Backdoor.Coreflood (ylwcvgn.dll) Trojaner entfernen - wie?

#0
06.08.2003, 20:41
Member

Beiträge: 14
#31 also ich habe erst mal den online scan probiert und der hat folgendes gefunden .
Scan started at 06.08.2003 20:31:41

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Dokumente und Einstellungen\ufo\Anwendungsdaten\uyugrtrgoea.exe - TrojanDownloader:Win32/Swizzor.C -> Infected

das werde ich jetzt erst mal löschen wenn er ned noch was anderes findet und dann melde ich mich noch mal bei dir ....

aber dankeeeeeeeeeeeeeeeeeeeeeeee sage ich jetzt schon mal .:-)
__________
Gruß
Ufo2304
Seitenanfang Seitenende
06.08.2003, 21:00
Member

Beiträge: 14
#32 also es hat alles nix gebracht :-(
der virus bleibt und es ist der erste der mich wohl in die knie zwingt um format c zu machen :-(

aber ich danke dir raman ich werde dieses bord weiter empfehlen denn ich finde es gut wenn man weiss wo sich jemand mühe gibt.
vielleicht kann ich ja mal jemanden hier im board einen gefallen tun und wenn es nur musik machen ist wenn man mal im internet surft :-)

grüßle dat Ufo

www.ufo2304.de oder
www.team-radio.de
__________
Gruß
Ufo2304
Seitenanfang Seitenende
07.08.2003, 17:25
Member

Beiträge: 14
#33 Hallo zusammen dat Ufo meldet sich noch mal zu Wort:-)

Ich habe das Problem gelöst und wollte nur schnell hier Posten woran es lag das ich den Virus nicht löschen konnte.
Ist eigentlich gar nicht schwer es liegt einzig und allein (zumindest bei mir) das ich den Rechner im abgesicherten Modus gestartet habe was laut Antiviren proggi auch vorgegeben ist.
Ging aber nicht sondern bei mir ging es nur im sogenannten VGA Modus.
Damit hochgefahren Norton durchlaufen gelassen kein Virus gefunden ...dann habe ich in der regedit nach dem dateinamen gesucht und siehe da er fand nicht nur den einen sondern gleich noch einen .
diese beiden dateien aus der regedit gelöscht danach den rechner ganz normal gestartet und alles war easy:-) freu freu.

Raman Dir noch mal vielen dank denn dein weg war ja der richtige nur wie gesagt ich befand mich im falschen Modus....

Grüßle
Ufo2304
__________
Gruß
Ufo2304
Seitenanfang Seitenende
26.02.2004, 19:13
...neu hier

Beiträge: 2
#34 Hallo!
-eins vorweg: Ich bin blutiger Anfänger was derartige Dinge angeht. Es wäre aber trotzdem unheimlich nett, wenn sich jemand mein Problem durchlesen und beantworten könnte. Bitte! Ich hab weder Backups noch sonstige Registrierungssicherungen gemacht....-

Mein Virenprogramm (mcAfee) hat vor vielleicht zwei Tagen einen Trojaner ("CoreFlood")erkannt, der sich im System befand. Er liess sich weder säubern, noch verschieben... Da das das erste Mal war, hab ich dann intelligenterweise das Antivirenprogramm geschlossen, ohne den Pfad aufzuschreiben....
Bei einem zweiten Suchdurchlauf hat er dann diesen Pfad nicht mehr angezeigt, sondern einen recht komplizierten anderen. Mein Vater hat dann netterweise diese Datei in die eigene Dateinen als Quarantäneordner geschoben.
Jetzt findet der mcAfee kein einziges infiziertes Programm mehr(auch nicht im abgesicherten Modus und wenn ich die Systemwiederherstellung abgeschaltet hab) , dafür kann ich dieses "infected" in den eigenen Dateien nicht löschen...
Mitlerweile spinnt mein Computer total- von einem Bildchen mit zwei verbunden Smileys zu Aufforderungen, Datenträger in Laufwerke einzulegen, die keine sind...

Bitte helft mir- zu diesem PC gabs noch niemals die vorinstallierten Programme extra auf CDs....

P.S.: Ich hab Win XP Home. Mein Virenscanner wurde vorgestern das letzte mal upgedated.....

MFG Kathrin
Dieser Beitrag wurde am 26.02.2004 um 19:15 Uhr von Kathrin editiert.
Seitenanfang Seitenende
26.02.2004, 19:47
Member
Avatar Dafra

Beiträge: 1122
#35 Poste mal ein Hijackthis Log, unten steht wie (Signatur)
MFG
DAFRA
Seitenanfang Seitenende
27.02.2004, 10:39
...neu hier

Beiträge: 2
#36 Hier das Ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 10:32:09, on 27.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\DitExp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Kathrin\Eigene Dateien\Eigene Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37667.1728819444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Was mich bei der ganzen Sache nur wundert, ist, das keine der vom mcafee anfänglich herausgefundenen Dateipfade hier aufgelistet ist- obwohl ich nichts gelöscht hab.
Nebenbei bemerkt ist der Computer heut seit etwas längerer Zeit wieder normal hochgefahren- ohne Smileys oder Datenträgermeldungen.....
Hoffe, ihr könnt mir helfen.
mfg ich
Seitenanfang Seitenende
29.09.2004, 21:39
...neu hier

Beiträge: 1
#37 Frage an Ufo, hab das gleiche Problem, nur weiß ich nich wenn ich in regedit bin was ich da dann machen muss kannst du mir das bitte ausführlich erklären.
mfg Laus
Seitenanfang Seitenende
30.09.2004, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 Hallo @Kathrin

Es ist moeglich , die Veraenderungen , die der Backdoor in der Registry gemacht hat, rueckgaengig zu machen.

Aber dazu muesste man den Backdoor noch aktiv haben, oder du muesstest wissen, wie er hiess. (zum Beispiel: ???? .exe und die abcdwxyz.dll)

Die Vorgehensweise ist folgende:

Start<Ausfuehren<regedit
#HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
(das ist der 04-Eintrag vom HijackThis...aber vom Backdoor ist nichts mehr zu sehen.....????.exe )

navegiere zu folgendem Schluessel:
#HKEY_LOCAL_MACHINE/Software/Classes/CLSID
Click Edit > Find--«««Find what" box
dort muesste nun die <dll< des Backdoors eingegeben werden (solltest du beim Antivrius-Scann mit "mcAfee"gesehen haben, zum Beispiel: abcdwxyz.dll )

nun musste die <abcdwxyz.dll < unter folgendem Schlussel erscheinen:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}\InProcServer32
zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef}.


loesche rechts in der Registry die "clsid" , die zu <abcdwxyz.dll< gehoert.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion
\Explorer/Browser Helper Objects/{<zufaellige clsid>}

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellIconOverlayIdentifiers/<detected file name>
(zum Beispiel: abcdwxyz.dll )
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellIconOverlayIdentifiers/abcdwxyz

schliesse die Registry und starte den PC neu.

#Deinstalliere den "mcAfee" und lade ihn neu.
#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Dann mache einen Online-Scann
"eTrust Antivirus" (nur mit IE moeglich)
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

mfg
Sabina

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.coreflood.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.09.2004 um 17:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.09.2004, 14:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Hallo @Laus86 ;)

Man sollte nicht einfach so in der Registry rumloeschen (!)...das kann schief gehen.
Poste bitte das Log vom HijackThis und dann berichte ganz genau das Problem

HijackThis:
http://www.wintotal.de/softw/?id=2022
Lade das Tool, scann, save und kopiere das Log ins Forum

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.09.2004, 16:37
...neu hier

Beiträge: 1
#40 Hallo

Ich habe seit heute ebenfalls BACKDOOR.COREFLOOD auf meinem Recher!!!
...Trotz Norton [Grrrrrr!!!]

Wie soll ich da vorgehen. Der Rechner ist EXTREM lahm. habe nun HijackThis
heruntergeladen und gescannt....da der Rechner zu lahm ist hängt es beim Spreichern....welche möglichkeit bleibt mir da noch?
Und vor allem ist der Rechner da wieder Fit?
Wieso hat Norton den Virus (Trojaner) überhaupt zugelassen? War geupdatet!

Bitte um schnelle und effiziente Hilfe!

Grüße
EAZY71
Seitenanfang Seitenende
30.09.2004, 17:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 Hallo @Eazy71

Die Vorgehensweise ist folgende:

du musst die <exe< des Backdoors und die dazugehoerige <dll< kennen (vielleicht gibt dir der Symantec diese Informationen)
_________________________________________________________________

Start<Ausfuehren<regedit

Navegiere zu folgendem Schluessel:
#HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

.....????.exe vom Backdoor loeschen du muesstest herausfinden, welche exe der Backdoor hat...ohne HijackThis kann ich es dir nicht sagen)
und loesche rechts in der Registry den Eintrag mit der exe (vom Backdoor)

navegiere zu folgendem Schluessel:
#HKEY_LOCAL_MACHINE/Software/Classes/CLSIDClick Edit > Find--«««Find what" box
dort muesste nun die <dll< des Backdoors eingegeben werden (solltest du beim Antivrius-Scann mit "Symantec "gesehen haben, zum Beispiel: abcdwxyz.dll )

nun musste die <abcdwxyz.dll < unter folgendem Schlussel erscheinen:und du musst ihn loeschen:
#HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}\InProcServer32zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef}

loesche rechts in der Registry die "clsid" , die zu <abcdwxyz.dll< gehoert.
#HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}
zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef

loesche rechts in der Registry die "clsid" , die zu <abcdwxyz.dll< gehoert
#HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion
\Explorer/Browser Helper Objects/{<zufaellige clsid>}

zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef

#HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellIconOverlayIdentifiers/<detected file name>
(zum Beispiel: abcdwxyz.dll )

#HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellIconOverlayIdentifiers
/abcdwxyz

schliesse die Registry und starte den PC neu.

#Dann mache einen Online-Scann
"eTrust Antivirus" (nur mit IE moeglich)
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

#Deinstalliere den Symantec und lade ihn neu

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.09.2004 um 17:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.10.2004, 02:58
...neu hier

Beiträge: 1
#42 Hallo
Also, ich habe dasselbe Problem mit Coreflood, nur kommt dazu, dass ich fast kein Programm starten kann. Dazu gehören auch regedit.exe und msconfig.exe. Probleme ebenfalls mit Systemwiederherstellung, Datenträgerbereinigung, Word, Norton Anti Virus (kann nur noch mit einem Trick den PC scannen), etc. etc.

Ich versuchte bereits, die XP-Cd zu starten, aber leider sieht der pc auch das CD-Rom-Laufwerk nicht mehr.

Kann das denn überhaupt alles dem Coreflood in die Schuhe geschoben werden??

HELP PLEASE! ;)
Dieser Beitrag wurde am 04.10.2004 um 02:58 Uhr von Kookie editiert.
Seitenanfang Seitenende
04.10.2004, 10:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 Hallo @Kookie

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save und kopiere das Log ins Forum

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.10.2004, 11:49
Member

Beiträge: 48
#44 Siehst du das CD-Rom unter Windows nicht oder bereits beim Booten? Eventuell musst du im BIOS erst die Bootreihenfolge so einstellen, dass von CD gebooted wird.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: