6 Trojaner, Dropper "DR/Cydoor.A.1", heuristischer Treffer "HEUR/CryptedThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
28.01.2007, 23:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
29.01.2007, 00:00
Member
Themenstarter Beiträge: 17 |
#17
hmmm hab ich auch gemacht kam auch nix soweit ich mich erinnere. ich probiers aber gleich nochma wenn counterspy durchgelaufen is
|
|
|
||
29.01.2007, 00:14
Ehrenmitglied
Beiträge: 29434 |
#18
o.k.
damit es nicht so durcheinandergeht - poste erst den report vom counterspy dann denn report vom avenger dann arbeite sdfix ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.01.2007, 06:07
Member
Themenstarter Beiträge: 17 |
#19
Spyware Scan Details
Start Date: 28.01.2007 23:19:40 End Date: 29.01.2007 00:52:57 Total Time: 1 hrs 33 mins 17 secs Detected spyware Messenger Plus! Adware Bundler more information... Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com. Status: Ignored Infected files detected c:\programme\messengerplus! 3\msgplusloader.dll c:\programme\messengerplus! 3\msgplus.exe c:\programme\messengerplus! 3\resources\msgplusres.dll c:\programme\messengerplus! 3\msgplush.dll c:\programme\messengerplus! 3\richedhook.dll Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MessengerPlus3 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 Name [Vit] Sterf hoer. HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 Category 5 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 Flags 0 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 NeedsLoading 1 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C Name -du spinnst doch- HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C Category 4 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C Flags 1 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C NeedsLoading 0 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 Name ach du Schei... HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 Category 4 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 Flags 0 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 NeedsLoading 0 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\33E9BD52A282 Name Wo Seit Ihr Den...? HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\33E9BD52A282 Category 4 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\33E9BD52A282 Flags 0 edit |
|
|
||
29.01.2007, 12:43
Ehrenmitglied
Beiträge: 29434 |
#20
Nomja
bist du du so, oder tust du nur so ??? - tschuldigung ...normalerweise habe ich Nerven wie Stahlseile................. Status: Ignored - ich hatte geschrieben, dass du alles auf remove aendern sollst, schau mal nach auf der seite vom Counterspy - da steht es genau beschrieben. da das log sehr gross ist, speichere es als textdatei und poste es als Anhang (siehe unten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.01.2007, 17:11
Member
Themenstarter Beiträge: 17 |
#21
ich hab alles auf remove geändert. heut morgen noch weil counterspy die ganze nacht gelaufen ist. ich hab nunma nich viel ahnung von pc´s aber ich hab heut morgen hundert pro alles auf remove gestellt!
ich hab nochmal nachgeguckt. bei mir steht deleted drunter und nich ignored. Anhang: ScanHistoryDetails.txt Dieser Beitrag wurde am 29.01.2007 um 17:19 Uhr von Nomja editiert.
|
|
|
||
29.01.2007, 18:18
Ehrenmitglied
Beiträge: 29434 |
#22
Avenger
http://virus-protect.org/artikel/tools/avenger.html «« Input script manually (anhaken) «« kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten poste den report, der nach neustart erscheint. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.01.2007, 18:51
Member
Themenstarter Beiträge: 17 |
#23
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\bkbefoqc ******************* Script file located at: \??\C:\Program Files\iktiitfh.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\tasks\A4D329999184A645.job deleted successfully. File C:\WINDOWS\Downloaded Program Files\qp2.dll deleted successfully. File C:\WINDOWS\Downloaded Program Files\qp2.inf deleted successfully. Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! deleted successfully. Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN deleted successfully. Folder C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\This Meow deleted successfully. Folder C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\peakidol deleted successfully. Folder C:\Programme\Adverts deleted successfully. Folder C:\Programme\C2Media not found! Deletion of folder C:\Programme\C2Media failed! Could not process line: C:\Programme\C2Media Status: 0xc0000034 Folder C:\Programme\MessengerPlus! 3 deleted successfully. Folder C:\Programme\This Meow deleted successfully. Folder C:\Programme\RXToolBar not found! Deletion of folder C:\Programme\RXToolBar failed! Could not process line: C:\Programme\RXToolBar Status: 0xc0000034 Folder C:\Programme\SAV deleted successfully. Folder C:\Programme\PartyGaming deleted successfully. Folder C:\Programme\PartyGaming.Net deleted successfully. Folder C:\Programme\Need2Find not found! Deletion of folder C:\Programme\Need2Find failed! Could not process line: C:\Programme\Need2Find Status: 0xc0000034 Folder C:\Program Files\Altnet deleted successfully. Folder C:\Program Files\C-Media deleted successfully. Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3 Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3 failed! Status: 0xc0000034 Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|C-Media Mixer deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
30.01.2007, 00:24
Ehrenmitglied
Beiträge: 29434 |
#24
gut gemacht
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten es kann sein, dass du einiges nicht mehr findest, also nur fixen, was ich geschrieben hab Zitat O1 - Hosts: die von Microsoft TCP/IPPC neustarten ------ SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) http://www.tu-berlin.de/www/software/virus/savemode.shtml gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2007, 15:50
Member
Themenstarter Beiträge: 17 |
#25
also bei hijack hab ich keinen punkt mehr gefunden der aufgelistet war.
SDFix: Version 1.63 30.01.2007 - 16:03:43,32 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\Installer\{7D2B86CA-2D5D-469E-92ED-E56B62BD1D3C}\Vpc32.exe.exe - Deleted ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III" "C:\\Programme\\neo Software Produktions GmbH\\Die Völker Gold Edition\\bin\\DVGE.exe"="C:\\Programme\\neo Software Produktions GmbH\\Die Völker Gold Edition\\bin\\DVGE.exe:*:Disabled:DV" "C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"="C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe:*:Enabled:lh" "C:\\Programme\\BitLord\\BitLord.exe"="C:\\Programme\\BitLord\\BitLord.exe:*:Disabled:BitLord" "C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*:Disabled:eMule" "C:\\Programme\\Kazaa\\kazaa.exe"="C:\\Programme\\Kazaa\\kazaa.exe:*:Disabled:Kazaa Media Desktop" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe C:\hiberfil.sys Finished Dieser Beitrag wurde am 30.01.2007 um 16:18 Uhr von Nomja editiert.
|
|
|
||
30.01.2007, 16:24
Ehrenmitglied
Beiträge: 29434 |
#26
Nomja
http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 1 : es wird a-squared geladen 2 : wird Norman geladen 3 : wird Sophos geladen scanne und kopiere dann hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2007, 17:30
Member
Themenstarter Beiträge: 17 |
||
|
||
30.01.2007, 18:22
Ehrenmitglied
Beiträge: 29434 |
#28
waehle die 6 - dann wird alles gescannt und auch geloescht
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2007, 21:06
Member
Themenstarter Beiträge: 17 |
#29
ich habs in nen anhang gepackt. is ziemlich lang
Anhang: SophosReport.txt Dieser Beitrag wurde am 30.01.2007 um 21:29 Uhr von Nomja editiert.
|
|
|
||
30.01.2007, 23:59
Ehrenmitglied
Beiträge: 29434 |
#30
scanne mit kaspersky und poste den scanreport hier
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein
Zitat
Klicke die grüne Ampel- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
poste den report, der nach neustart erscheint.
__________
MfG Sabina
rund um die PC-Sicherheit