Win32:Trojan-gen. {Other}

#0
28.08.2005, 18:39
Member

Beiträge: 15
#1 Ich hab ein dickes problem!!! Win32:Trojan-gen. {Other} !!!

ich sitz schon den ganzen tag am pc bekomm ihn einfach nicht weg!!!

was ich schon gemacht hab:

windows (C;) formatiert!
adaware laufen lassen, alexa gefunden, alexa gelöscht
Avast laufen lassen, nix gefunden!

ab da war ich dann froh das der PC läuft! nach etwa einer stunde fängt er wieder an sich aufzuhängen, einfach irgendwelche seiten zu öffnen, taskmanager geht nicht und ins netz kam ich auch nicht! dann kamm nachricht von avast das ich Win32:Trojan-gen. {Other} in windows/system32 habe! und ich natürlich geschockt!

Alle Partitionen gelöscht und es ging wieder eine stunde und dann fingen wieder die fehler an! ich wuste mir nicht mehr zu helfen und fing an (soweit ich konnte) im internet danach zu suchen! jetzt geht es im moment aber wer weis wie lang!!

hier dieses hijackthis log ding da

Logfile of HijackThis v1.99.1
Scan saved at 18:38:22, on 28.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\spoolsv32.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125219986796
O17 - HKLM\System\CCS\Services\Tcpip\..\{9286B2B4-6DA2-4134-90A2-9D69981D9DEB}: NameServer = 62.27.27.62 195.247.247.195
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe
O23 - Service: Win32 AutoDrivers (Win32 AutoDriver) - Unknown owner - C:\WINDOWS\spoolsv32.exe
Seitenanfang Seitenende
28.08.2005, 23:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@fr2ak

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Win32 AutoDrivers " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Win32 AutoDrivers " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Win32 AutoDrivers " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

Win32 AutoDriver

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)

-------------------------------------------------------------------

deaktiviere den Prozess im Taskmanager und loesche.
C:\WINDOWS\spoolsv32.exe

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
---------------------------------------------------------------------
bitte abarbeiten und alles posten (mit der pfadangabe)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.08.2005, 16:24
Member

Themenstarter

Beiträge: 15
#3 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Win32 AutoDriver" 29.08.2005 16:23:39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
"Service"="Win32 AutoDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
"DeviceDesc"="Win32 AutoDrivers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000\Control]
"ActiveService"="Win32 AutoDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver]
"DisplayName"="Win32 AutoDrivers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
"Service"="Win32 AutoDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
"DeviceDesc"="Win32 AutoDrivers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver]
"DisplayName"="Win32 AutoDrivers"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
"Service"="Win32 AutoDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
"DeviceDesc"="Win32 AutoDrivers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000\Control]
"ActiveService"="Win32 AutoDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver]
"DisplayName"="Win32 AutoDrivers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver\Enum]


Zitat

Sabina postete

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken.

deaktiviere den Prozess im Taskmanager und loesche.
C:\WINDOWS\spoolsv32.exe
Als starttyp deaktiviert ging und dienststatus konnte ich nicht beenden es war einfach nur grau unterlegt und ging nicht drücen!

spoolsv32 im TM beendet abba keine datei in C:windows/

MfG

*edit*

F:\sicherheit

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\aswBoot.exe: UPX!t$
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\aswBoot.exe: UPX!t$
Files Found in all users windows Folder............
------------------------
Finished
bye
Dieser Beitrag wurde am 29.08.2005 um 16:59 Uhr von fr2ak editiert.
Seitenanfang Seitenende
30.08.2005, 12:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@fr2ak

http://research.sunbelt-software.com/threat_display.cfm?name=SdBot.tsecure&threatid=41402

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "tsecure " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"tsecure " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Win32 AutoDrivers " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start -- Ausführen -- schreib rein: cmd

kopiere rein:
sc stop tsecure
klicke "enter"

und warte ein bisschen, dann kopiere rein:

sc delete tsecure
klicke "enter"

kopiere rein:
del C:\WINDOWS\tsecure.exe
Klicke "enter

---------------------------------

kopiere rein:
sc stop Win32 AutoDriver (oder : Win32 AutoDrivers)
klicke "enter"

und warte ein bisschen, dann kopiere rein:

sc delete Win32 AutoDriver (oder : Win32 AutoDrivers)
klicke "enter"

kopiere rein:
del C:\WINDOWS\spoolsv32.exe
Klicke "enter

-----------------------------------------------------------------------------------

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

tsecure

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)

----------------------------------------------------------------------------------------------

Start-->Ausfuehren-->regedit

Sollte man Probleme haben, die Einträge zu löschen,
„Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“,
dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.
Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver]

HKEY_LOCAL_MACHINE\System\CurrentControlSetServices\tsecure

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

C:\WINDOWS\spoolsv32.exe
C:\WINDOWS\tsecure.exe
C:\WINDOWS\system32\aswBoot.exe

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

bitte abarbeiten und alles mit pfadangabe hier posten
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.08.2005, 20:56
Member

Themenstarter

Beiträge: 15
#5 sei neustens kommt noch ein trojaner namens: JS:Istbar [Trj]
kann mir noch jmd sagen was ein hijacker ist?


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "tsecure" 30.08.2005 20:48:53

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}]
@="IMsRdpClientSecuredSettings"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE\0000]
"Service"="tsecure"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE\0000]
"DeviceDesc"="tsecure"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE\0000]
"Service"="tsecure"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE\0000]
"DeviceDesc"="tsecure"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE\0000]
"Service"="tsecure"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE\0000]
"DeviceDesc"="tsecure"

datafind.bat:

1.mal

Verzeichnis von C:\WINDOWS\system32

30.08.2005 20:47 316.924 perfh007.dat
30.08.2005 20:47 311.740 perfh009.dat
30.08.2005 20:47 40.128 perfc009.dat
30.08.2005 20:47 48.354 perfc007.dat
30.08.2005 20:47 723.744 PerfStringBackup.INI
30.08.2005 20:45 7.168 orans.sys
30.08.2005 20:44 13.704 wpa.dbl
30.08.2005 19:39 7.168 rdriv.sys
30.08.2005 13:11 340 ii
30.08.2005 11:28 0 eraseme_30243.exe
30.08.2005 11:28 72 i
29.08.2005 16:05 106.496 mstsa.exe
29.08.2005 15:56 7.168 lpdriver.sys
28.08.2005 16:11 95.864 FNTCACHE.DAT
28.08.2005 14:16 3.799 jupdate-1.5.0_04-b05.log
28.08.2005 13:03 16.832 amcompat.tlb
28.08.2005 13:03 23.392 nscompat.tlb
28.08.2005 12:46 25.065 wmpscheme.xml
28.08.2005 12:41 35 spdwnwxp.log
28.08.2005 12:17 249 spupdwxp.log
28.08.2005 10:06 0 h323log.txt
28.08.2005 09:57 13.704 wpa.bak
28.08.2005 09:54 3.002 CONFIG.NT
28.08.2005 09:16 261 $winnt$.inf
28.08.2005 09:11 488 WindowsLogon.manifest
28.08.2005 09:11 488 logonui.exe.manifest
28.08.2005 09:11 749 wuaucpl.cpl.manifest
28.08.2005 09:11 749 ncpa.cpl.manifest
28.08.2005 09:11 749 cdplayer.exe.manifest
28.08.2005 09:11 749 nwc.cpl.manifest
28.08.2005 09:11 749 sapi.cpl.manifest
28.08.2005 09:09 21.740 emptyregdb.dat
13.08.2005 21:41 118.784 sirenacm.dll

2.Mal

Verzeichnis von C:\DOKUME~1\FreaK\LOKALE~1\Temp

30.08.2005 20:47 49.152 ~DF8DCC.tmp
30.08.2005 20:47 3.320 java_install_reg.log
30.08.2005 20:44 3.577 jusched.log
30.08.2005 20:42 181 kb.log
30.08.2005 20:41 16.384 ~DF7352.tmp
30.08.2005 20:34 2.956 sOutTmp203415.tmp
30.08.2005 20:11 49.152 ~DF7B04.tmp
30.08.2005 18:10 65.536 ~DF15ED.tmp
30.08.2005 13:09 16.384 ~DFEE54.tmp
30.08.2005 13:09 16.384 ~DFE624.tmp
30.08.2005 12:42 49.152 ~DFA1B.tmp
30.08.2005 11:11 16.384 ~DFE242.tmp
30.08.2005 11:11 16.384 ~DFDBD7.tmp
29.08.2005 22:07 16.384 ~DF43C8.tmp
29.08.2005 22:07 16.384 ~DF2EF9.tmp
29.08.2005 22:06 49.152 ~DF9F82.tmp
29.08.2005 17:53 131.072 b0da.rra
29.08.2005 17:53 652 ISPackFiles.ini
28.08.2005 20:18 49.152 ~DF9440.tmp
28.08.2005 17:28 49.152 ~DF688C.tmp
28.08.2005 16:42 16.384 ~DF2184.tmp
28.08.2005 16:42 16.384 ~DF19A3.tmp
28.08.2005 16:35 49.152 ~DFD369.tmp
28.08.2005 16:13 16.384 ~DF345A.tmp
28.08.2005 16:13 16.384 ~DF2D27.tmp
28.08.2005 14:16 410 MSId215.LOG
28.08.2005 14:15 23.544 java_install.log
28.08.2005 14:12 879 jinstall.cfg
28.08.2005 14:12 84.005 tmp-1.xpi
28.08.2005 12:58 16.384 ~DF16C0.tmp
28.08.2005 12:58 16.384 ~DF83D.tmp
28.08.2005 12:48 49.152 ~DFCCA1.tmp
28.08.2005 12:22 65.536 ~DFF882.tmp
28.08.2005 11:10 16.384 ~DF916C.tmp
28.08.2005 11:10 16.384 ~DF8774.tmp
28.08.2005 11:03 514.569 tmp.xpi
28.08.2005 10:26 49.152 ~DF5C19.tmp
13.08.2005 21:12 79.377 qmgr.cab
13.08.2005 21:12 2.072 qmgr.inf

3.Mal

Verzeichnis von C:\WINDOWS

30.08.2005 20:45 0 0.log
30.08.2005 20:44 2.048 bootstat.dat
30.08.2005 20:43 4.082 SchedLgU.Txt
30.08.2005 11:11 32.814 Windows Update.log
30.08.2005 11:11 489.201 setupapi.log
29.08.2005 17:08 64.000 netinfo.exe
29.08.2005 16:53 91.200 ntbtlog.txt
28.08.2005 14:16 3.375 mozver.dat
28.08.2005 14:04 116 NeroDigital.ini
28.08.2005 13:47 42.124 wmsetup.log
28.08.2005 13:03 242 wmsetup10.log
28.08.2005 13:03 316.640 WMSysPr9.prx
28.08.2005 12:47 63.219 spupdsvc.log
28.08.2005 12:46 299.552 WMSysPrx.prx
28.08.2005 12:43 16.487 WindowsUpdate.log
28.08.2005 12:43 14.933 ntdtcsetup.log
28.08.2005 12:43 25.899 comsetup.log
28.08.2005 12:43 148.549 iis6.log
28.08.2005 12:43 309.705 spuninst.log
28.08.2005 12:32 445 cmsetacl.log
28.08.2005 12:32 485 DtcInstall.log
28.08.2005 12:32 34.992 tsoc.log
28.08.2005 12:32 4.696 imsins.log
28.08.2005 12:32 3.298 tabletoc.log
28.08.2005 12:32 6.410 medctroc.Log
28.08.2005 12:32 52.929 ocgen.log
28.08.2005 12:32 3.551 msgsocm.log
28.08.2005 12:32 52.166 FaxSetup.log
28.08.2005 12:32 10.361 netfxocm.log
28.08.2005 12:32 34.662 msmqinst.log
28.08.2005 12:31 2.887 ocmsn.log
28.08.2005 12:18 1.174 OEWABLog.txt
28.08.2005 12:18 747.771 setuplog.txt
28.08.2005 12:14 440.927 svcpack.log
28.08.2005 12:09 487 win.ini
28.08.2005 12:09 1.330 sessmgr.setup.log
28.08.2005 10:12 130 ODBC.INI
28.08.2005 10:10 216 wiadebug.log
28.08.2005 10:05 2.492 regopt.log
28.08.2005 10:05 0 Sti_Trace.log
28.08.2005 10:02 231 system.ini
28.08.2005 10:01 0 setuperr.log
28.08.2005 09:50 0 nsreg.dat
28.08.2005 09:50 99.970 UninstallFirefox.exe
28.08.2005 09:24 50 wiaservc.log
28.08.2005 09:17 8.192 REGLOCS.OLD
28.08.2005 09:16 181.946 setupact.log
28.08.2005 09:13 0 control.ini
28.08.2005 09:13 4.161 ODBCINST.INI
28.08.2005 09:11 749 WindowsShell.Manifest
28.08.2005 09:09 37 vbaddin.ini
28.08.2005 09:09 36 vb.ini

4.Mal

Verzeichnis von C:\

30.08.2005 20:55 0 sys.txt
30.08.2005 20:55 5.585 system.txt
30.08.2005 20:53 2.345 systemtemp.txt
30.08.2005 20:52 89.402 system32.txt
30.08.2005 20:47 144.213 flogh.exe
30.08.2005 20:44 805.306.368 pagefile.sys
29.08.2005 16:53 753 log.txt
29.08.2005 16:52 0 windows.txt
29.08.2005 16:51 257 win.txt
29.08.2005 16:45 41 start.txt
28.08.2005 12:34 235.296 ntldr
28.08.2005 12:34 47.580 NTDETECT.COM
28.08.2005 12:09 211 boot.ini
28.08.2005 09:13 0 CONFIG.SYS
28.08.2005 09:13 0 AUTOEXEC.BAT
28.08.2005 09:13 0 IO.SYS
28.08.2005 09:13 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin
Dieser Beitrag wurde am 30.08.2005 um 21:15 Uhr von fr2ak editiert.
Seitenanfang Seitenende
30.08.2005, 22:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 http://www.sophos.com/virusinfo/analyses/w32tileboth.html
http://uk.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CBC

gehe in die Registry

loesche:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\orans
"%System%\orans.sys

und alles mit TSECURE
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE

HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4--> auf 2 setzen

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4--> auf 0 setzen

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr <--loeschen
Start
4

HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\Internet Settings
ProxyEnable
1 --> auf 0 setzen

loesche mit der Killbox:

C:\WINDOWS\system32\orans.sys
C:\WINDOWS\system32\rdriv.sys
C:\WINDOWS\system32\ii
C:\WINDOWS\system32\eraseme_30243.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\mstsa.exe
C:\WINDOWS\system32\lpdriver.sys
C:\flogh.exe

neustarten

CCleaner--> loesche alle *temp-Datein!!!!!!!!!!!!!!
http://virus-protect.org/temp.html

dann poste noch mal die bat-Datei

-------------------
mache die WindowsUpdaes:
The following patches for the operating system vulnerabilities exploited by W32/Tilebot-H can be obtained from the Microsoft website:

MS04-011
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
MS02-039
http://www.microsoft.com/technet/security/bulletin/MS02-039.mspx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2005, 17:36
Member

Themenstarter

Beiträge: 15
#7

Zitat

Sabina postete
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4--> auf 2 setzen

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4--> auf 0 setzen

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr <--loeschen
Start
4

HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\Internet Settings
ProxyEnable
1 --> auf 0 setzen
was soll ich da genau machen die dateien löschen oder was umstellen?

und die windows updates gehn nicht!!!

wäre es nicht besser wenn du mir des alles per icq oda so beschreiben würdest???

MfG
Seitenanfang Seitenende
31.08.2005, 22:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es hat keinen Sinn, du kennst dich in PCs nicht genuegend aus, um die Viren und Backdoors in der Registry und in Windows zu loeschen.

Formatiere bitte und entschuldige, dass ich einen Loesungsweg vorgearbeitet habe.

bitte durchlesen:
http://www.sophos.com/virusinfo/analyses/w32tileboth.html
http://uk.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CBC
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.09.2005, 12:45
Member

Themenstarter

Beiträge: 15
#9 hier die bat:

Verzeichnis von C:\WINDOWS\system32

03.09.2005 12:53 7.168 orans.sys
03.09.2005 12:51 13.704 wpa.dbl
02.09.2005 19:29 58.760 winssh.exe
02.09.2005 19:14 40.128 perfc009.dat
02.09.2005 19:14 311.740 perfh009.dat
02.09.2005 19:14 316.924 perfh007.dat
02.09.2005 19:14 48.354 perfc007.dat
02.09.2005 19:14 723.744 PerfStringBackup.INI

Verzeichnis von C:\DOKUME~1\FreaK\LOKALE~1\Temp

03.09.2005 12:57 5.816 java_install_reg.log
03.09.2005 12:51 4.187 jusched.log
03.09.2005 12:50 552 kb.log
03.09.2005 12:49 16.384 ~DF5990.tmp
02.09.2005 20:16 49.152 ~DF21E2.tmp

Verzeichnis von C:\WINDOWS

03.09.2005 12:56 501.233 setupapi.log
03.09.2005 12:53 0 0.log
03.09.2005 12:51 2.048 bootstat.dat
03.09.2005 12:51 4.730 SchedLgU.Txt

Verzeichnis von C:\

03.09.2005 12:59 0 sys.txt
03.09.2005 12:59 6.082 system.txt
03.09.2005 12:59 2.492 systemtemp.txt
03.09.2005 12:57 89.223 system32.txt
03.09.2005 12:57 144.213 flogh.exe
03.09.2005 12:51 805.306.368 pagefile.sys

und zu den updates:

beide haben mir gesagt das ich eine neure version bei mir drauf hab!!

MfG
Dieser Beitrag wurde am 03.09.2005 um 13:05 Uhr von fr2ak editiert.
Seitenanfang Seitenende
03.09.2005, 13:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\orans
C:\WINDOWS\system32\orans.sys <--loeschen

und alles mit TSECURE loeschen:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE


HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4--> auf 2 setzen

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4--> auf 0 setzen

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr <--loeschen

HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\Internet Settings
ProxyEnable
1 --> auf 0 setzen

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
*DoNotAllowXPSP2
dword:00000001 --> auf 0 setzen

PC neustarten

das ist zu loeschen:
C:\WINDOWS\system32\orans.sys
C:\WINDOWS\system32\winssh.exe
C:\WINDOWS\system32\flogh.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.09.2005, 15:54
Member

Themenstarter

Beiträge: 15
#11 also etz hat er beim starten keine fehler gebracht!!

fals noch was ist melde ich mich hier!!!

großes dankeschön!!!

MfG
Seitenanfang Seitenende
21.01.2008, 14:24
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 Hallo hank4

poste bitte hier das Log vom Combscan
http://www.virus-protect.org/artikel/tools/comboscan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
21.01.2008, 23:10
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 Hallo hank4

da nix zu finden ist - poste bitte noch dieses Log
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
22.01.2008, 10:27
Member

Beiträge: 29
#14 Hi Pinguin,
combofix deinstalliert sich offenbar jedesmal selbst, nachdem ich 1 eingebe. Selbst mit dem Fixpolicies-tool gehts nicht...

Hank4
Dieser Beitrag wurde am 22.01.2008 um 22:47 Uhr von hank4 editiert.
Seitenanfang Seitenende
22.01.2008, 13:33
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 Hank4

scanne und berichte
http://www.virus-protect.org/artikel/tools/kaspersky.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: