IEFilter.dll
|
Troj/SrchSpy-A , Trj/SrchSpy.B / Trojan-Dropper.Win32.Agent.zmC:\WINDOWS\System32\vjauaaaa.exeC:\WINDOWS\System32\vrygdaaa.exe C:\WINDOWS\System32\scedlaaa.exe 
HijackThis
O4 - HKLM\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe O4 - HKCU\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe O4 - HKLM\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe O4 - HKLM\..\RunServices: [Microsoft Windows System] vpqgymqq.exe O4 - HKCU\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe O21 - SSODL: IEFilter - {528AE807-2B92-4C74-8AFD-207B26D02269} - C:\WINDOWS\system32\IEFilter.dll O21 - SSODL: IEFilter - {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} - IEFilter.dll 021 - SSODL: IEFilter - {C006F645-0699-4A97-AE87-52AC6C4B4FC1} - C:\WINDOWS\system32\IEFilter.dll O21 - SSODL: IEFilter - {DF6982F5-2F96-43D6-9296-D5F632C4334B} - C:\WINDOWS\system32\IEFilter.dll O21 - SSODL: IEFilter - {1EC9A0A6-52A1-4329-8B9D-1A508D11DAFD} - IEFilter.dll O21 - SSODL: IEFilter - {AB02F18F-D478-49E1-A280-40E60A76ACF0} - IEFilter.dll O21 - SSODL: IEFilter - {DEF65112-B1D4-4A52-9A64-EDD308B9ECF6} - IEFilter.dll O21 - SSODL: IEFilter - {099CD473-1FA9-44B4-AB0A-5670552D9A69} - C:\WINDOWS\system32\IEFilter.dll O21 - SSODL: IEFilter - {FCEC03B0-B0A5-4A03-A86E-83F9D30AF622} - C:\WINDOWS\system32\IEFilter.dll O21 - SSODL: IEFilter - {FEA298D0-0E55-4A48-B881-8D4EB4E45CFB} - C:\WINDOWS\system32\IEFilter.dll O21 - SSODL: IEFilter - {1287459E-BDAB-462A-B57A-E2D9D247D597} - F:\WINDOWS\system32\IEFilter.dll O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe C:\WINDOWS\System32\Service.exeAntiVir Found Backdoor-Server/PPdoor.BC.16 backdoorArcaVir Found Trojan.Ppdoor.Bc BitDefender Found Trojan.Downloader.EV Dr.Web Found BackDoor.Srvlite Kaspersky Anti-Virus Found Backdoor.Win32.PPdoor.bc NOD32 Found Win32/PPdoor.BC VBA32 Found Backdoor.Win32.PPdoor.bc AntiVir 6.33.0.61 16.12.2005 TR/Agent.FD.18 AVG 718 15.12.2005 Generic.LYE Avira 6.33.0.61 16.12.2005 TR/Agent.FD.18 BitDefender 7.2 16.12.2005 BehavesLike:Win32.ExplorerHijack Fortinet 2.54.0.0 16.12.2005 W32/Agent.FD!tr Kaspersky 4.0.2.24 16.12.2005 Trojan.Win32.Agent.fd Panda 8.02.00 16.12.2005 Trj/SrchSpy.B VBA32 3.10.5 16.12.2005 Trojan.Win32.Agent.fd * Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start - Ausführen den Befehl services.msc ein. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Service" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Service " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Service" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. * Start-->Ausführen --> schreib (kopiere) in das kleine Fenster: sc stop Service sc delete Service und klicke o.k.
ServiceFilter.zip
Unknown Service Service Name: Service Display Name: Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\service.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Datei - C:\WINDOWS\System32\MSIEHelper.dll infiziert von "Trojan.Win32.Agent.fd"
Start -- Ausführen --> regedit
bearbeiten --> suchen --> - IEFilter.dll - IEFilter - {B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE} - {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} 1. lösche jeweils, falls es vorhanden ist: HKCR\CLSID\{B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE} --> löschen HKCR\CLSID\{303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} --> löschen 2. lösche jeweils, falls es vorhanden ist: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ IEFilter {B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE} --> löschen HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ IEFilter {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} --> löschen 3. PC neustarten , in den abgesicherten Modus 4. suche / lösche (manuell) C:\WINDOWS\System32\MSIEHelper.dll C:\WINDOWS\System32\IEFilter.dll C:\WINDOWS\System32\Service.exe 5. Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: - Speichern als: Test.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich ( Info.txt )
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service] ; Contents of value: ; C:\WINDOWS\System32\Service.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 53,65,72,76,69,63,65,2e,65,78,65,00 "DisplayName"="Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service\Enum] "0"="Root\\LEGACY_SERVICE\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Service] ; Contents of value: ; C:\WINDOWS\System32\Service.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 53,65,72,76,69,63,65,2e,65,78,65,00 "DisplayName"="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service] ; Contents of value: ; C:\WINDOWS\System32\Service.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 53,65,72,76,69,63,65,2e,65,78,65,00 "DisplayName"="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service\Enum] "0"="Root\\LEGACY_SERVICE\\0000" 6. Start --> Ausführen --> regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MegaSearch HKEY_CURRENT_USER\Software\MegaHost
HijackThis
O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - sext01./MegaInstaller.exe O21 - SSODL: IEFilter - {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} - IEFilter.dll (file missing) O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe Löschen: C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\MegaHost.dll C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\MegaInstaller.exe C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\temp.dll C:\Windows\tmp_n6.exe --> infiziert mit Trojan.Downloader.WIN32.Small.ckb Megasearch.zip - MegasearchBarSetup.exe - MegaInstaller.exe * http://www.symantec.com anderer PC
HijackThis
O4 - HKLM\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe O4 - HKCU\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe
datfindbat
Verzeichnis von F:\WINDOWS\system32 16.04.2006 16:37 0 filter.drv 16.04.2006 15:56 1.038 aiybjjxn.exe 16.04.2006 15:56 1.038 vmruebio.exe 16.04.2006 15:56 12.288 gugjjaaa.exe 16.04.2006 15:56 1.038 ayuaaaaa.exe 16.04.2006 15:56 1.038 amgujaaa.exe 16.04.2006 15:56 8.430 vrygdaaa.exe 16.04.2006 15:56 65.536 scedlaaa.exe Verzeichnis von F:\ 08.04.2006 03:54 48.907.862 q3ad.exe
Avenger
ServiceFilter.zip
Unknown Service # 1 Service Name: .NET Runtime Optimization Service v1.000.3.1434 Display Name: .NET Runtime Optimization Service v1.000.3.1434 Start Mode: Auto Start Name: LocalSystem Description: Microsoft .NET ... Service Type: Own Process Path: f:\windows\system32\scedlaaa.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 5 Service Name: Service Display Name: Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: f:\windows\system32\service.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch anderer PC Start - Ausführen - cmd sc stop Service sc delete Service
HijackThis
O4 - HKLM\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe O4 - HKLM\..\RunServices: [Microsoft Windows System] vpqgymqq.exe O4 - HKCU\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe Kopiere den Text in den Texteditor. Abspeicern auf dem desktop als delfiles.bat Speichern als : --> Alle Dateien Doppelklick "delfiles.bat"
anderer PC
HijackThis
O4 - HKLM\..\Run: [jbgcaaaa] C:\WINDOWS\system32\jbgcaaaa.exe O4 - HKCU\..\Run: [jbgcaaaa] C:\WINDOWS\system32\jbgcaaaa.exe O21 - SSODL: IEFilter - {519FB717-D1B8-4F41-B258-7A29D7338A6E} - C:\WINDOWS\system32\IEFilter.dll O23 - Service: .NET Runtime Optimization Service v1.000.3.1434 - Unknown owner - C:\WINDOWS\system32\jsedtaaa.exe C:\WINDOWS\system32\jsedtaaa.exe -> Backdoor.Agent.vz C:\WINDOWS\system32\pxmaclnt.exe -> Backdoor.PPdoor.bc
AWG-Antivirus
C:\WINDOWS\system32\gyajfmmp.dll -> Backdoor.PPdoor.bc : Cleaned with backup C:\WINDOWS\system32\myicayeo.dll -> Backdoor.PPdoor.bc : Cleaned with backup C:\WINDOWS\system32\pwmbhbfl.dll -> Backdoor.PPdoor.bc : Cleaned with backup C:\WINDOWS\system32\pxqgunxi.dll -> Backdoor.PPdoor.bc : Cleaned with backup C:\WINDOWS\system32\rpuctvtn.dll -> Adware.Virtumonde : Cleaned with backup C:\WINDOWS\system32\scqdhhlh.dll -> Backdoor.PPdoor.bc : Cleaned with backup anderer PC
HijackThis
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\tmp9ueng.exe O4 - HKLM\..\Run: [Update Component] C:\WINDOWS\system32\tmp9ueng.exe O4 - HKCU\..\Run: [Update Component] C:\WINDOWS\system32\tmp9ueng.exe O21 - SSODL: IEFilter - {CFD48922-C34E-48DB-921F-435CCD88DDDD} - C:\WINDOWS\system32\IEFilter.dll O21 - SSODL: Connection Explorer - {04EA0BCA-B633-4273-BCE9-4533E84C028E} - C:\WINDOWS\system32\wshowwin.dll O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe
Panda-Online
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\kbdbtobj.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\mspbfwci.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\tmp9ueng.exe Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\odtereg.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\dpnscdef.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\nvgacomp.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\setvtacl.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\remogr32.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\wscrgsvc.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\kbdftl32.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\wshowwin.dll Virus:Trj/SrchSpy.F Nd C:\WINDOWS\SYSTEM32\IEFilter.dll Virus:Trj/SrchSpy.F Nd C:\WINDOWS\SYSTEM32\MSIEHelper.dll Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\hpsjscom.dll
AWG-Antivirus
C:\Documents and Settings\b\Local Settings\Temp\tmp15.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp1B.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp1F.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp2A.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp24.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp29.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp30.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp33.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp38.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\Documents and Settings\b\Local Settings\Temp\tmp3C.tmp -> Backdoor.PPdoor.al : Cleaned with backup C:\System Volume Information\_restore{A84EA1D8-7811-4489-839E-24797389176D}\RP150\A0017605.EXE -> Backdoor.PPdoor.bc : Cleaned with backup C:\System Volume Information\_restore{A84EA1D8-7811-4489-839E-24797389176D}\RP150\A0017615.exe -> Backdoor.PPdoor.bc : Cleaned with backup anderer PC
HijackThis
O21 - SSODL: IEFilter - {B87AEBDE-169F-474B-9A0A-58343BA623FE} - C:\WINDOWS\system32\IEFilter.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 19.09.2006 16:29 0 filter.drv 19.09.2006 16:12 1.038 mxsuaaaa.exe 19.09.2006 16:12 1.038 sdooaaaa.exe 19.09.2006 16:12 1.038 gpwttyqy.exe 19.09.2006 16:12 1.038 sdycaaaa.exe 19.09.2006 16:12 1.038 gpbpaaaa.exe 19.09.2006 15:12 1.038 sdsaaaaa.exe 19.09.2006 15:12 1.038 dnyqeaaa.exe 19.09.2006 15:12 1.038 sdolbaaa.exe 19.09.2006 15:12 1.038 jkwijaaa.exe 19.09.2006 15:12 1.038 pefobaaa.exe 19.09.2006 14:40 1.038 jkqvaaaa.exe 19.09.2006 14:40 1.038 vuikjgcf.exe 20.08.2006 19:41 17.878 vcmgcd32.dl_ 12.08.2006 04:26 61 svcp.csv 12.08.2006 04:26 4 winsub.xml [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B87AEBDE-169F-474B-9A0A-58343BA623FE}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "IEFilter"="{B87AEBDE-169F-474B-9A0A-58343BA623FE}" anderer PC
HijackThis
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\DOKUME~1\Andreas\LOKALE~1\Temp\MegaHost.dll O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll C:\Programme\IESearchToolbar\IESearchToolbar.dll C:\Programme\IESearchToolbar\iesearchtoolbar_uninstall.exe HKEY_CLASSES_ROOT\clsid\{EB381422-F797-4A98-A266-9DC490821907} HKEY_LOCAL_MACHINE\SOFTWARE\Perezzz Software\IESearchToolbar HKEY_LOCAL_MACHINE\Software\Perezzz Software HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{69753829-779C-45e7-9D8C-C79CE0989246} HKEY_CURRENT_USER\Software\MegaHost 
|
