Backdoor.CIADoor.13 |
||
|---|---|---|
| #0
| ||
|
22.05.2006, 15:05
...neu hier
Themenstarter Beiträge: 9 |
||
 
|
|
|
|
22.05.2006, 15:45
Ehrenmitglied
 Beiträge: 29434 |
#17
Start - Ausfuehren - regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore "DisableSR" =dword:00000001 -> auf 0 setzen "DisableConfig" =dword:00000001 -> auf 0 setzen ----------------------------------------------------------------------- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr = "dword:00000001" -> auf 0 setzen DisableRegistryTools = "dword:00000001" -> auf 0 setzen PC neustarten  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.05.2006, 23:10
...neu hier
Themenstarter Beiträge: 9 |
#18
Hi Sabina,
leider konnte ich beide Reg-Einträge nicht finden. denke mal die hat Spyware Doctor,vor einiger Zeit, gelöscht. das Programm hatte auch beim löschen eine Warnung abgegeben,dass möglicher Weise andere Programme nicht richtig funktionieren. nunja ... ich konnte aber nicht mehr warten und wollte sicher gehen,dass alles runter kommt und habe es löschen lassen. Gruß Lorenor |
|
|
|
|
|
|
27.06.2006, 23:38
...neu hier
Beiträge: 6 |
#19
hi,
ich hab das selbe problem mit dem ciadoor.13... krieg ihn einfach nich weg ich hab die wsock32.sys gelöscht und auch mit hijackthis die einträge geändert aber nach einem neustart ist alles wieder da ich post hier mal die logs von dem datfind.bat: Verzeichnis von C:\WINDOWS\system32 27.06.2006 23:11 163.328 wsock32.sys 27.06.2006 17:30 4.096 crash 25.06.2006 09:25 2.422 wpa.dbl 24.06.2006 07:23 1.253.393 EQACNqShkr.ini 24.06.2006 07:23 1.253.393 scvhost.exe 16.06.2006 20:50 32.768 ycrwin32.dll 16.06.2006 20:23 248 del32.bat 12.06.2006 12:44 104 27EDFA7013.sys 12.06.2006 12:44 10.022 KGyGaAvL.sys 08.06.2006 18:19 5.967.776 MRT.exe 07.06.2006 08:59 98.304 CmdLineExt.dll 04.06.2006 09:38 110.992 FNTCACHE.DAT 30.05.2006 17:11 0 taskkill.exe 30.05.2006 14:46 3.534 jupdate-1.5.0_03-b07.log 26.05.2006 20:45 23.392 nscompat.tlb 26.05.2006 20:45 16.832 amcompat.tlb 25.05.2006 00:48 108.544 pxcpyi64.exe 25.05.2006 00:48 109.568 pxinsi64.exe 25.05.2006 00:47 3.596.288 qt-dx331.dll 25.05.2006 00:46 90.112 dpl100.dll 25.05.2006 00:46 593.920 dpuGUI11.dll 25.05.2006 00:46 200.704 dtu100.dll 25.05.2006 00:46 344.064 dpus11.dll 25.05.2006 00:46 57.344 dpv11.dll 25.05.2006 00:46 294.912 dpu11.dll 25.05.2006 00:45 700.416 divxdec.ax 25.05.2006 00:43 4.276 divxsm.tlb 25.05.2006 00:43 536.576 DivXsm.exe 25.05.2006 00:43 10.716 dsm_ja.qm 25.05.2006 00:43 15.331 dsm_de.qm 25.05.2006 00:43 15.172 dsm_fr.qm 25.05.2006 00:43 352.401 DivXMedia.ax 25.05.2006 00:43 1.044.480 libdivx.dll 25.05.2006 00:43 200.704 ssldivx.dll 24.05.2006 17:54 2.422 wpa.bak 23.05.2006 22:43 0 h323log.txt 23.05.2006 22:10 380.486 perfh009.dat 23.05.2006 22:10 391.330 perfh007.dat 23.05.2006 22:10 52.900 perfc009.dat 23.05.2006 22:10 63.784 perfc007.dat 23.05.2006 22:10 897.954 PerfStringBackup.INI 23.05.2006 21:56 25.065 wmpscheme.xml 23.05.2006 21:53 560 $winnt$.inf 23.05.2006 21:47 2.951 CONFIG.NT 23.05.2006 21:46 488 logonui.exe.manifest 23.05.2006 21:46 488 WindowsLogon.manifest 23.05.2006 21:46 749 wuaucpl.cpl.manifest 23.05.2006 21:46 749 sapi.cpl.manifest 23.05.2006 21:46 749 cdplayer.exe.manifest 23.05.2006 21:46 749 ncpa.cpl.manifest 23.05.2006 21:46 749 nwc.cpl.manifest 23.05.2006 21:45 21.740 emptyregdb.dat 16.05.2006 22:23 339.968 pxwave.dll 16.05.2006 22:23 28.672 vxblock.dll 16.05.2006 22:23 1.257.472 pxsfs.dll 16.05.2006 22:23 430.080 px.dll 16.05.2006 22:23 57.344 pxcpya64.exe 16.05.2006 22:23 176.128 pxmas.dll 16.05.2006 22:23 56.832 pxinsa64.exe 16.05.2006 22:23 61.440 pxhpinst.exe 16.05.2006 22:23 450.560 pxdrv.dll 19.04.2006 02:04 12.288 DivXWMPExtType.dll 19.04.2006 02:04 118.784 DivXCodecUpdateChecker.exe 19.04.2006 02:04 8.523 dpude.qm 19.04.2006 02:04 3.136 dtu_de.qm 24.03.2006 19:08 28.778 klogon.dll Verzeichnis von C:\DOKUME~1\WISHL!~1.WIS\LOKALE~1\Temp 27.06.2006 23:10 16.384 Perflib_Perfdata_cdc.dat 27.06.2006 23:10 16.384 Perflib_Perfdata_ce8.dat 27.06.2006 23:09 16.384 Perflib_Perfdata_760.dat 27.06.2006 23:08 49.152 ~DFF418.tmp 27.06.2006 23:08 609 jusched.log 27.06.2006 22:59 776.086 IMTB.xml 27.06.2006 22:59 426 IMTA.xml 27.06.2006 22:59 2.002 IMT9.xml 27.06.2006 22:40 776.086 IMT6.xml 27.06.2006 22:40 426 IMT5.xml 27.06.2006 22:40 2.036 IMT4.xml 27.06.2006 22:23 49.152 ~DFF188.tmp 27.06.2006 22:21 163.840 ~DF15C3.tmp 27.06.2006 22:20 16.384 ~DFAC9D.tmp 27.06.2006 22:18 49.152 ~DF4DD9.tmp Verzeichnis von C:\ 27.06.2006 23:24 0 sys.txt 27.06.2006 23:23 5.895 system.txt 27.06.2006 23:23 1.006 systemtemp.txt 27.06.2006 23:23 93.693 system32.txt 27.06.2006 23:08 1.610.612.736 pagefile.sys 14.06.2006 09:45 676 pnpID.dat 14.06.2006 09:45 39 CTJINI.INI 09.06.2006 10:30 120 drmHeader.bin 05.06.2006 12:56 213.897 AnalysisLog.sr0 23.05.2006 22:02 172 temp1.log 23.05.2006 22:02 185 temp.log 23.05.2006 21:43 194 boot.ini 11.05.2006 19:34 905 tmpFile.dat 11.05.2006 18:49 0 MSDOS.SYS 11.05.2006 18:49 0 IO.SYS 11.05.2006 18:49 0 CONFIG.SYS 11.05.2006 18:49 0 AUTOEXEC.BAT 02.04.2003 14:00 4.952 bootfont.bin 02.04.2003 14:00 235.296 ntldr 02.04.2003 14:00 47.580 NTDETECT.COM Verzeichnis von C:\WINDOWS 27.06.2006 23:09 0 0.log 27.06.2006 23:09 237.693 WindowsUpdate.log 27.06.2006 23:09 313 wiaservc.log 27.06.2006 23:09 159 wiadebug.log 27.06.2006 23:08 2.048 bootstat.dat 27.06.2006 23:07 19.146 SchedLgU.Txt 26.06.2006 22:41 51.760 wmsetup.log 23.06.2006 13:35 74.322 War3Unin.dat 20.06.2006 18:26 360 WINNT32.LOG 20.06.2006 18:25 176.238 setupact.log 20.06.2006 18:18 516.273 setupapi.log 20.06.2006 09:16 24.172 comsetup.log 20.06.2006 09:16 2.641 iis6.log 20.06.2006 09:16 15.102 ntdtcsetup.log 20.06.2006 09:16 1.919 ocmsn.log 20.06.2006 09:16 1.987 msgsocm.log 20.06.2006 09:16 31.208 ocgen.log 20.06.2006 09:16 1.917 imsins.log 20.06.2006 09:16 17.237 tsoc.log 20.06.2006 09:16 27.277 FaxSetup.log 18.06.2006 09:53 422.541 DirectX.log 17.06.2006 08:22 2.978 imsins.BAK 05.06.2006 09:35 1.152 mozver.dat 05.06.2006 00:15 1.554 ATIWDM.LOG 03.06.2006 10:42 400 ODBC.INI 02.06.2006 19:48 276 game.ini 02.06.2006 17:43 1.038 TotalCopy Setup Log.txt 02.06.2006 17:43 18.137 irunin.ini 02.06.2006 17:43 8.134 irunin.bmp 02.06.2006 17:43 9.694 irunin.dat 02.06.2006 17:43 720.896 iun6002.exe 02.06.2006 17:43 15.938 irunin.lng ich hoffe ihr könnt mir helfen... danke wishling |
|
|
|
|
|
|
27.06.2006, 23:55
Ehrenmitglied
Beiträge: 29434 |
#20
WISHLING
1. Gehe in die Registry Start-->Ausführen--> regedit bearbeiten --> suchen * Generic Host Process * scvhost * EQACNqShkr.ini loesche alles , was vorhanden ist. zum Beispiel: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "Generic Host Process" [HKEY_CURRENT_USER\Software\VB and VBA Program Settings] set\ set\ set\ EQACNqShkr.ini ---------------------------------------------------------------------------- 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) scvhost.exe in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) ycrwin32 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) EQACNqShkr.ini in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Generic Host Process in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. 4. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 5. scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.06.2006, 13:37
...neu hier
Beiträge: 6 |
#21
1. schritt eins ist erledigt, habe alles gelöscht was ging
2. also hier das log von avenger, dass machne files ned gefunden wurden liegt daran dass ich die manuell gelöscht hab: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\pepjrmwm ******************* Script file located at: \??\C:\Program Files\tosbvukt.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\wsock32.sys deleted successfully. File C:\WINDOWS\system32\crash deleted successfully. File C:\WINDOWS\system32\EQACNqShkr.ini not found! Deletion of file C:\WINDOWS\system32\EQACNqShkr.ini failed! Could not process line: C:\WINDOWS\system32\EQACNqShkr.ini Status: 0xc0000034 File C:\WINDOWS\system32\scvhost.exe not found! Deletion of file C:\WINDOWS\system32\scvhost.exe failed! Could not process line: C:\WINDOWS\system32\scvhost.exe Status: 0xc0000034 File C:\WINDOWS\system32\ycrwin32.dll deleted successfully. File C:\WINDOWS\system32\del32.bat not found! Deletion of file C:\WINDOWS\system32\del32.bat failed! Could not process line: C:\WINDOWS\system32\del32.bat Status: 0xc0000034 File C:\WINDOWS\system32\taskkill.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. 3. der regsearch hängt sich immer auf wenn der balken zu "checking hkey_local_machine" voll ist (ich kann ewig warten, passiert aber trotzdem nichts) 4. Logfile of HijackThis v1.99.1 Scan saved at 13:46:32, on 28.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Winamp\winampa.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Dokumente und Einstellungen\WISHL!NG.WISHL1NG\Desktop\regsearch\regsearch.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\WISHL!NG.WISHL1NG\Desktop\hijackthis_199\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [csr] csrrs.exe O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [win42] C:\WINDOWS\win42 O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\RunServices: [csr] csrrs.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148669261187 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: dlcg_device - - C:\WINDOWS\System32\dlcgcoms.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) ich habe bereits mehrere sachen gefixt, wie du in den anderen post zu dem gleichen problem geschrieben hast 5. ich hab selber kapersky und hab einfach mit dem gescannt: detected: Trojan program Backdoor.Win32.Ciadoor.13 File: C:\avenger\backup.zip\avenger/wsock32.sys detected: adware not-a-virus:AdWare.Win32.SaveNow.bo File: C:\Programme\DAEMON Tools\SetupDTSB.exe die 2 sachen hab ich gleich problemlos gelöscht ich hab jetzt den pc neugestartet und hab die virendateien nicht mehr gefunden, der taskmanager, regedit und eingabekonsole gehen auch wieder ich hab aber immernoch ziemlichen leistungsverlust, kann aber auch sein dass ich einfach mal defragmentieren sollte.... noch eine zusätzliche frage: wie kann ich das risiko mit vireninfizierung minimieren? ich muss ein paar ports freihaben da ich im internet spiele, habe aber immer eine firewall an ich bin mir eigentlich relativ sicher,dass ich mir ihm nicht eingefangen hab mit irgendeinem programm... Dieser Beitrag wurde am 28.06.2006 um 14:50 Uhr von WISHLING editiert.
|
|
|
|
|
|
|
28.06.2006, 15:34
Ehrenmitglied
Beiträge: 29434 |
#22
WISHLING
an deiner Stelle wuerde ich formatieren............... ---------------------------------------------------------------- 1. virustotal Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten -> poste den report http://www.virustotal.com/flash/index_en.html C:\WINDOWS\System32\dlcgcoms.exe ---------------------------------------------------------------- 2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O4 - HKLM\..\Run: [csr] csrrs.exePC neustarten 3. F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.06.2006, 16:14
...neu hier
Beiträge: 6 |
#23
1.
complete scanning result of "dlcgcoms.exe", received in VirusTotal at 06.28.2006, 16:04:14 (CET). Antivirus Version Update Result AntiVir 6.35.0.19 06.28.2006 no virus found Authentium 4.93.8 06.28.2006 no virus found Avast 4.7.844.0 06.28.2006 no virus found AVG 386 06.27.2006 no virus found BitDefender 7.2 06.28.2006 no virus found CAT-QuickHeal 8.00 06.28.2006 no virus found ClamAV devel-20060426 06.28.2006 no virus found DrWeb 4.33 06.27.2006 no virus found eTrust-InoculateIT 23.72.51 06.27.2006 no virus found eTrust-Vet 12.6.2279 06.28.2006 no virus found Ewido 3.5 06.28.2006 no virus found Fortinet 2.77.0.0 06.28.2006 no virus found F-Prot 3.16f 06.28.2006 no virus found Ikarus 0.2.65.0 06.28.2006 no virus found Kaspersky 4.0.2.24 06.28.2006 no virus found McAfee 4794 06.27.2006 no virus found Microsoft 1.1481 06.28.2006 no virus found NOD32v2 1.1629 06.28.2006 no virus found Norman 5.90.21 06.28.2006 no virus found Panda 9.0.0.4 06.28.2006 no virus found Sophos 4.07.0 06.28.2006 no virus found Symantec 8.0 06.28.2006 no virus found TheHacker 5.9.8.166 06.28.2006 no virus found UNA 1.83 06.28.2006 no virus found VBA32 3.11.0 06.27.2006 no virus found VirusBuster 4.3.7:9 06.28.2006 no virus found Aditional Information File size: 491520 bytes MD5: 50868d0c21e953b60e3421e682541804 SHA1: 3f7dfc2e7b4b6144b9b1002293bcf367c33bc326 2. gemacht |
|
|
|
|
|
|
28.06.2006, 16:21
Ehrenmitglied
Beiträge: 29434 |
#24
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.06.2006, 16:36
...neu hier
Beiträge: 6 |
#25
bin schon dabei^^ dauert nur so lang
so: Result: 4 malware found Alexa (spyware) * System (Disinfected) Backdoor.Win32.Bifrose.sz (virus) * C:\PROGRAMME\ALCOHOL SOFT\ALCOHOL 120\ALCOHOL PATCH.EXE (Renamed & Submitted) Tracking Cookie (spyware) * System (Disinfected) * System Statistics Scanned: * Files: 19799 * System: 4072 * Not scanned: 7 Actions: * Disinfected: 2 * Renamed: 1 * Deleted: 0 * None: 1 * Submitted: 1 Files not scanned: * C:\PAGEFILE.SYS * C:\WINDOWS\SYSTEM32\DRIVERS\DTSCSI.SYS * C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS * C:\WINDOWS\SYSTEM32\DRIVERS\VAXSCSI.SYS * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{845EDB89-A376-4B3B-9B53-D250453DFA25}.BIN * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\CFB9F90A4105B517EC861064E4333B36_614200A6-39E0-4F82-ACB0-CA53C8A1449C Options Scanning engines: * F-Secure AVP: 6.0.171, 2006-06-28 * F-Secure Libra: 2.4.1, 2006-06-28 * F-Secure Orion: 1.2.37, 2006-06-28 * F-Secure Pegasus: 1.19.0, 2006-05-14 * F-Secure Draco: 1.0.35, 0259-24-212 * F-Secure Blacklight: 1.0.31, 0000-00-00 Scanning options: * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX * Use Advanced heuristics soll ich das alchohol deinstallieren und dann wieder installieren? Dieser Beitrag wurde am 28.06.2006 um 18:15 Uhr von WISHLING editiert.
|
|
|
|
|
|
|
29.06.2006, 09:33
Ehrenmitglied
Beiträge: 29434 |
#26
du hast einen Crack geladen, ...nur leider war es ein Backdoor (wie immer bei Crac*hier nicht!*)
deinstalliere: C:\PROGRAMME\ALCOHOL SOFT und lade es nicht neu. 2. Bitte nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, waehle Copy und fuege den bericht ein. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
29.06.2006, 16:14
...neu hier
Beiträge: 6 |
#27
2.
GMER 1.0.10.10122 - http://www.gmer.net Rootkit 2006-06-29 16:13:48 Windows 5.1.2600 Service Pack 1 ---- System - GMER 1.0.10 ---- SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwAllocateVirtualMemory SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwClose SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwCreateKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwCreateProcess SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwCreateProcessEx SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwCreateSection SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwCreateSymbolicLinkObject SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwCreateThread SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwDeleteKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwDeleteValueKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwDuplicateObject SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwEnumerateKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwEnumerateValueKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwFlushKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwInitializeRegistry SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwLoadKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwLoadKey2 SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwMapViewOfSection SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwNotifyChangeKey SSDT kl1.sys ZwOpenFile SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwOpenKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwOpenProcess SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwOpenSection SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwProtectVirtualMemory SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwQueryKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwQueryMultipleValueKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwQuerySystemInformation SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwQueryValueKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwReplaceKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwRestoreKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwResumeThread SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwSaveKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwSetContextThread SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwSetInformationFile SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwSetInformationKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwSetInformationProcess SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwSetValueKey SSDT \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys ZwShutdownSystem SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwSuspendThread SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwTerminateProcess SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwUnloadKey SSDT \??\C:\WINDOWS\System32\drivers\klif.sys ZwWriteVirtualMemory SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[284] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[285] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[286] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[287] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[288] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[289] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[290] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[291] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[292] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[293] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[294] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[295] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys SSDT[296] ---- Devices - GMER 1.0.10 ---- Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 86793B78 Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 85566EB0 Device \FileSystem\Udfs \UdfsCdRom IRP_MJ_CREATE 861CF2E0 Device \FileSystem\Udfs \UdfsDisk IRP_MJ_CREATE 861CF2E0 Device \Driver\00000044 \Device\00000045 IRP_MJ_SYSTEM_CONTROL [F777EEA8] sptd.sys Device \Driver\00000044 \Device\00000045 IRP_MJ_DEVICE_CHANGE [F7792A70] sptd.sys Device \Driver\00000044 \Device\00000045 IRP_MJ_PNP_POWER [F778B728] sptd.sys Device \Driver\kl1 \Device\klick IRP_MJ_CREATE [F7AC4220] wpsdrvnt.sys Device \Driver\kl1 \Device\klick IRP_MJ_CLOSEIRP_MJ_READ [F7AC4480] wpsdrvnt.sys Device \Driver\kl1 \Device\klick IRP_MJ_INTERNAL_DEVICE_CONTROL [F7AC45A0] wpsdrvnt.sys Device \Driver\kl1 \Device\klick IRP_MJ_SHUTDOWN [F7AC45D0] wpsdrvnt.sys Device \Driver\kl1 \Device\kl1 IRP_MJ_CREATE [F7AC4220] wpsdrvnt.sys Device \Driver\kl1 \Device\kl1 IRP_MJ_CLOSEIRP_MJ_READ [F7AC4480] wpsdrvnt.sys Device \Driver\kl1 \Device\kl1 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7AC45A0] wpsdrvnt.sys Device \Driver\kl1 \Device\kl1 IRP_MJ_SHUTDOWN [F7AC45D0] wpsdrvnt.sys Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 867DE4F0 Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 863C2898 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_NAMED_PIPE 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLOSEIRP_MJ_READ 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_WRITE 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_INFORMATION 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_INFORMATION 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_EA 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_EA 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FLUSH_BUFFERS 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_VOLUME_INFORMATION 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_VOLUME_INFORMATION 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DIRECTORY_CONTROL 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FILE_SYSTEM_CONTROL 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CONTROL 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_INTERNAL_DEVICE_CONTROL 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SHUTDOWN 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_LOCK_CONTROL 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLEANUP 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_MAILSLOT 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_SECURITY 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_SECURITY 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_POWER 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SYSTEM_CONTROL 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CHANGE 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_QUOTA 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_QUOTA 86270A90 Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_PNP 86270A90 Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 863C2898 Device \Driver\kl1 \Device\KLCR IRP_MJ_CREATE [F7AC4220] wpsdrvnt.sys Device \Driver\kl1 \Device\KLCR IRP_MJ_CLOSEIRP_MJ_READ [F7AC4480] wpsdrvnt.sys Device \Driver\kl1 \Device\KLCR IRP_MJ_INTERNAL_DEVICE_CONTROL [F7AC45A0] wpsdrvnt.sys Device \Driver\kl1 \Device\KLCR IRP_MJ_SHUTDOWN [F7AC45D0] wpsdrvnt.sys Device \Driver\usbstor \Device\00000069 IRP_MJ_CREATE 861F22E0 Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE 86351A88 Device \Driver\kl1 \Device\klop IRP_MJ_CREATE [F7AC4220] wpsdrvnt.sys Device \Driver\kl1 \Device\klop IRP_MJ_CLOSEIRP_MJ_READ [F7AC4480] wpsdrvnt.sys Device \Driver\kl1 \Device\klop IRP_MJ_INTERNAL_DEVICE_CONTROL [F7AC45A0] wpsdrvnt.sys Device \Driver\kl1 \Device\klop IRP_MJ_SHUTDOWN [F7AC45D0] wpsdrvnt.sys Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE 86351A88 Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE 86793E30 Device \Driver\usbstor \Device\0000006a IRP_MJ_CREATE 861F22E0 Device \Driver\Disk \Device\Harddisk1\DR2 IRP_MJ_CREATE 86793E30 Device \Driver\Disk \Device\Harddisk1\DP(1)0-0+6 IRP_MJ_CREATE 86793E30 ---- EOF - GMER 1.0.10 ---- es kommt aber eine meldung von windows, dass laufwerk a nicht bereit sei.(das wäre das diskettenlaufwerk, ich habe aber keins) Dieser Beitrag wurde am 29.06.2006 um 16:18 Uhr von WISHLING editiert.
|
|
|
|
|
|
|
30.06.2006, 02:26
Ehrenmitglied
Beiträge: 29434 |
#28
ich weiss nur nicht, was das hier ist....
O23 - Service: dlcg_device - - C:\WINDOWS\System32\dlcgcoms.exe kannst du es herausfunden ? Datum, Groesse, Zugehoerigkeit ??? ** Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) dlcg_device in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ** ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
30.06.2006, 12:34
...neu hier
Beiträge: 6 |
#29
danke für die super hilfe, aber jetzt geht plötzlich aus irgendeinem grund meine lanverbindung nicht mehr(mir wird keine adresse vom dhcp zugewiesen) und ich habe mich jetzt entschieden mir eine 2te festplatte zu besorgen um meine daten zu sichern und anschließend einfach zu formatieren und windows neu zu installieren
ich werde dann auch mein system so konfigurieren wie es hier auf dieser seite beschrieben ist, um möglichst große sicherheit zu erreichen... mfg wishling |
|
|
|
|
|
|
18.09.2006, 05:44
...neu hier
Beiträge: 6 |
#30
Hallo...
ich bin auch von dem ciabackdoor.13 trojaner befallen... hier mein log: Zitat Logfile of HijackThis v1.99.1 |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
also bei mir kam er definitiv über verseuchte Software
das 3DSexVilla - Game ^^
war wohl verseucht schon auf CD ...
bei mir sind übrigens auch Funktionen deaktiviert
im Task-Manager zB kann ich Prozesse nicht abbrechen und auch die Systemwiederherstellung geht nicht.
aber ich habe mich damit abgefunden...
mein PC ist ja soweit sicher...der Trojaner ist entfernt und die verseuchte Datei gelöscht
Gruß
Lorenor