Backdoorprogramm vollständig weg? Paranoia!

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.12.2006, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 1.
gehe in die registry und loesche:
(oben links - bearbeiten - suchen - DC )

HKEY_CURRENT_USER\Software\DC

2.
fixe mit dem HijackThis:
O4 - HKCU\..\Run: [vgt] "C:\DOKUME~1\Palms\LOKALE~1\Temp\vgt.exe"

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\vgt.exe
-----------------------------------------------------------------------

Zitat

Dial/QDial20-B ist eine konfigurierbare Dialler-Anwendung, mit der mittels einer neuen Einwahlverbindung auf remote Websites zugegriffen werden kann.

Wenn er gestartet wird, beendet Dial/QDial20-B gerade aktive RAS (Einwahl)-Verbindungen und stellt eine neue Verbindung zu einer vorkonfigurierten Nummer her.

Sobald eine Verbindung zu dem remoten Host aufgebaut ist, kann der Dialler versuchen sich über den Internet Explorer mit vorkonfigurierten Websites zu verbinden.

Dial/QDial20-B kopiert sich mit dem Dateinamen "vgt.exe" in den Temp-Ordner und erstellt eine Protokolldatei namens "vgt.log". Dial/QDial20-B erstellt den folgenden Registrierungseintrag, damit er bei der Anmeldung automatisch startet:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
vgt =
%Temp%\vgt.exe

Dial/QDial20-B erstellt außerdem neue Registrierungseinträge für seine eigenen Zwecke unter:

HKCU\Software\DC\

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.12.2006, 20:40
Member

Themenstarter

Beiträge: 17
#17 Schritt 1+2 ausgeführt.

Schritt 3:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qscvdkyi

*******************

Script file located at: \??\C:\Program Files\cfkbwrfx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Palms\Lokale Einstellungen\Temp\vgt.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Palms\Lokale Einstellungen\Temp\vgt.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Palms\Lokale Einstellungen\Temp\vgt.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

???
Seitenanfang Seitenende
11.12.2006, 23:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 scanne mit panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2006, 15:41
Member

Themenstarter

Beiträge: 17
#19 Beim Installieren vom ActiveX Steuerelement bei PANDA hat sich antiVir gemeldet und <W95/Blumblebee.1738> gelöscht.

Das Scan Log von Ewido sieht so aus:
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Atdmt
Path: :mozilla.19:C:\Dokumente und Einstellungen\Palms\Anwendungsdaten\Mozilla\Profiles\default\nlc8n8t6.slt\cookies.txt
Risk: Medium

Name: TrackingCookie.71i
Path: :mozilla.21:C:\Dokumente und Einstellungen\Palms\Anwendungsdaten\Mozilla\Profiles\default\nlc8n8t6.slt\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.25:C:\Dokumente und Einstellungen\Palms\Anwendungsdaten\Mozilla\Profiles\default\nlc8n8t6.slt\cookies.txt
Risk: Medium



PS: Während des Scannes meldete sich Antivir erneut und löschte <DR/Agent.age.66.A>, sowie <DR/Agent.age.37>
Seitenanfang Seitenende
12.12.2006, 15:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 poste den report vom antivirus, der im moment vorhanden ist, damit ich den pfad der malware sehe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2006, 16:05
Member

Themenstarter

Beiträge: 17
#21 Wo kann ich den Report des Guard einsehen? Habe unter "Berichte" nur Report vom letzten Suchdurchlauf.

Als letzte Betroffene Datei steht dort:
C:\System Volume Information\_restore{88CD435D-4056-47A2-97E9-04C1DCD054C0}\RP428\A0034680.exe

(DR/Agent.age.37)

Ich mein mich zu erinnern der Pfad für
W95/Blumblebee.1738

war C:\Windows\System32\...

sry...
Seitenanfang Seitenende
12.12.2006, 17:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ««
W95/Blumblebee.1738 - ist ein bug vom antivirus

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren
http://virus-protect.org/systemwiederherstellung.html

««
dann sollte sich das prob erledigt haben ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2006, 18:09
Member

Themenstarter

Beiträge: 17
#23 Ich danke viiiielmals für die Hilfe!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: