Trojan.Dialer (in C:\WINDOWS\Temp hab ich auch noch diese win***.temp.exe)

#0
05.11.2006, 22:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 es waren Backdoors und von ihnen erstellte Dienste auf dem Rechner, dass System ist dementsprechend kompromitiert, geoeffnete Ports... usw.

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

2.
scanne mit kaspersky und sophos (das laden der virensignateren wird lange dauern)
und poste die scanreporte
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2006, 09:17
Member

Themenstarter

Beiträge: 28
#17 Der andere Scan folgt später....

Sophos Anti-Virus
Version 4.11.0 [Win32/Intel]
Virus data version 4.11, November 2006
Includes detection for 194534 viruses, trojans and worms
Copyright (c) 1989-2006 Sophos Plc, www.sophos.com

System time 00:36:25, System date 06 November 2006
Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet

IDE directory is: c:\AV-CLS\Sophos

Full Scanning

Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open c:\Dokumente und Einstellungen\sonderling\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open c:\Dokumente und Einstellungen\sonderling\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not check c:\gpsneu\Nero 7.0.1.4b Premium\Nero-7.0.1.4b_deu.exe\SfxArchiveData\Cab\B7B2933B.cab (corrupt)
Could not open c:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll
Aborted checking c:\Programme\Spiele Install\Civilization.IV-DVD.CLONECD\CIV4_Miniimage_by_Pr1m45.rar - appears to be a 'zip bomb'
Aborted checking c:\Programme\Spiele Install\Civilization.IV-DVD.CLONECD\Civilization.IV-DVD.CLONECD.mdf - appears to be a 'zip bomb'
>>> Virus 'Troj/Bckdr-GGC' found in file c:\Programme\Spiele Install\Command & Conquer Generals - ADDON - Die Stunde Null\crack\generals.exe
Removal successful
>>> Virus 'Troj/Bckdr-GGC' found in file c:\Programme\Spiele Install\Command & Conquer Generals - ADDON - Die Stunde Null\Neuer Ordner\generals.exe
Removal successful
Could not check c:\WINDOWS\fsc\DOTNETFX\DOTNETFX.EXE\FILE:0000\SfxArchiveData\msi.dll (corrupt)
Could not open c:\WINDOWS\system32\CatRoot2\edb.log
Could not open c:\WINDOWS\system32\CatRoot2\tmp.edb
Could not open c:\WINDOWS\system32\config\system.LOG
Could not open c:\WINDOWS\Temp\Perflib_Perfdata_254.dat

1 master boot record swept.
41891 files swept in 1 hour, 47 minutes and 51 seconds.
15 errors were encountered.
2 viruses were discovered.
2 files out of 41891 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.
Dieser Beitrag wurde am 06.11.2006 um 10:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.11.2006, 10:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 falls du das log vom Kaspersky zur hand hast ;) - poste es.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2006, 17:16
Member

Themenstarter

Beiträge: 28
#19 þ AVPDOS32 Start 06-11-2006 11:11:40


Version 3.0 build 135
Last update: 06.11.2006, 238592 records.

Command line: /- /E /* /MD /MP /Y /Z- /W+=ScanReport.txt *:
Profile defdos32.prf (from 27.06.2001 03:00:00)

c:\ADDON\ADOBE\ADBERD~1.EXE packed: UPX
c:\ADDON\KB884575\KB884575.EXE archive: CAB
c:\ADDON\KB885894\KB885894.EXE archive: CAB
c:\ADDON\MEDIAP~1\MP10SE~1.EXE archive: CAB
c:\ADDON\MEDIAP~1\MP10SE~1.EXE/9SeriesD.wmz archive: ZIP
c:\ADDON\MEDIAP~1\MP10SE~1.EXE/Compact.wmz archive: ZIP
c:\ADDON\MEDIAP~1\MP10SE~1.EXE/QuickSi.wmz archive: ZIP
c:\ADDON\MEDIAP~1\MP10SE~1.EXE/Revert.wmz archive: ZIP
c:\ADDON\MEDIAP~1\MP10SE~1.EXE/wmp10.chm archive: CHM
c:\ADDON\MEDIAP~1\MP10SE~1.EXE/wmperr10.chm archive: CHM
c:\AV-CLS\UNRAR.EXE packed: UPX
c:\AV-CLS\UNZIP.EXE packed: Diet
c:\AV-CLS\UNZIP.EXE packed: Com2Exe
c:\AV-CLS\SOPHOS\ESDZ.EXE archive: ZIP
c:\AV-CLS\SOPHOS\SAV32SFX.EXE archive: ZIP
c:\AV-CLS\SOPHOS\WEB_IDES.EXE packed: UPX
c:\AV-CLS\SOPHOS\WEB_IDES.EXE archive: RarSFX
c:\AV-CLS\SOPHOS\WEB_IDES.EXE/data.rar archive: RAR
c:\AV-CLS\SOPHOS\WEB_IDES.EXE archive: RAR
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI archive: Embedded
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab archive: CAB
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/other.zip archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/extra.zip archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core1.zip archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core2.zip archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/ext/dnsns.jar archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/ext/sunjce_provider.jar archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/ext/sunpkcs11.jar archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/im/indicim.jar archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/im/thaiim.jar archive: ZIP
c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/jce.jar archive: ZIP

edit (Sabina)
Dieser Beitrag wurde am 07.11.2006 um 00:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.11.2006, 00:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 soweit als moeglich, muesste wieder alles clean sein ;)

ich will noch was nachschauen : poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.11.2006, 09:00
Member

Themenstarter

Beiträge: 28
#21 doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000004
"Type"=dword:00000020
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000027b5

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
"1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Battlefield 2\\BF2.exe"="D:\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\AV-CLS\\WGET.EXE"="C:\\AV-CLS\\WGET.EXE:*:Enabled:WGET.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


Dieser Beitrag wurde am 07.11.2006 um 10:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.11.2006, 10:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 1.
gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000004 - in 2 aendern


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 - mit rechtsklick in 0 aendern
"AntiVirusDisableNotify"=dword:00000001 - mit rechtsklick in 0 aendern
"FirewallDisableNotify"=dword:00000001 - mit rechtsklick in 0 aendern

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 - in 1 aendern

PC neustarten

berichte, ob die XP-Firewall aktiviert ist - und ob der Rechner rund laeuft ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.11.2006 um 10:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.11.2006, 15:21
Member

Themenstarter

Beiträge: 28
#23 Also Norton hat sich beschwert das doch tatsächlich die Windows-Firewall angestellt wurde....hab dann nach der Frage welche verwendet werden soll die von Windows angegeben (da ich Norton deinstallieren möchte)
Seitenanfang Seitenende
07.11.2006, 16:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24

Zitat

Norton hat sich beschwert
kein Kommentar, ich verstehe das auch nicht... eigentlich sollte er mit der XP-Firewall auskommen ;)

wenn du den norton deinstallierst, denke ueber einen anderen Virenguard nach.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.11.2006, 17:19
Member

Themenstarter

Beiträge: 28
#25 ich muss jetzt erstmal aufräumen....*g*
Ich hab jetzt so viele verschiedene Sachen drauf...werde wohl AntiVir behalten und zusätzlich noch ZoneAlarm holen. Und mich danach von allem überflüssigem trennen...*g*
Seitenanfang Seitenende
23.11.2006, 20:41
Member

Themenstarter

Beiträge: 28
#26 Und wieder was neues....die Sache scheint doch noch nicht so ganz abgeschlossen gewesen zu sein.

TR/PSW.ICQ.Delf.K wurde jetzt von AntiVir gefunden...im Internet finde ich zu diesem Trojaner rein garnichts...als ob der garnicht existiert.

Auf jeden Fall (wie der Name schon sagt) benutze ich ICQ...und zwar den Client QIP. Eine Neuinstallation bringt nichts, weil sobald er die Programmdatei qip.exe wieder neu erstellt wird mir wieder die trojanermeldung angezeigt.

Was muss ich diesmal posten? *g*

EDIT:
OK ich habe gerade doch noch was gefunden...scheint wohl ein Fehlalarm zu sein....bzw insbesondere zwischen AntiVir und QIP seid der letzten Virendefinition nicht mehr zu funktionieren.

http://qip.torstenmaue.net/qipexe-=-und-gt-trojan--t415.html

Jetzt meine Frage: Wie kann ich AnitVir erklären das er die Datei ausführen soll obwohl das Programm ja meint es ist ein Trojaner?
Dieser Beitrag wurde am 23.11.2006 um 20:47 Uhr von TheIncredibl editiert.
Seitenanfang Seitenende
24.11.2006, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 damit solltest du dich direkt an Antivirus wenden
http://forum.antivir-pe.de/index.php
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende