Win32:Trojan-gen. {Other} |
||
---|---|---|
#0
| ||
28.08.2005, 18:39
Member
Beiträge: 15 |
||
|
||
28.08.2005, 23:03
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@fr2ak
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Win32 AutoDrivers " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Win32 AutoDrivers " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Win32 AutoDrivers " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: Win32 AutoDriver Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ------------------------------------------------------------------- deaktiviere den Prozess im Taskmanager und loesche. C:\WINDOWS\spoolsv32.exe Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt --------------------------------------------------------------------- bitte abarbeiten und alles posten (mit der pfadangabe) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.08.2005, 16:24
Member
Themenstarter Beiträge: 15 |
#3
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "Win32 AutoDriver" 29.08.2005 16:23:39 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] "Service"="Win32 AutoDriver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] "DeviceDesc"="Win32 AutoDrivers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000\Control] "ActiveService"="Win32 AutoDriver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver] "DisplayName"="Win32 AutoDrivers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] "Service"="Win32 AutoDriver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] "DeviceDesc"="Win32 AutoDrivers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver] "DisplayName"="Win32 AutoDrivers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] "Service"="Win32 AutoDriver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] "DeviceDesc"="Win32 AutoDrivers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000\Control] "ActiveService"="Win32 AutoDriver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver] "DisplayName"="Win32 AutoDrivers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver\Enum] Zitat Sabina posteteAls starttyp deaktiviert ging und dienststatus konnte ich nicht beenden es war einfach nur grau unterlegt und ging nicht drücen! spoolsv32 im TM beendet abba keine datei in C:windows/ MfG *edit* F:\sicherheit PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\aswBoot.exe: UPX!t$ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\aswBoot.exe: UPX!t$ Files Found in all users windows Folder............ ------------------------ Finished bye Dieser Beitrag wurde am 29.08.2005 um 16:59 Uhr von fr2ak editiert.
|
|
|
||
30.08.2005, 12:40
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@fr2ak
http://research.sunbelt-software.com/threat_display.cfm?name=SdBot.tsecure&threatid=41402 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "tsecure " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "tsecure " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Win32 AutoDrivers " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. Start -- Ausführen -- schreib rein: cmd kopiere rein: sc stop tsecure klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete tsecure klicke "enter" kopiere rein: del C:\WINDOWS\tsecure.exe Klicke "enter --------------------------------- kopiere rein: sc stop Win32 AutoDriver (oder : Win32 AutoDrivers) klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete Win32 AutoDriver (oder : Win32 AutoDrivers) klicke "enter" kopiere rein: del C:\WINDOWS\spoolsv32.exe Klicke "enter ----------------------------------------------------------------------------------- •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: tsecure Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ---------------------------------------------------------------------------------------------- Start-->Ausfuehren-->regedit Sollte man Probleme haben, die Einträge zu löschen, „Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“, dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32 AutoDriver] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32 AutoDriver] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32_AUTODRIVER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32 AutoDriver] HKEY_LOCAL_MACHINE\System\CurrentControlSetServices\tsecure •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken C:\WINDOWS\spoolsv32.exe C:\WINDOWS\tsecure.exe C:\WINDOWS\system32\aswBoot.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html bitte abarbeiten und alles mit pfadangabe hier posten http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.08.2005, 20:56
Member
Themenstarter Beiträge: 15 |
#5
sei neustens kommt noch ein trojaner namens: JS:Istbar [Trj]
kann mir noch jmd sagen was ein hijacker ist? REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "tsecure" 30.08.2005 20:48:53 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}] @="IMsRdpClientSecuredSettings" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE\0000] "Service"="tsecure" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE\0000] "DeviceDesc"="tsecure" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE\0000] "Service"="tsecure" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE\0000] "DeviceDesc"="tsecure" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE\0000] "Service"="tsecure" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE\0000] "DeviceDesc"="tsecure" datafind.bat: 1.mal Verzeichnis von C:\WINDOWS\system32 30.08.2005 20:47 316.924 perfh007.dat 30.08.2005 20:47 311.740 perfh009.dat 30.08.2005 20:47 40.128 perfc009.dat 30.08.2005 20:47 48.354 perfc007.dat 30.08.2005 20:47 723.744 PerfStringBackup.INI 30.08.2005 20:45 7.168 orans.sys 30.08.2005 20:44 13.704 wpa.dbl 30.08.2005 19:39 7.168 rdriv.sys 30.08.2005 13:11 340 ii 30.08.2005 11:28 0 eraseme_30243.exe 30.08.2005 11:28 72 i 29.08.2005 16:05 106.496 mstsa.exe 29.08.2005 15:56 7.168 lpdriver.sys 28.08.2005 16:11 95.864 FNTCACHE.DAT 28.08.2005 14:16 3.799 jupdate-1.5.0_04-b05.log 28.08.2005 13:03 16.832 amcompat.tlb 28.08.2005 13:03 23.392 nscompat.tlb 28.08.2005 12:46 25.065 wmpscheme.xml 28.08.2005 12:41 35 spdwnwxp.log 28.08.2005 12:17 249 spupdwxp.log 28.08.2005 10:06 0 h323log.txt 28.08.2005 09:57 13.704 wpa.bak 28.08.2005 09:54 3.002 CONFIG.NT 28.08.2005 09:16 261 $winnt$.inf 28.08.2005 09:11 488 WindowsLogon.manifest 28.08.2005 09:11 488 logonui.exe.manifest 28.08.2005 09:11 749 wuaucpl.cpl.manifest 28.08.2005 09:11 749 ncpa.cpl.manifest 28.08.2005 09:11 749 cdplayer.exe.manifest 28.08.2005 09:11 749 nwc.cpl.manifest 28.08.2005 09:11 749 sapi.cpl.manifest 28.08.2005 09:09 21.740 emptyregdb.dat 13.08.2005 21:41 118.784 sirenacm.dll 2.Mal Verzeichnis von C:\DOKUME~1\FreaK\LOKALE~1\Temp 30.08.2005 20:47 49.152 ~DF8DCC.tmp 30.08.2005 20:47 3.320 java_install_reg.log 30.08.2005 20:44 3.577 jusched.log 30.08.2005 20:42 181 kb.log 30.08.2005 20:41 16.384 ~DF7352.tmp 30.08.2005 20:34 2.956 sOutTmp203415.tmp 30.08.2005 20:11 49.152 ~DF7B04.tmp 30.08.2005 18:10 65.536 ~DF15ED.tmp 30.08.2005 13:09 16.384 ~DFEE54.tmp 30.08.2005 13:09 16.384 ~DFE624.tmp 30.08.2005 12:42 49.152 ~DFA1B.tmp 30.08.2005 11:11 16.384 ~DFE242.tmp 30.08.2005 11:11 16.384 ~DFDBD7.tmp 29.08.2005 22:07 16.384 ~DF43C8.tmp 29.08.2005 22:07 16.384 ~DF2EF9.tmp 29.08.2005 22:06 49.152 ~DF9F82.tmp 29.08.2005 17:53 131.072 b0da.rra 29.08.2005 17:53 652 ISPackFiles.ini 28.08.2005 20:18 49.152 ~DF9440.tmp 28.08.2005 17:28 49.152 ~DF688C.tmp 28.08.2005 16:42 16.384 ~DF2184.tmp 28.08.2005 16:42 16.384 ~DF19A3.tmp 28.08.2005 16:35 49.152 ~DFD369.tmp 28.08.2005 16:13 16.384 ~DF345A.tmp 28.08.2005 16:13 16.384 ~DF2D27.tmp 28.08.2005 14:16 410 MSId215.LOG 28.08.2005 14:15 23.544 java_install.log 28.08.2005 14:12 879 jinstall.cfg 28.08.2005 14:12 84.005 tmp-1.xpi 28.08.2005 12:58 16.384 ~DF16C0.tmp 28.08.2005 12:58 16.384 ~DF83D.tmp 28.08.2005 12:48 49.152 ~DFCCA1.tmp 28.08.2005 12:22 65.536 ~DFF882.tmp 28.08.2005 11:10 16.384 ~DF916C.tmp 28.08.2005 11:10 16.384 ~DF8774.tmp 28.08.2005 11:03 514.569 tmp.xpi 28.08.2005 10:26 49.152 ~DF5C19.tmp 13.08.2005 21:12 79.377 qmgr.cab 13.08.2005 21:12 2.072 qmgr.inf 3.Mal Verzeichnis von C:\WINDOWS 30.08.2005 20:45 0 0.log 30.08.2005 20:44 2.048 bootstat.dat 30.08.2005 20:43 4.082 SchedLgU.Txt 30.08.2005 11:11 32.814 Windows Update.log 30.08.2005 11:11 489.201 setupapi.log 29.08.2005 17:08 64.000 netinfo.exe 29.08.2005 16:53 91.200 ntbtlog.txt 28.08.2005 14:16 3.375 mozver.dat 28.08.2005 14:04 116 NeroDigital.ini 28.08.2005 13:47 42.124 wmsetup.log 28.08.2005 13:03 242 wmsetup10.log 28.08.2005 13:03 316.640 WMSysPr9.prx 28.08.2005 12:47 63.219 spupdsvc.log 28.08.2005 12:46 299.552 WMSysPrx.prx 28.08.2005 12:43 16.487 WindowsUpdate.log 28.08.2005 12:43 14.933 ntdtcsetup.log 28.08.2005 12:43 25.899 comsetup.log 28.08.2005 12:43 148.549 iis6.log 28.08.2005 12:43 309.705 spuninst.log 28.08.2005 12:32 445 cmsetacl.log 28.08.2005 12:32 485 DtcInstall.log 28.08.2005 12:32 34.992 tsoc.log 28.08.2005 12:32 4.696 imsins.log 28.08.2005 12:32 3.298 tabletoc.log 28.08.2005 12:32 6.410 medctroc.Log 28.08.2005 12:32 52.929 ocgen.log 28.08.2005 12:32 3.551 msgsocm.log 28.08.2005 12:32 52.166 FaxSetup.log 28.08.2005 12:32 10.361 netfxocm.log 28.08.2005 12:32 34.662 msmqinst.log 28.08.2005 12:31 2.887 ocmsn.log 28.08.2005 12:18 1.174 OEWABLog.txt 28.08.2005 12:18 747.771 setuplog.txt 28.08.2005 12:14 440.927 svcpack.log 28.08.2005 12:09 487 win.ini 28.08.2005 12:09 1.330 sessmgr.setup.log 28.08.2005 10:12 130 ODBC.INI 28.08.2005 10:10 216 wiadebug.log 28.08.2005 10:05 2.492 regopt.log 28.08.2005 10:05 0 Sti_Trace.log 28.08.2005 10:02 231 system.ini 28.08.2005 10:01 0 setuperr.log 28.08.2005 09:50 0 nsreg.dat 28.08.2005 09:50 99.970 UninstallFirefox.exe 28.08.2005 09:24 50 wiaservc.log 28.08.2005 09:17 8.192 REGLOCS.OLD 28.08.2005 09:16 181.946 setupact.log 28.08.2005 09:13 0 control.ini 28.08.2005 09:13 4.161 ODBCINST.INI 28.08.2005 09:11 749 WindowsShell.Manifest 28.08.2005 09:09 37 vbaddin.ini 28.08.2005 09:09 36 vb.ini 4.Mal Verzeichnis von C:\ 30.08.2005 20:55 0 sys.txt 30.08.2005 20:55 5.585 system.txt 30.08.2005 20:53 2.345 systemtemp.txt 30.08.2005 20:52 89.402 system32.txt 30.08.2005 20:47 144.213 flogh.exe 30.08.2005 20:44 805.306.368 pagefile.sys 29.08.2005 16:53 753 log.txt 29.08.2005 16:52 0 windows.txt 29.08.2005 16:51 257 win.txt 29.08.2005 16:45 41 start.txt 28.08.2005 12:34 235.296 ntldr 28.08.2005 12:34 47.580 NTDETECT.COM 28.08.2005 12:09 211 boot.ini 28.08.2005 09:13 0 CONFIG.SYS 28.08.2005 09:13 0 AUTOEXEC.BAT 28.08.2005 09:13 0 IO.SYS 28.08.2005 09:13 0 MSDOS.SYS 29.08.2002 14:00 4.952 bootfont.bin Dieser Beitrag wurde am 30.08.2005 um 21:15 Uhr von fr2ak editiert.
|
|
|
||
30.08.2005, 22:46
Ehrenmitglied
Beiträge: 29434 |
#6
http://www.sophos.com/virusinfo/analyses/w32tileboth.html
http://uk.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CBC gehe in die Registry loesche: HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\orans "%System%\orans.sys und alles mit TSECURE [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE HKLM\SYSTEM\CurrentControlSet\Services\Messenger Start 4--> auf 2 setzen HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry Start 4--> auf 0 setzen HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr <--loeschen Start 4 HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\ Microsoft\windows\CurrentVersion\Internet Settings ProxyEnable 1 --> auf 0 setzen loesche mit der Killbox: C:\WINDOWS\system32\orans.sys C:\WINDOWS\system32\rdriv.sys C:\WINDOWS\system32\ii C:\WINDOWS\system32\eraseme_30243.exe C:\WINDOWS\system32\i C:\WINDOWS\system32\mstsa.exe C:\WINDOWS\system32\lpdriver.sys C:\flogh.exe neustarten CCleaner--> loesche alle *temp-Datein!!!!!!!!!!!!!! http://virus-protect.org/temp.html dann poste noch mal die bat-Datei ------------------- mache die WindowsUpdaes: The following patches for the operating system vulnerabilities exploited by W32/Tilebot-H can be obtained from the Microsoft website: MS04-011 http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx MS02-039 http://www.microsoft.com/technet/security/bulletin/MS02-039.mspx __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.08.2005, 17:36
Member
Themenstarter Beiträge: 15 |
#7
Zitat Sabina postetewas soll ich da genau machen die dateien löschen oder was umstellen? und die windows updates gehn nicht!!! wäre es nicht besser wenn du mir des alles per icq oda so beschreiben würdest??? MfG |
|
|
||
31.08.2005, 22:52
Ehrenmitglied
Beiträge: 29434 |
#8
es hat keinen Sinn, du kennst dich in PCs nicht genuegend aus, um die Viren und Backdoors in der Registry und in Windows zu loeschen.
Formatiere bitte und entschuldige, dass ich einen Loesungsweg vorgearbeitet habe. bitte durchlesen: http://www.sophos.com/virusinfo/analyses/w32tileboth.html http://uk.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CBC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2005, 12:45
Member
Themenstarter Beiträge: 15 |
#9
hier die bat:
Verzeichnis von C:\WINDOWS\system32 03.09.2005 12:53 7.168 orans.sys 03.09.2005 12:51 13.704 wpa.dbl 02.09.2005 19:29 58.760 winssh.exe 02.09.2005 19:14 40.128 perfc009.dat 02.09.2005 19:14 311.740 perfh009.dat 02.09.2005 19:14 316.924 perfh007.dat 02.09.2005 19:14 48.354 perfc007.dat 02.09.2005 19:14 723.744 PerfStringBackup.INI Verzeichnis von C:\DOKUME~1\FreaK\LOKALE~1\Temp 03.09.2005 12:57 5.816 java_install_reg.log 03.09.2005 12:51 4.187 jusched.log 03.09.2005 12:50 552 kb.log 03.09.2005 12:49 16.384 ~DF5990.tmp 02.09.2005 20:16 49.152 ~DF21E2.tmp Verzeichnis von C:\WINDOWS 03.09.2005 12:56 501.233 setupapi.log 03.09.2005 12:53 0 0.log 03.09.2005 12:51 2.048 bootstat.dat 03.09.2005 12:51 4.730 SchedLgU.Txt Verzeichnis von C:\ 03.09.2005 12:59 0 sys.txt 03.09.2005 12:59 6.082 system.txt 03.09.2005 12:59 2.492 systemtemp.txt 03.09.2005 12:57 89.223 system32.txt 03.09.2005 12:57 144.213 flogh.exe 03.09.2005 12:51 805.306.368 pagefile.sys und zu den updates: beide haben mir gesagt das ich eine neure version bei mir drauf hab!! MfG Dieser Beitrag wurde am 03.09.2005 um 13:05 Uhr von fr2ak editiert.
|
|
|
||
03.09.2005, 13:10
Ehrenmitglied
Beiträge: 29434 |
#10
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\orans C:\WINDOWS\system32\orans.sys <--loeschen und alles mit TSECURE loeschen: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSECURE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSECURE HKLM\SYSTEM\CurrentControlSet\Services\Messenger Start 4--> auf 2 setzen HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry Start 4--> auf 0 setzen HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr <--loeschen HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\ Microsoft\windows\CurrentVersion\Internet Settings ProxyEnable 1 --> auf 0 setzen HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate *DoNotAllowXPSP2 dword:00000001 --> auf 0 setzen PC neustarten das ist zu loeschen: C:\WINDOWS\system32\orans.sys C:\WINDOWS\system32\winssh.exe C:\WINDOWS\system32\flogh.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2005, 15:54
Member
Themenstarter Beiträge: 15 |
#11
also etz hat er beim starten keine fehler gebracht!!
fals noch was ist melde ich mich hier!!! großes dankeschön!!! MfG |
|
|
||
21.01.2008, 14:24
Ehrenmitglied
Beiträge: 1441 |
#12
Hallo hank4
poste bitte hier das Log vom Combscan http://www.virus-protect.org/artikel/tools/comboscan.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
21.01.2008, 23:10
Ehrenmitglied
Beiträge: 1441 |
#13
Hallo hank4
da nix zu finden ist - poste bitte noch dieses Log http://www.virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
22.01.2008, 10:27
Member
Beiträge: 29 |
#14
Hi Pinguin,
combofix deinstalliert sich offenbar jedesmal selbst, nachdem ich 1 eingebe. Selbst mit dem Fixpolicies-tool gehts nicht... Hank4 Dieser Beitrag wurde am 22.01.2008 um 22:47 Uhr von hank4 editiert.
|
|
|
||
22.01.2008, 13:33
Ehrenmitglied
Beiträge: 1441 |
#15
Hank4
scanne und berichte http://www.virus-protect.org/artikel/tools/kaspersky.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
ich sitz schon den ganzen tag am pc bekomm ihn einfach nicht weg!!!
was ich schon gemacht hab:
windows (C formatiert!
adaware laufen lassen, alexa gefunden, alexa gelöscht
Avast laufen lassen, nix gefunden!
ab da war ich dann froh das der PC läuft! nach etwa einer stunde fängt er wieder an sich aufzuhängen, einfach irgendwelche seiten zu öffnen, taskmanager geht nicht und ins netz kam ich auch nicht! dann kamm nachricht von avast das ich Win32:Trojan-gen. {Other} in windows/system32 habe! und ich natürlich geschockt!
Alle Partitionen gelöscht und es ging wieder eine stunde und dann fingen wieder die fehler an! ich wuste mir nicht mehr zu helfen und fing an (soweit ich konnte) im internet danach zu suchen! jetzt geht es im moment aber wer weis wie lang!!
hier dieses hijackthis log ding da
Logfile of HijackThis v1.99.1
Scan saved at 18:38:22, on 28.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\spoolsv32.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125219986796
O17 - HKLM\System\CCS\Services\Tcpip\..\{9286B2B4-6DA2-4134-90A2-9D69981D9DEB}: NameServer = 62.27.27.62 195.247.247.195
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe
O23 - Service: Win32 AutoDrivers (Win32 AutoDriver) - Unknown owner - C:\WINDOWS\spoolsv32.exe