem Rechner benutzt wurden und konsequenter weise neu aufsetzen des Systems, a man nicht kontrollieren kann, was dieser Downloader heruntergeladen hat, bzw ob auf den Servern nicht die dort liegende Malware geaendert hat.
Kleiner Nachtrag dazu, die AV- Firmen sind inzwischen sehr schnell im hinzufuegen solcher Malware und schauen selber sehr schnell nach, was diese herunterladen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.09.2005, 20:01
Member
Beiträge: 4730 |
#10
Es gibt inzwischen eine neue Version. Morgen werde ich dazu kommen, den mal zu testen.
Jetzt ist es Ebay-Rechnung.pdf.exe und ist wohl seit heute erst im Umlauf. Heise schreibt auch etwas dazu: http://www.heise.de/newsticker/meldung/63804 __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
12.09.2005, 22:06
Moderator
Themenstarter Beiträge: 7805 |
#11
Ich habe leider noch kein Sample, aber der muesste seit gestern abend verschickt werden....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.09.2005, 15:51
Member
Beiträge: 4730 |
#12
Im Schnelldurchlauf:
Ebay-Rechnung.pdf.exe (Trojan-Downloader.Win32.Agent.uf) gestartet Dateiwarnung: es wird gefragt, ob ich die Datei c:\windows\system32\ipwf.exe ausführen möchte. Mit Ja bestätigt, denn ich will ja gucken, was passiert. Ansonsten wäre hier der Trojaner wohl unschädlich. Mag's am SP2 liegen? Windows Firewall Warnung: Explorer möchte aufs Internet zugreifen. Zugriff erlaubt. PC neustart 10 Minuten stehen lassen, weil ich Zigaretten holen bin HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 13:47:34, on 13.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\VMADD\VMUSrvc.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\WINDOWS\system32\wscntfy.exe C:\windows\system32\ipwf.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKLM\..\Run: [IPFW] c:\windows\system32\ipwf.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll Gefixt, System neu gestartet. Datfind.bat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C8D-79B8 Verzeichnis von C:\WINDOWS\system32 13.09.2005 13:40 0 1lo.exe 13.09.2005 13:37 0 02.exe 13.09.2005 13:37 0 unix.exe 13.09.2005 13:37 0 backup.exe 13.09.2005 13:37 11.213 ipwf.exe (alle anderen sind Clean) Killbox: c:\windows\system32\1lo.exe c:\windows\system32\02.exe c:\windows\system32\unix.exe c:\windows\system32\backup.exe c:\windows\system32\ipwf.exe C:\WINDOWS\SYSTEM32\mcfCC4.dll Logfile of HijackThis v1.99.1 Scan saved at 13:54:53, on 13.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\VMADD\VMUSrvc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: mcfCC4 - mcfCC4.dll (file missing) Gefixt eScanCheck: File C:\WINDOWS\SYSTEM32\MCFDRV.SYS infected by "Trojan-Spy.Win32.Goldun.bn" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AL9VWETN\1lo[1].exe infected by "P2P-Worm.Win32.Goldun.a" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\doof\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AL9VWETN\rechnung[1].pdf.exe infected by "Trojan-Downloader.Win32.Small.bgp" Virus! Action Taken: No Action Taken. CCleaner: Temporäre Internetdateien löschen Killbox: C:\WINDOWS\SYSTEM32\MCFDRV.SYS Ewido: Clean __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
13.09.2005, 16:29
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@Managor
es kann sein, dass die MCFDRV.SYS auch noch einen Dienst erstellt hat. Um Registry-Veraenderungen zu protokollieren: (allerdings geht das nur mit Vergleich), also sauberes--> veraendertes System) http://virus-protect.org/worc.html interessant ist, dass weder die MCFDRV.SYS, noch die C:\WINDOWS\SYSTEM32\mcfCC4.dll bei datfindbat auftauchen.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.09.2005, 16:39
Member
Beiträge: 4730 |
#14
Ich probiers mal neu. Evtl. haben die Dateien ein gefälschtes Datum, dann ist es klar, dass die Datfind.bat die Dateien nicht bei den übrigen Dateien aufführt.
Gefunden: 02.04.2003 14:00 6.352 mcfdrv.sys 02.04.2003 14:00 28.097 mcfCC4.dll Ich habe übersehen, dass das Ding einen Ordner erstellt: c:\windows\system32\user local files __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 13.09.2005 um 16:53 Uhr von Managor editiert.
|
|
|
||
13.09.2005, 17:02
Member
Beiträge: 4730 |
#15
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "VPCUserServices" = "C:\WINDOWS\VMADD\VMUSrvc.exe" [MS] "IPFW" = "c:\windows\system32\ipwf.exe" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{30C14BAC-122C-42ed-B319-1139DBF48EB8}" = "VPCCopyHook" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\VMADD\VPCShExG.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! mcfCC4\DLLName = "mcfCC4.dll" [** WMI GetObject error **] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"] Virtual Machine Additions Services Application, 1-vmsrvc, "C:\WINDOWS\VMADD\VMSRVC.EXE" [MS] Virtual Machine Additions Shared Folder Service, VPCMap, "C:\WINDOWS\System32\VPCMap.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 31 seconds, including 2 seconds for message boxes) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 13.09.2005 um 17:04 Uhr von Managor editiert.
|
|
|
||
Infos zur aktuellen 1&1 Virenmail mit dem Anhang Rechnung.pdf.exe siehe bitte:
http://board.protecus.de/t27618.htm
Also wie immer schoen vorsichtig, mit Mails, die euch auffordern wollen, einen Anhang zu oeffnen!
http://board.protecus.de/t16093-3.htm#194820
http://www.pcwelt.de/news/sicherheit/117711/index.html
http://www.rokop-security.de/index.php?showtopic=9040
__________
MfG Ralf
SEO-Spam Hunter