6 Trojaner, Dropper "DR/Cydoor.A.1", heuristischer Treffer "HEUR/Crypted

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.01.2007, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|C-Media Mixer

Files to delete:
C:\WINDOWS\tasks\A4D329999184A645.job
C:\WINDOWS\Downloaded Program Files\qp2.dll
C:\WINDOWS\Downloaded Program Files\qp2.inf

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN
C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\This Meow
C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\peakidol
C:\Programme\Adverts
C:\Programme\C2Media
C:\Programme\MessengerPlus! 3
C:\Programme\This Meow
C:\Programme\RXToolBar
C:\Programme\SAV
C:\Programme\PartyGaming
C:\Programme\PartyGaming.Net
C:\Programme\Need2Find
C:\Program Files\Altnet
C:\Program Files\C-Media
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

poste den report, der nach neustart erscheint.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.01.2007, 00:00
Member

Themenstarter

Beiträge: 17
#17 hmmm hab ich auch gemacht kam auch nix soweit ich mich erinnere. ich probiers aber gleich nochma wenn counterspy durchgelaufen is
Seitenanfang Seitenende
29.01.2007, 00:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 o.k.
damit es nicht so durcheinandergeht - poste erst den report vom counterspy
dann denn report vom avenger

dann arbeite sdfix ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.01.2007, 06:07
Member

Themenstarter

Beiträge: 17
#19 Spyware Scan Details
Start Date: 28.01.2007 23:19:40
End Date: 29.01.2007 00:52:57
Total Time: 1 hrs 33 mins 17 secs

Detected spyware

Messenger Plus! Adware Bundler more information...
Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.
Status: Ignored

Infected files detected
c:\programme\messengerplus! 3\msgplusloader.dll
c:\programme\messengerplus! 3\msgplus.exe
c:\programme\messengerplus! 3\resources\msgplusres.dll
c:\programme\messengerplus! 3\msgplush.dll
c:\programme\messengerplus! 3\richedhook.dll

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MessengerPlus3
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 Name [Vit] Sterf hoer.
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 Category 5
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 Flags 0
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\13DF47792465 NeedsLoading 1
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C Name -du spinnst doch-
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C Category 4
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C Flags 1
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\1BA4B6544F9C NeedsLoading 0
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 Name ach du Schei...
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 Category 4
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 Flags 0
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\21C80332AB10 NeedsLoading 0
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\33E9BD52A282 Name Wo Seit Ihr Den...?
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\33E9BD52A282 Category 4
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2\Nobody\CustSounds\33E9BD52A282 Flags 0


edit
Seitenanfang Seitenende
29.01.2007, 12:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Nomja

bist du du so, oder tust du nur so ??? ;) - tschuldigung ...normalerweise habe ich Nerven wie Stahlseile.................
Status: Ignored - ich hatte geschrieben, dass du alles auf remove aendern sollst, schau mal nach auf der seite vom Counterspy - da steht es genau beschrieben.
da das log sehr gross ist, speichere es als textdatei und poste es als Anhang (siehe unten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.01.2007, 17:11
Member

Themenstarter

Beiträge: 17
#21 ich hab alles auf remove geändert. heut morgen noch weil counterspy die ganze nacht gelaufen ist. ich hab nunma nich viel ahnung von pc´s aber ich hab heut morgen hundert pro alles auf remove gestellt!
ich hab nochmal nachgeguckt. bei mir steht deleted drunter und nich ignored.

Dieser Beitrag wurde am 29.01.2007 um 17:19 Uhr von Nomja editiert.
Seitenanfang Seitenende
29.01.2007, 18:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Avenger
http://virus-protect.org/artikel/tools/avenger.html
««
Input script manually (anhaken)
««
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|C-Media Mixer

Files to delete:
C:\WINDOWS\tasks\A4D329999184A645.job
C:\WINDOWS\Downloaded Program Files\qp2.dll
C:\WINDOWS\Downloaded Program Files\qp2.inf

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN
C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\This Meow
C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\peakidol
C:\Programme\Adverts
C:\Programme\C2Media
C:\Programme\MessengerPlus! 3
C:\Programme\This Meow
C:\Programme\RXToolBar
C:\Programme\SAV
C:\Programme\PartyGaming
C:\Programme\PartyGaming.Net
C:\Programme\Need2Find
C:\Program Files\Altnet
C:\Program Files\C-Media
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

poste den report, der nach neustart erscheint.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.01.2007, 18:51
Member

Themenstarter

Beiträge: 17
#23 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bkbefoqc

*******************

Script file located at: \??\C:\Program Files\iktiitfh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\tasks\A4D329999184A645.job deleted successfully.
File C:\WINDOWS\Downloaded Program Files\qp2.dll deleted successfully.
File C:\WINDOWS\Downloaded Program Files\qp2.inf deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN deleted successfully.
Folder C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\This Meow deleted successfully.
Folder C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten\peakidol deleted successfully.
Folder C:\Programme\Adverts deleted successfully.


Folder C:\Programme\C2Media not found!
Deletion of folder C:\Programme\C2Media failed!

Could not process line:
C:\Programme\C2Media
Status: 0xc0000034

Folder C:\Programme\MessengerPlus! 3 deleted successfully.
Folder C:\Programme\This Meow deleted successfully.


Folder C:\Programme\RXToolBar not found!
Deletion of folder C:\Programme\RXToolBar failed!

Could not process line:
C:\Programme\RXToolBar
Status: 0xc0000034

Folder C:\Programme\SAV deleted successfully.
Folder C:\Programme\PartyGaming deleted successfully.
Folder C:\Programme\PartyGaming.Net deleted successfully.


Folder C:\Programme\Need2Find not found!
Deletion of folder C:\Programme\Need2Find failed!

Could not process line:
C:\Programme\Need2Find
Status: 0xc0000034

Folder C:\Program Files\Altnet deleted successfully.
Folder C:\Program Files\C-Media deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MessengerPlus3 failed!
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|C-Media Mixer deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
30.01.2007, 00:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 gut gemacht ;)


öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

es kann sein, dass du einiges nicht mehr findest, also nur fixen, was ich geschrieben hab ;)

Zitat

O1 - Hosts: die von Microsoft TCP/IP
O1 - Hosts: 85.14.216.95 l2patcher.lineage2.com
O1 - Hosts: 89.163.145.153 l2authd.lineage2.com

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)

O2 - BHO: (no name) - {7827FB03-1073-1DE2-D139-0075B40ED5BE} - C:\DOKUME~1\Mirjam\ANWEND~1\peakidol\AboutBows.exe (file missing)

O4 - HKLM\..\RunServices: [ITUNES] itune.exe

O4 - HKCU\..\Run: [hold data] C:\DOKUME~1\Mirjam\ANWEND~1\THISME~1\option loud.exe

O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
PC neustarten

------

SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

http://www.tu-berlin.de/www/software/virus/savemode.shtml

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2007, 15:50
Member

Themenstarter

Beiträge: 17
#25 also bei hijack hab ich keinen punkt mehr gefunden der aufgelistet war.


SDFix: Version 1.63

30.01.2007 - 16:03:43,32

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\Installer\{7D2B86CA-2D5D-469E-92ED-E56B62BD1D3C}\Vpc32.exe.exe - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\\Programme\\neo Software Produktions GmbH\\Die Völker Gold Edition\\bin\\DVGE.exe"="C:\\Programme\\neo Software Produktions GmbH\\Die Völker Gold Edition\\bin\\DVGE.exe:*:Disabled:DV"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"="C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe:*:Enabled:lh"
"C:\\Programme\\BitLord\\BitLord.exe"="C:\\Programme\\BitLord\\BitLord.exe:*:Disabled:BitLord"
"C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*:Disabled:eMule"
"C:\\Programme\\Kazaa\\kazaa.exe"="C:\\Programme\\Kazaa\\kazaa.exe:*:Disabled:Kazaa Media Desktop"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\hiberfil.sys

Finished
Dieser Beitrag wurde am 30.01.2007 um 16:18 Uhr von Nomja editiert.
Seitenanfang Seitenende
30.01.2007, 16:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Nomja

http://virus-protect.org/artikel/tools/sdfix.html

im Normalmodus

RunThis.bat doppelt klicken

reinschreiben: 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

scanne und kopiere dann hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2007, 17:30
Member

Themenstarter

Beiträge: 17
#27 Welche zahl soll ich jetzt drücken? Hab ma nen screenshot gemacht

Seitenanfang Seitenende
30.01.2007, 18:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 waehle die 6 - dann wird alles gescannt und auch geloescht ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2007, 21:06
Member

Themenstarter

Beiträge: 17
#29 ich habs in nen anhang gepackt. is ziemlich lang

Dieser Beitrag wurde am 30.01.2007 um 21:29 Uhr von Nomja editiert.
Seitenanfang Seitenende
30.01.2007, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 scanne mit kaspersky und poste den scanreport hier
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende