|
|
|
Troj/SrchSpy-A , Trj/SrchSpy.B / Trojan-Dropper.Win32.Agent.zm / Trojan.WIN32.Agent.fd / TR/Agent.FD.18
C:\WINDOWS\System32\vjauaaaa.exe
C:\WINDOWS\System32\vrygdaaa.exe
C:\WINDOWS\System32\scedlaaa.exe
HijackThis
O4 - HKLM\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe
O4 - HKCU\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe
O4 - HKLM\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] vpqgymqq.exe
O4 - HKCU\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe
O21 - SSODL: IEFilter - {528AE807-2B92-4C74-8AFD-207B26D02269} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: IEFilter - {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} - IEFilter.dll
021 - SSODL: IEFilter - {C006F645-0699-4A97-AE87-52AC6C4B4FC1} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: IEFilter - {DF6982F5-2F96-43D6-9296-D5F632C4334B} -
C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: IEFilter - {1EC9A0A6-52A1-4329-8B9D-1A508D11DAFD} - IEFilter.dll
O21 - SSODL: IEFilter - {AB02F18F-D478-49E1-A280-40E60A76ACF0} - IEFilter.dll
O21 - SSODL: IEFilter - {DEF65112-B1D4-4A52-9A64-EDD308B9ECF6} - IEFilter.dll
O21 - SSODL: IEFilter - {099CD473-1FA9-44B4-AB0A-5670552D9A69} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: IEFilter - {FCEC03B0-B0A5-4A03-A86E-83F9D30AF622} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: IEFilter - {FEA298D0-0E55-4A48-B881-8D4EB4E45CFB} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: IEFilter - {1287459E-BDAB-462A-B57A-E2D9D247D597} - F:\WINDOWS\system32\IEFilter.dll
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe
C:\WINDOWS\System32\Service.exe
AntiVir Found Backdoor-Server/PPdoor.BC.16 backdoor
ArcaVir Found Trojan.Ppdoor.Bc
BitDefender Found Trojan.Downloader.EV
Dr.Web Found BackDoor.Srvlite
Kaspersky Anti-Virus Found Backdoor.Win32.PPdoor.bc
NOD32 Found Win32/PPdoor.BC
VBA32 Found Backdoor.Win32.PPdoor.bc
C:\WINDOWS\system32\Service.exe
AntiVir 6.33.0.61 16.12.2005 TR/Agent.FD.18
AVG 718 15.12.2005 Generic.LYE
Avira 6.33.0.61 16.12.2005 TR/Agent.FD.18
BitDefender 7.2 16.12.2005 BehavesLike:Win32.ExplorerHijack
Fortinet 2.54.0.0 16.12.2005 W32/Agent.FD!tr
Kaspersky 4.0.2.24 16.12.2005 Trojan.Win32.Agent.fd
Panda 8.02.00 16.12.2005 Trj/SrchSpy.B
VBA32 3.10.5 16.12.2005 Trojan.Win32.Agent.fd
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start
- Ausführen den Befehl services.msc ein.
Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Service" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Service " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Service" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Start-->Ausführen --> schreib (kopiere) in das kleine Fenster:
sc stop Service
sc delete Service
und klicke o.k.
ServiceFilter.zip
Unknown Service
Service Name: Service
Display Name: Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\service.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch
Datei - C:\WINDOWS\System32\MSIEHelper.dll infiziert von "Trojan.Win32.Agent.fd"
Start -- Ausführen --> regedit
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ENUM\ROOT\LEGACY_SERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_SERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\ENUM\ROOT\LEGACY_SERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_SERVICE]
|
bearbeiten --> suchen -->
- IEFilter.dll
- IEFilter
- {B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE}
- {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E}
1. lösche jeweils, falls es vorhanden ist.
HKCR\CLSID\{B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE} --> löschen
HKCR\CLSID\{303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} --> löschen
2. lösche jeweils, falls es vorhanden ist.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
IEFilter
{B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE} --> löschen
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
IEFilter
{303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} --> löschen
PC neustarten , in den abgesicherten Modus
suche / lösche (manuell)
C:\WINDOWS\System32\MSIEHelper.dll
C:\WINDOWS\System32\IEFilter.dll
C:\WINDOWS\System32\Service.exe
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )
regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Filter"
|
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service]
; Contents of value:
; C:\WINDOWS\System32\Service.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
53,65,72,76,69,63,65,2e,65,78,65,00
"DisplayName"="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service\Enum]
"0"="Root\\LEGACY_SERVICE\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Service]
; Contents of value:
; C:\WINDOWS\System32\Service.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
53,65,72,76,69,63,65,2e,65,78,65,00
"DisplayName"="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service]
; Contents of value:
; C:\WINDOWS\System32\Service.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
53,65,72,76,69,63,65,2e,65,78,65,00
"DisplayName"="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service\Enum]
"0"="Root\\LEGACY_SERVICE\\0000"
Start --> Ausführen --> regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MegaSearch
HKEY_CURRENT_USER\Software\MegaHost
HijackThis
O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - sext01./MegaInstaller.exe
O21 - SSODL: IEFilter - {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} - IEFilter.dll (file missing)
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe
Löschen:
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\MegaHost.dll
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\MegaInstaller.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\temp.dll
C:\Windows\tmp_n6.exe --> infiziert mit Trojan.Downloader.WIN32.Small.ckb
Megasearch.zip - MegasearchBarSetup.exe - MegaInstaller.exe
http://www.symantec.com/avcenter/venc/data/adware.bestsearch.html
anderer PC
HijackThis
O4 - HKLM\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe
O4 - HKCU\..\Run: [vrygdaaa] F:\WINDOWS\System32\vrygdaaa.exe
datfindbat
Verzeichnis von F:\WINDOWS\system32
16.04.2006 16:37 0 filter.drv
16.04.2006 15:56 1.038 aiybjjxn.exe
16.04.2006 15:56 1.038 vmruebio.exe
16.04.2006 15:56 12.288 gugjjaaa.exe
16.04.2006 15:56 1.038 ayuaaaaa.exe
16.04.2006 15:56 1.038 amgujaaa.exe
16.04.2006 15:56 8.430 vrygdaaa.exe
16.04.2006 15:56 65.536 scedlaaa.exe
Verzeichnis von F:\
08.04.2006 03:54 48.907.862 q3ad.exe
Avenger
Files to delete:
F:\WINDOWS\system32\IEFilter.dll
F:\WINDOWS\system32\MSIEHelper.dll
F:\WINDOWS\system32\Service.exe
F:\WINDOWS\system32\filter.drv
F:\WINDOWS\system32\aiybjjxn.exe
F:\WINDOWS\system32\vmruebio.exe
F:\WINDOWS\system32\gugjjaaa.exe
F:\WINDOWS\system32\ayuaaaaa.exe
F:\WINDOWS\system32\amgujaaa.exe
F:\WINDOWS\system32\vrygdaaa.exe
F:\WINDOWS\system32\scedlaaa.exe
F:\q3ad.exe
|
ServiceFilter.zip
Unknown Service # 1
Service Name: .NET Runtime Optimization Service v1.000.3.1434
Display Name: .NET Runtime Optimization Service v1.000.3.1434
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft .NET ...
Service Type: Own Process
Path: f:\windows\system32\scedlaaa.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch
Unknown Service # 5
Service Name: Service
Display Name: Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: f:\windows\system32\service.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch
anderer PC
Start - Ausführen - cmd
sc stop Service
sc delete Service
-----------------------------------------------------
HijackThis
O4 - HKLM\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] vpqgymqq.exe
O4 - HKCU\..\Run: [vjauaaaa] C:\WINDOWS\System32\vjauaaaa.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe
Kopiere den Text in den Texteditor. Abspeicern auf dem desktop als delfiles.bat
Speichern als : --> Alle Dateien
Doppelklick "delfiles.bat"
attrib -h -r -s C:\WINDOWS\System32\vjauaaaa.exe
del C:\WINDOWS\System32\vjauaaaa.exe
attrib -h -r -s C:\WINDOWS\System32\vpqgymqq.exe
del C:\WINDOWS\System32\vpqgymqq.exe
attrib -h -r -s C:\WINDOWS\System32\IEFilter.dll
del C:\WINDOWS\System32\IEFilter.dll
attrib -h -r -s C:\WINDOWS\System32\MSIEHelper.dll
del C:\WINDOWS\System32\MSIEHelper.dll
attrib -h -r -s C:\WINDOWS\System32\Service.exe
del C:\WINDOWS\System32\Service.exe
|
anderer PC
HijackThis
O4 - HKLM\..\Run: [jbgcaaaa] C:\WINDOWS\system32\jbgcaaaa.exe
O4 - HKCU\..\Run: [jbgcaaaa] C:\WINDOWS\system32\jbgcaaaa.exe
O21 - SSODL: IEFilter - {519FB717-D1B8-4F41-B258-7A29D7338A6E} - C:\WINDOWS\system32\IEFilter.dll
O23 - Service: .NET Runtime Optimization Service v1.000.3.1434 - Unknown owner - C:\WINDOWS\system32\jsedtaaa.exe
C:\WINDOWS\system32\jsedtaaa.exe -> Backdoor.Agent.vz
C:\WINDOWS\system32\pxmaclnt.exe -> Backdoor.PPdoor.bc
ewido
C:\WINDOWS\system32\gyajfmmp.dll -> Backdoor.PPdoor.bc : Cleaned with backup
C:\WINDOWS\system32\myicayeo.dll -> Backdoor.PPdoor.bc : Cleaned with backup
C:\WINDOWS\system32\pwmbhbfl.dll -> Backdoor.PPdoor.bc : Cleaned with backup
C:\WINDOWS\system32\pxqgunxi.dll -> Backdoor.PPdoor.bc : Cleaned with backup
C:\WINDOWS\system32\rpuctvtn.dll -> Adware.Virtumonde : Cleaned with backup
C:\WINDOWS\system32\scqdhhlh.dll -> Backdoor.PPdoor.bc : Cleaned with backup
anderer PC
HijackThis
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\tmp9ueng.exe
O4 - HKLM\..\Run: [Update Component] C:\WINDOWS\system32\tmp9ueng.exe
O4 - HKCU\..\Run: [Update Component] C:\WINDOWS\system32\tmp9ueng.exe
O21 - SSODL: IEFilter - {CFD48922-C34E-48DB-921F-435CCD88DDDD} - C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: Connection Explorer - {04EA0BCA-B633-4273-BCE9-4533E84C028E} - C:\WINDOWS\system32\wshowwin.dll
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe
Panda-Online
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\kbdbtobj.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\mspbfwci.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\tmp9ueng.exe
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\odtereg.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\dpnscdef.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\nvgacomp.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\setvtacl.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\remogr32.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\wscrgsvc.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\kbdftl32.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\wshowwin.dll
Virus:Trj/SrchSpy.F Nd C:\WINDOWS\SYSTEM32\IEFilter.dll
Virus:Trj/SrchSpy.F Nd C:\WINDOWS\SYSTEM32\MSIEHelper.dll
Virus:Bck/PPDoor.GX Nd C:\WINDOWS\SYSTEM32\hpsjscom.dll
Ewido
C:\Documents and Settings\b\Local Settings\Temp\tmp15.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp1B.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp1F.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp2A.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp24.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp29.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp30.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp33.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp38.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\Documents and Settings\b\Local Settings\Temp\tmp3C.tmp -> Backdoor.PPdoor.al : Cleaned with backup
C:\System Volume Information\_restore{A84EA1D8-7811-4489-839E-24797389176D}\RP150\A0017605.EXE -> Backdoor.PPdoor.bc : Cleaned with backup
C:\System Volume Information\_restore{A84EA1D8-7811-4489-839E-24797389176D}\RP150\A0017615.exe -> Backdoor.PPdoor.bc : Cleaned with backup
anderer PC
HijackThis
O21 - SSODL: IEFilter - {B87AEBDE-169F-474B-9A0A-58343BA623FE} - C:\WINDOWS\system32\IEFilter.dll
Verzeichnis von C:\WINDOWS\system32
19.09.2006 16:29 0 filter.drv
19.09.2006 16:12 1.038 mxsuaaaa.exe
19.09.2006 16:12 1.038 sdooaaaa.exe
19.09.2006 16:12 1.038 gpwttyqy.exe
19.09.2006 16:12 1.038 sdycaaaa.exe
19.09.2006 16:12 1.038 gpbpaaaa.exe
19.09.2006 15:12 1.038 sdsaaaaa.exe
19.09.2006 15:12 1.038 dnyqeaaa.exe
19.09.2006 15:12 1.038 sdolbaaa.exe
19.09.2006 15:12 1.038 jkwijaaa.exe
19.09.2006 15:12 1.038 pefobaaa.exe
19.09.2006 14:40 1.038 jkqvaaaa.exe
19.09.2006 14:40 1.038 vuikjgcf.exe
20.08.2006 19:41 17.878 vcmgcd32.dl_
12.08.2006 04:26 61 svcp.csv
12.08.2006 04:26 4 winsub.xml
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B87AEBDE-169F-474B-9A0A-58343BA623FE}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"IEFilter"="{B87AEBDE-169F-474B-9A0A-58343BA623FE}"
anderer PC
HijackThis
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\DOKUME~1\Andreas\LOKALE~1\Temp\MegaHost.dll
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
C:\Programme\IESearchToolbar\IESearchToolbar.dll
C:\Programme\IESearchToolbar\iesearchtoolbar_uninstall.exe
HKEY_CLASSES_ROOT\clsid\{EB381422-F797-4A98-A266-9DC490821907}
HKEY_LOCAL_MACHINE\SOFTWARE\Perezzz Software\IESearchToolbar
HKEY_LOCAL_MACHINE\Software\Perezzz Software
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{69753829-779C-45e7-9D8C-C79CE0989246}
HKEY_CURRENT_USER\Software\MegaHost
|
|