Backdoor.Coreflood (ylwcvgn.dll) Trojaner entfernen - wie? |
||
---|---|---|
#0
| ||
06.08.2003, 20:41
Member
Beiträge: 14 |
||
|
||
06.08.2003, 21:00
Member
Beiträge: 14 |
#32
also es hat alles nix gebracht :-(
der virus bleibt und es ist der erste der mich wohl in die knie zwingt um format c zu machen :-( aber ich danke dir raman ich werde dieses bord weiter empfehlen denn ich finde es gut wenn man weiss wo sich jemand mühe gibt. vielleicht kann ich ja mal jemanden hier im board einen gefallen tun und wenn es nur musik machen ist wenn man mal im internet surft :-) grüßle dat Ufo www.ufo2304.de oder www.team-radio.de __________ Gruß Ufo2304 |
|
|
||
07.08.2003, 17:25
Member
Beiträge: 14 |
#33
Hallo zusammen dat Ufo meldet sich noch mal zu Wort:-)
Ich habe das Problem gelöst und wollte nur schnell hier Posten woran es lag das ich den Virus nicht löschen konnte. Ist eigentlich gar nicht schwer es liegt einzig und allein (zumindest bei mir) das ich den Rechner im abgesicherten Modus gestartet habe was laut Antiviren proggi auch vorgegeben ist. Ging aber nicht sondern bei mir ging es nur im sogenannten VGA Modus. Damit hochgefahren Norton durchlaufen gelassen kein Virus gefunden ...dann habe ich in der regedit nach dem dateinamen gesucht und siehe da er fand nicht nur den einen sondern gleich noch einen . diese beiden dateien aus der regedit gelöscht danach den rechner ganz normal gestartet und alles war easy:-) freu freu. Raman Dir noch mal vielen dank denn dein weg war ja der richtige nur wie gesagt ich befand mich im falschen Modus.... Grüßle Ufo2304 __________ Gruß Ufo2304 |
|
|
||
26.02.2004, 19:13
...neu hier
Beiträge: 2 |
#34
Hallo!
-eins vorweg: Ich bin blutiger Anfänger was derartige Dinge angeht. Es wäre aber trotzdem unheimlich nett, wenn sich jemand mein Problem durchlesen und beantworten könnte. Bitte! Ich hab weder Backups noch sonstige Registrierungssicherungen gemacht....- Mein Virenprogramm (mcAfee) hat vor vielleicht zwei Tagen einen Trojaner ("CoreFlood")erkannt, der sich im System befand. Er liess sich weder säubern, noch verschieben... Da das das erste Mal war, hab ich dann intelligenterweise das Antivirenprogramm geschlossen, ohne den Pfad aufzuschreiben.... Bei einem zweiten Suchdurchlauf hat er dann diesen Pfad nicht mehr angezeigt, sondern einen recht komplizierten anderen. Mein Vater hat dann netterweise diese Datei in die eigene Dateinen als Quarantäneordner geschoben. Jetzt findet der mcAfee kein einziges infiziertes Programm mehr(auch nicht im abgesicherten Modus und wenn ich die Systemwiederherstellung abgeschaltet hab) , dafür kann ich dieses "infected" in den eigenen Dateien nicht löschen... Mitlerweile spinnt mein Computer total- von einem Bildchen mit zwei verbunden Smileys zu Aufforderungen, Datenträger in Laufwerke einzulegen, die keine sind... Bitte helft mir- zu diesem PC gabs noch niemals die vorinstallierten Programme extra auf CDs.... P.S.: Ich hab Win XP Home. Mein Virenscanner wurde vorgestern das letzte mal upgedated..... MFG Kathrin Dieser Beitrag wurde am 26.02.2004 um 19:15 Uhr von Kathrin editiert.
|
|
|
||
26.02.2004, 19:47
Member
Beiträge: 1122 |
||
|
||
27.02.2004, 10:39
...neu hier
Beiträge: 2 |
#36
Hier das Ergebnis:
Logfile of HijackThis v1.97.7 Scan saved at 10:32:09, on 27.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\DitExp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Programme\Network Associates\VirusScan\Avconsol.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Kathrin\Eigene Dateien\Eigene Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37667.1728819444 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Was mich bei der ganzen Sache nur wundert, ist, das keine der vom mcafee anfänglich herausgefundenen Dateipfade hier aufgelistet ist- obwohl ich nichts gelöscht hab. Nebenbei bemerkt ist der Computer heut seit etwas längerer Zeit wieder normal hochgefahren- ohne Smileys oder Datenträgermeldungen..... Hoffe, ihr könnt mir helfen. mfg ich |
|
|
||
29.09.2004, 21:39
...neu hier
Beiträge: 1 |
#37
Frage an Ufo, hab das gleiche Problem, nur weiß ich nich wenn ich in regedit bin was ich da dann machen muss kannst du mir das bitte ausführlich erklären.
mfg Laus |
|
|
||
30.09.2004, 14:50
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo @Kathrin
Es ist moeglich , die Veraenderungen , die der Backdoor in der Registry gemacht hat, rueckgaengig zu machen. Aber dazu muesste man den Backdoor noch aktiv haben, oder du muesstest wissen, wie er hiess. (zum Beispiel: ???? .exe und die abcdwxyz.dll) Die Vorgehensweise ist folgende: Start<Ausfuehren<regedit #HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run (das ist der 04-Eintrag vom HijackThis...aber vom Backdoor ist nichts mehr zu sehen.....????.exe ) navegiere zu folgendem Schluessel: #HKEY_LOCAL_MACHINE/Software/Classes/CLSID Click Edit > Find--«««Find what" box dort muesste nun die <dll< des Backdoors eingegeben werden (solltest du beim Antivrius-Scann mit "mcAfee"gesehen haben, zum Beispiel: abcdwxyz.dll ) nun musste die <abcdwxyz.dll < unter folgendem Schlussel erscheinen: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}\InProcServer32 zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef}. loesche rechts in der Registry die "clsid" , die zu <abcdwxyz.dll< gehoert. HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>} HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion \Explorer/Browser Helper Objects/{<zufaellige clsid>} HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Explorer/ShellIconOverlayIdentifiers/<detected file name> (zum Beispiel: abcdwxyz.dll ) HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Explorer/ShellIconOverlayIdentifiers/abcdwxyz schliesse die Registry und starte den PC neu. #Deinstalliere den "mcAfee" und lade ihn neu. #Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Dann mache einen Online-Scann "eTrust Antivirus" (nur mit IE moeglich) http://www3.ca.com/securityadvisor/virusinfo/scan.aspx mfg Sabina http://securityresponse.symantec.com/avcenter/venc/data/backdoor.coreflood.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.09.2004 um 17:18 Uhr von Sabina editiert.
|
|
|
||
30.09.2004, 14:59
Ehrenmitglied
Beiträge: 29434 |
#39
Hallo @Laus86
Man sollte nicht einfach so in der Registry rumloeschen (!)...das kann schief gehen. Poste bitte das Log vom HijackThis und dann berichte ganz genau das Problem HijackThis: http://www.wintotal.de/softw/?id=2022 Lade das Tool, scann, save und kopiere das Log ins Forum mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.09.2004, 16:37
...neu hier
Beiträge: 1 |
#40
Hallo
Ich habe seit heute ebenfalls BACKDOOR.COREFLOOD auf meinem Recher!!! ...Trotz Norton [Grrrrrr!!!] Wie soll ich da vorgehen. Der Rechner ist EXTREM lahm. habe nun HijackThis heruntergeladen und gescannt....da der Rechner zu lahm ist hängt es beim Spreichern....welche möglichkeit bleibt mir da noch? Und vor allem ist der Rechner da wieder Fit? Wieso hat Norton den Virus (Trojaner) überhaupt zugelassen? War geupdatet! Bitte um schnelle und effiziente Hilfe! Grüße EAZY71 |
|
|
||
30.09.2004, 17:25
Ehrenmitglied
Beiträge: 29434 |
#41
Hallo @Eazy71
Die Vorgehensweise ist folgende: du musst die <exe< des Backdoors und die dazugehoerige <dll< kennen (vielleicht gibt dir der Symantec diese Informationen) _________________________________________________________________ Start<Ausfuehren<regedit Navegiere zu folgendem Schluessel: #HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run .....????.exe vom Backdoor loeschen du muesstest herausfinden, welche exe der Backdoor hat...ohne HijackThis kann ich es dir nicht sagen) und loesche rechts in der Registry den Eintrag mit der exe (vom Backdoor) navegiere zu folgendem Schluessel: #HKEY_LOCAL_MACHINE/Software/Classes/CLSIDClick Edit > Find--«««Find what" box dort muesste nun die <dll< des Backdoors eingegeben werden (solltest du beim Antivrius-Scann mit "Symantec "gesehen haben, zum Beispiel: abcdwxyz.dll ) nun musste die <abcdwxyz.dll < unter folgendem Schlussel erscheinen:und du musst ihn loeschen: #HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}\InProcServer32zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef} loesche rechts in der Registry die "clsid" , die zu <abcdwxyz.dll< gehoert. #HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>} zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef loesche rechts in der Registry die "clsid" , die zu <abcdwxyz.dll< gehoert #HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion \Explorer/Browser Helper Objects/{<zufaellige clsid>} zum Beispiel:{01234567-89ab-cdef-0123-456789abcdef #HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Explorer/ShellIconOverlayIdentifiers/<detected file name>(zum Beispiel: abcdwxyz.dll ) #HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Explorer/ShellIconOverlayIdentifiers/abcdwxyz schliesse die Registry und starte den PC neu. #Dann mache einen Online-Scann "eTrust Antivirus" (nur mit IE moeglich) http://www3.ca.com/securityadvisor/virusinfo/scan.aspx #Deinstalliere den Symantec und lade ihn neu mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.09.2004 um 17:48 Uhr von Sabina editiert.
|
|
|
||
04.10.2004, 02:58
...neu hier
Beiträge: 1 |
#42
Hallo
Also, ich habe dasselbe Problem mit Coreflood, nur kommt dazu, dass ich fast kein Programm starten kann. Dazu gehören auch regedit.exe und msconfig.exe. Probleme ebenfalls mit Systemwiederherstellung, Datenträgerbereinigung, Word, Norton Anti Virus (kann nur noch mit einem Trick den PC scannen), etc. etc. Ich versuchte bereits, die XP-Cd zu starten, aber leider sieht der pc auch das CD-Rom-Laufwerk nicht mehr. Kann das denn überhaupt alles dem Coreflood in die Schuhe geschoben werden?? HELP PLEASE! Dieser Beitrag wurde am 04.10.2004 um 02:58 Uhr von Kookie editiert.
|
|
|
||
04.10.2004, 10:27
Ehrenmitglied
Beiträge: 29434 |
#43
Hallo @Kookie
HijackThis: <zip< http://www.downloads.subratam.org/hijackthis.zip Lade das Tool, scann, save und kopiere das Log ins Forum mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.10.2004, 11:49
Member
Beiträge: 48 |
#44
Siehst du das CD-Rom unter Windows nicht oder bereits beim Booten? Eventuell musst du im BIOS erst die Bootreihenfolge so einstellen, dass von CD gebooted wird.
|
|
|
||
Scan started at 06.08.2003 20:31:41
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Dokumente und Einstellungen\ufo\Anwendungsdaten\uyugrtrgoea.exe - TrojanDownloader:Win32/Swizzor.C -> Infected
das werde ich jetzt erst mal löschen wenn er ned noch was anderes findet und dann melde ich mich noch mal bei dir ....
aber dankeeeeeeeeeeeeeeeeeeeeeeee sage ich jetzt schon mal .:-)
__________
Gruß
Ufo2304