|
|
|
Backdoor.Win32.HacDef.bj, f3490d74d7cdrv.sys, f3490d74d7c.ini
HijackThis
O4 - HKCU\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O23 - Service: WindowInstallSystem - Unknown - C:\WINDOWS\f3490d74d7c.exe
«
CCleaner (lsche alle temp-Dateien)
http://virus-protect.org/ccleaner.html
«
datfindbat
http://virus-protect.org/datfindbat.html
------------------------------------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}
Active Desktop web content:
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html"
"SubscribedURL" = "C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html"
Verzeichnis von C:\WINDOWS
C:\WINDOWS\f3490d74d7cdrv.sys
C:\WINDOWS\f3490d74d7c.ini
C:\WINDOWS\f3490d74d7c.exe
C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html
C:\WINDOWS\System32\43bh2ml.dll
Download Registry Search Tool :http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann
"regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring
f3490d74d7c.exe
hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das
Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.
HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\
CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E}
"UninstallString"="\"C:\\WINDOWS\\System32\\f3490d74d7c.exe\" -un"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7csvr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7csvr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7csvr
|
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit
Speichern unter auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
REGEDIT4
[-HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\
CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CDRV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7cdrv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CDRV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7cdrv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CDRV]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7cdrv]
|
Gehe in die Registry
Start --> Ausführen --> regedit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"ForceActiveDesktopOn"=dword:00000001 --- auf 0 stellen
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D} -- löschen
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
löschen:
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html"
"SubscribedURL" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"
C:\WINDOWS\f3490d74d7c.ini
C:\WINDOWS\f3490d74d7cdrv.sys
C:\WINDOWS\System32\43bh2ml.dll
C:\WINDOWS\43bh2ml.dll
C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html
C:\Recycler\Q678341.exe
C:\WINDOWS\System32\f3490d74d7c.exe
anderer PC
HijackThis
O23 - Service: WindowInstallSystem (9caf7d75497svr) -
Unknown owner - C:\WINDOWS\9caf7d75497.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O4 - HKLM\..\Run: [9caf7d75497] C:\WINDOWS\System32\9caf7d75497.exe
O4 - HKCU\..\Run: [9caf7d75497] C:\WINDOWS\System32\9caf7d75497.exe
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O23 - Service: WindowInstallSystem (9caf7d75497svr) - Unknown owner - C:\WINDOWS\9caf7d75497.exe
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
25.10.2005 12:48 4 PMShared
25.10.2005 11:28 1.454 9ff64641d.html
20.10.2005 13:55 0 38487ed1c46.71d
C:\System Volume Information\_restore{07F882C9-6FC8-4AB6-92CD-DA51E9DD72BB}\RP77\A0034202.sys
Infected: Backdoor.Win32.HacDef.bj
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"9caf7d75497" = "C:\WINDOWS\System32\9caf7d75497.exe" [** WMI GetObject error **]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"9caf7d75497" = "C:\WINDOWS\System32\9caf7d75497.exe" [** WMI GetObject error **]
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
Active Desktop web content:
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Marc\LOKALE~1\Temp\9ff64641d.html"
"SubscribedURL" = "C:\DOKUME~1\Marc\LOKALE~1\Temp\9ff64641d.html"
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" = (no title provided)
{CLSID}\InProcServer32\(Default) = "n9cpw.dll"
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
"load" = (value not set)
"run" = (value not set)
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren
und als fixme.reg mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
REGEDIT4
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\9caf7d75497svr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\9caf7d75497svr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_9CAF7D75497SVR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\9caf7d75497svr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\9caf7d75497svr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_9CAF7D75497SVR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\9caf7d75497svr]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\9caf7d75497svr]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_9CAF7D75497SVR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\9caf7d75497svr]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"9caf7d75497"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"9caf7d75497"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
|
PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.
?????????????????????????????
C:\WINDOWS\9caf7d75497svr.sys
C:\WINDOWS\9caf7d75497.ini
C:\WINDOWS\9caf7d75497.exe
C:\DOKUME~1\Username\LOKALE~1\Temp\9ff64641d.html
C:\WINDOWS\System32\n9cpw.dll
¨
|
|
