Backdoor Ciadoor

Backdoor.
Win32.Ciadoor

Backdoor.Win32.Ciadoor

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\Windows\system32\wsock32.sys
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe

2.
* gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

* Start -> Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel löschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schlüssel löschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ - disablecad -> löschen

Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

3.
Klick - Start - Ausführen schreibe Services.msc und Klick OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

Windows-Firewall/Gemeinsame Nutzung der Internetverbindung

4.
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok > Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile

5.
* datfindbat

Verzeichnis von C:\WINDOWS\system32

17.03.2006 19:25 65.686 ckl009.dat
17.03.2006 16:03 163.328 wsock32.sys
16.03.2006 15:24 5.300.271 FmS137q14n.ini --> kann auch andere Zahlen/Nummernfolge haben

6.
Beispiel (weil die ini variiert.....in diesem Fall ist es: FmS137q14n.ini

* Avenger (Beispiel)

Files to delete:
C:\WINDOWS\system32\lollol.sys
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\FmS137q14n.ini -> diese ini variiert, muss also immer neu per datfindbat ermittelt werden
C:\WINDOWS\system32\scvhost.exe

7.
* Regsearch laden

in: "Enter search strings" (reinschreiben oder reinkopieren)

scvhost

in edit und klicke "Ok".
Notepad wird sich öffnen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

[HKEY_USERS\S-1-5-21-1715567821-725345543-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

8.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}]
[-HKEY_CURRENT_USER\N.Cs4]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

9.

Gehe in die Registry
Start --> Ausführen --> regedit
bearbeiten --> suchen

* Generic Host Process
* scvhost
* FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben)

lösche alles , was noch vorhanden ist.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"

[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben) - löschen

10.
* Onlinescan - Kaspersky oder andere Onlinescans machen

* C:\avenger\backup.zip --> löschen

C:\avenger\backup.zip/avenger/FmS137q14n.ini - Infected: Backdoor.Win32.Ciadoor.13 (BackDoor-ASB.gen trojan)
C:\avenger\backup.zip/avenger/scvhost.exe - Infected: Backdoor.Win32.Ciadoor.13
C:\avenger\backup.zip/avenger/wsock32.sys

11.

** Die XP-Firewall wieder aktivieren - [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung] siehe : http://www.wintotal.de

Troj/Ciadoor - Backdoor.Win32.Ciadoor.13

Troj/Ciadoor-G erstellt außerdem eine SYS-Datei im Windows-Systemordner mit dem Dateinamen wsock32.sys und die Datei ckl009.dat, die gerade aktualisierte Trojaner-Startinformationen enthält.

Troj/Ciadoor-K runs in the background listening on a preconfigured TCP port for connections from a remote intruder. tcpview

Troj/Ciadoor-G erstellt außerdem eine SYS-Datei im Windows-Systemordner mit dem Dateinamen wsock32.sys und die Datei ckl009.dat, die gerade aktualisierte Trojaner-Startinformationen enthält. http://www.sophos.de

"Die Bearbeitung der Registry wurde durch den Administrator deaktiviert"

deaktivierte Registry - Policies\System, DisableRegedit=1 -> diesen Eintrag mit dem Hijackthis fixen: (und PC neustarten)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

"Die Eingabeaufforderung ist vom Administrator deaktiviert worden.
Drücken Sie eine beliebige Taste . . . "

Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schlüssel löschen)

"Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...."

Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile

Gebe folgendes unter Start/Ausführen an(ohne die "") und drücke Enter:

"REG add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0 /f"

dann sollte cmd funktionieren

anderer PC

HijackThis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\7X9eRXc4pY.ini
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\C:\WINDOWS\System32\svchost.exe

anderer PC

C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\t1gPWG2PZ1.ini
C:\WINDOWS\system32\wsock32.sys

anderer PC

C:\WINDOWS\System32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13"
C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13"
C:\WINDOWS\System32\NziLv9b679.ini infected by "Backdoor.Win32.Ciadoor.13"
C:\DOKUME~1\ALLGEM~1\LOKALE~1\TEMPOR~1\Content.IE5\X4SJHLK9\Fix[1].exe infected by "Backdoor.Win32.Ciadoor.13"

anderer PC

Verzeichnis von C:\WINDOWS\system32

25.12.2005 20:10 163.328 wsock32.sys
21.12.2005 22:38 53.248 cjpg.dll -> Cjpg.dll plugin is used now for captures (cuts servers size & faster compression)
21.12.2005 22:37 555.537 h6uDKU7E56.ini
21.12.2005 18:07 9.522 ckl009.dat
21.12.2005 17:55 182 del32.bat
21.12.2005 17:55 163.328 wsock.sys
21.12.2005 17:51 239.881 winrundll32.exe
21.12.2005 17:07 231.899 RuW16vZhM8.ini
21.12.2005 16:52 231.899 JrW258u36r.ini

anderer PC

Verzeichnis von C:\WINDOWS\system32

18.03.2006 21:11 45.056 WNASPI32.DLL
18.03.2006 20:47 8.841 ckl009.dat
18.03.2006 19:58 108 del32.bat
17.03.2006 23:30 32 getfile.dat

anderer PC

datfindbat

Verzeichnis von C:\WINDOWS\system32

09.04.2006 19:43 422.635 ckl009.dat
09.04.2006 19:22 534 ahdp.dat
09.04.2006 19:19 163.328 wsock32.sys
04.04.2006 12:10 184.352 scvhost.exe
04.04.2006 12:10 184.352 r15o922UXD.ini
15.03.2006 19:55 87.561 ahdp.dll

C:\!KillBox\r15o922UXD.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 skipped

anderer PC

Verzeichnis von C:\WINDOWS\system32

15.04.2006 17:27 163.328 wsock32.sys
13.04.2006 20:49 19.456 cewmdmb.dll
13.04.2006 19:40 183 imon1.dat
13.04.2006 09:43 819.233 ckl009.dat
05.04.2006 18:13 184.352 r15o922UXD.ini
05.04.2006 18:13 184.352 scvhost.exe
05.04.2006 18:13 166 del32.bat
05.04.2006 17:37 1.904 lvcoinst.log

anderer PC

Verzeichnis von C:\WINDOWS\system32

09.04.2006 20:53 310.283 ckl009.dat
09.04.2006 14:15 163.328 lollol.sys -> neue Variante
07.04.2006 23:19 142 del32.bat
05.02.2006 13:56 37 getfile.dat

Verzeichnis von C:\

31.10.2005 17:56 700.416 StubInstaller.exe

Download Registry Search by Bobbi Flekman: regsearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben)

lollol.sys

in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32]
@="C:\\WINDOWS\\system32\\lollol.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32] @="C:\\WINDOWS\\system32\\lollol.sys"

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}]
[-HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\N.Cs4]

Troj/Ciadoor-M ist ein Backdoortrojaner für die Windows-Plattform.

Der Trojaner registriert sich als Browser Helper Object (BHO) für den Microsoft Internet Explorer und erstellt die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

HKCU\Software\VB and VBA Program Settings\set\set
set
""

HKEY_CURRENT_USER\.key\
(default)
"regfile"

anderer PC

C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\cs_office.wad -> neu
C:\WINDOWS\system32\4M5tgM6Y2n.ini
C:\WINDOWS\system32\scvhost.exe

datfindbat

Verzeichnis von C:\WINDOWS\system32

18.04.2006 23:33 92.087 ckl009.dat
18.04.2006 23:25 163.328 wsock32.sys
15.04.2006 20:28 184 del32.bat
15.04.2006 20:28 3.405.860 cs_office.wad
06.02.2006 16:16 3.495.338 4M5tgM6Y2n.ini
06.02.2006 16:16 3.495.338 scvhost.exe

anderer PC

HijackThis

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe

datfindbat

Verzeichnis von C:\WINDOWS\system32

10.05.2006 15:33 163.328 wsock32.sys
02.05.2006 14:52 184.339 scvvhost.exe
02.05.2006 14:52 184.339 qcmoz1e782.ini

anderer PC

HijackThis

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mssys.exe /u
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)
O21 - SSODL: System - {B2A551D4-D9C9-42A6-ABD8-9DABF6ACA3E7} - C:\WINDOWS\system32\system32.dll

HijackThis konnte nicht alle Einträge löschen. Es kam die Fehlermeldung "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert."

mssys.exe Komprimiert: ASPack
mssys.exe Infiziert: TrojanDownloader.Win32.Donn.o

C:\WINDOWS\mssys.exe
C:\WINDOWS\sys.exe
C:\WINDOWS\msdosdrv.exe

HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}- löschen
HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}- löschen
HKEY_CURRENT_USER\N.Cs4 - löschen

Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Files to delete:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\mssys.exe
C:\WINDOWS\system32\del32.bat

Backdoor.CIADoor.13

HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid
HKEY_CURRENT_USER\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CURRENT_USER\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
HKEY_CURRENT_USER\N.Cs4
HKEY_CURRENT_USER\N.Cs4\Clsid

Troj/Ciadoor-CB

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKCR\N.Cs4\
HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}

HKCU\Software\VB and VBA Program Settings\set\set
set
AlVXIlNdgm.ini

anderer PC

Virus:Bck/Ciadoor.H -> C:\WINDOWS\system32\cjpg.dll > Cjpg.dll plugin is used now for captures (cuts servers size & faster compression)
Virus:Bck/Ciadoor.X -> C:\WINDOWS\system32\EqZBmqs346.ini
Virus:Bck/Ciadoor.X -> C:\WINDOWS\system32\wsock32.sys

HKLM\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} -> Trojan.Ciadoor.m
HKU\S-1-5-21-57989841-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\ Ext\Stats\{E14DCE67-8FB7-4721-8149-179BAA4D792C} -> Trojan.Ciadoor.m

Server:

dropped files:

c:\WINDOWS\system32\ckl009.dat size: 224 bytes
c:\WINDOWS\system32\DlQ936o14m.ini size: 54.847 bytes
c:\WINDOWS\system32\scvhost.exe size: 54.847 bytes
c:\WINDOWS\system32\wsock32.sys size: 163.328 bytes

port: 6333, 6334, 6335 TCP

added to registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Generic Host Process"
data: C:\WINDOWS\System32\scvhost.exe

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid32
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
HKEY_CLASSES_ROOT\N.Cs4\Clsid
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

2 Methods of Fwb ( Firewall Bypass )

- Spyware Method ( Uses a common method performed by various spyware applications to try and bypass software firewalls )
- DLL Injection ( Injects server as a DLL in to a trusted process to try and bypass software firewalls )
- Choose Fwb Into IE or Explorer
- Choose Injected DLL name

Plugin Engine

Smaller Server ( As Small as 52 kb compressed + 171 kb uncompressed
Cjpg.dll plugin is used now for captures (cuts servers size + faster compression)

# HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA855-CC51-11CF-AAFA-00AA00B6017B}
# HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA855-CC51-11CF-AAFA-00AA00C7170S}

anderer PC

datfindbat

Verzeichnis von C:\WINDOWS\system32

10.04.2006 17:16 208.524 ckl009.dat
10.04.2006 16:27 75 wklck.dat
10.04.2006 16:27 78 mslck.dat
10.04.2006 13:34 163.328 wsock32.sys
09.04.2006 18:29 186.497 scvhost.exe
09.04.2006 18:29 186.497 5ZI4VzAqtz.ini

anderer PC

* Zitat: Hab gestern auf ner Tauschbörse dummerweise ne .exe-Datei geöffnet,ohne sie zuvor mit meinem AntiVir zu checken.Beim Ausführen flackerte mein Monitor kurz auf

datfindbat

Verzeichnis von C:\WINDOWS\system32

04.06.2006 22:44 15.557 ckl009.dat
04.06.2006 21:04 163.328 wsock32.sys
04.06.2006 20:58 186.392 senqa2g892.ini

** Gehe in die Registry
Start --> Ausführen --> regedit
bearbeiten --> suchen

* Generic Host Process
* scvhost
* senqa2g892.ini

loesche alles , was noch vorhanden ist.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
senqa2g892.ini

------------------------------

HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}

Avenger (Beispiel)

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}

Files to delete:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\senqa2g892.ini

Klick Start >> Ausführen >> schreibe Services.msc und Klick OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

Windows-Firewall/Gemeinsame Nutzung der Internetverbindung

öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe

** Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung] http://www.wintotal.de

** disabled die Systemwiederherstellung komplett über einen Eintrag im CurrentControlSet/Services/Start (0 für Aktiv, 4 für ausgeschaltet), DisableSR und DisableConfig sind daher "wirkungslos".

anderer PC

datfindbat

Verzeichnis von C:\WINDOWS\system32

27.06.2006 23:11 163.328 wsock32.sys
27.06.2006 17:30 4.096 crash
24.06.2006 07:23 1.253.393 EQACNqShkr.ini
24.06.2006 07:23 1.253.393 scvhost.exe
16.06.2006 20:50 32.768 ycrwin32.dll
16.06.2006 20:23 248 del32.bat
30.05.2006 17:11 0 taskkill.exe

anderer PC

HijackThis

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [SVCHOST32] c:\svchost32.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

C:\WINDOWS\system32\server.exe + c:\windows\system32\drivers\oreans32.sys

Fortinet 2.77.0.0 07.01.2006 suspicious
Norman 5.90.21 06.30.2006 Bifrose.D

datfindbat

Verzeichnis von C:\WINDOWS\system32

02.07.2006 09:28 60.192 SysPr.prx
02.07.2006 08:49 51.733 plugin1.dat
01.07.2006 12:14 163.328 wsock32.sys
01.07.2006 12:09 174.852 ckl009.dat
29.06.2006 05:54 172 del32.bat
27.06.2006 07:38 13 WinSys32.crc
22.06.2006 19:34 1.262.274 server.exe

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

02.07.2006 08:54 193 uis1E.bat
02.07.2006 08:54 0 uis1E.tmp
02.07.2006 08:54 917.504 MFPL7014.DLL

HKEY_CURRENT_USER\Software\NirSoft
HKEY_CLASSES_ROOT\N.Cs4
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winexess
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Avenger (Beispiel)

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Winexess
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|Generic Host Process

registry keys to delete:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32

Files to delete:
c:\windows\system32\drivers\oreans32.sys
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\server.exe
c:\svchost32.exe
C:\WINDOWS\system32\scvhost.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\uis1E.bat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\uis1E.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\MFPL7014.DLL

Counterspy/Vipre

Infected files detected
(Alien Spy RAT)
c:\winnt\system32\server.exe

(Ciadoor Backdoor)
C:\WINNT\system32\wsock32.sys

Infected registry entries detected
HKEY_CURRENT_USER\Software\NirSoft\MessenPass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr 1

** Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

REGEDIT4

[-HKEY_CLASSES_ROOT\N.Cs4]

[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32]

[-HKEY_CURRENT_USER\Software\NirSoft]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\comdlg32]
"NoBackButton"=-
"NoFileMru"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"disablecad"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp]
"Disabled"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\.Default]
"Allow_Unknowns"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winexess"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winexess"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"=-

** Gehe in die Registry
** Start - Ausführen - regedit
** bearbeiten - suchen - Winexess und server.exe
** lösche alles, was du findest !

z.B:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Winexess -- löschen

bearbeiten - suchen - scvhost.exe-> pass auf, dass du dich nicht irrst...es ist scvhost.exe

z.b:

[HKEY_USERS\S-1-5-21-1202660629-838170752-839522115-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp -> Disabled
0 = DOS-Anwendungen können unter Windows gestartet werden.
1 = DOS-Anwendungen sind unter Windows gesperrt.

"Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...."

** Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

** Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.
+
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system - disablecad

Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

.........................................................................................................................................

c:\windows\system32\drivers\oreans32.sys

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Security Security
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum 0 Root\LEGACY_OREANS32\0000
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum Count 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum NextInstance 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Type 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Start 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ErrorControl 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ImagePath \??\C:\WINDOWS\system32\drivers\oreans32.sys
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 DisplayName oreans32

HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\
"DisableSR"=dword:00000001 -> Schlüssel löschen oder in 0 ändern
"DisableConfig"=dword:00000001 Schlüssel löschen oder in 0 ändern

.........................................................................................................................................

C:\WINDOWS\system32\wsock32.sys

HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\N.Cs4

Verzeichnis von c:\mIRC\download
07.06.2006 22:42 97.280 svchost.exe
1 Datei(en) 97.280 Bytes

Verzeichnis von C:\WINDOWS\system32
06.06.2006 21:44 97.280 server3.exe - HEUR/Crypted,BehavesLike:Win32.IRC-Backdoor,W32/Prorat.BY@bd, Backdoor.Win32.G_Spot.20

.........................................................................................................................................

HijackThis

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [VideoDriver] C:\WINDOWS\system32\svchost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

*siehe: http://www.avira.com

Kopien seiner selbst werden hier erzeugt:
%SYSDIR%\tz2L7ah3Pa.ini
%SYSDIR%\Directx.exe

anderer PC

Verzeichnis von C:\WINDOWS\system32

13.04.2006 20:49 19.456 cewmdmb.dll
13.04.2006 19:40 183 imon1.dat
13.04.2006 09:43 819.233 ckl009.dat
05.04.2006 18:13 184.352 r15o922UXD.ini
05.04.2006 18:13 184.352 scvhost.exe
05.04.2006 18:13 166 del32.bat

anderer PC

HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\N.Cs4
HKEY_CLASSES_ROOT\N.Cs4 N.Cs4

Avenger (Beispiel)

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices|Generic Host Process
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|Generic Host Process

Files to delete:
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe

Sicherheit im InterNet

wsock32.sys- scvhost.exe - scvvhost.exe -Backdoor Ciadoor

Backdoor.
Win32.Ciadoor

Backdoor.Win32.Ciadoor

Troj/Ciadoor - Backdoor.Win32.Ciadoor.13

Sicherheit im InterNet

wsock32.sys- scvhost.exe - scvvhost.exe -Backdoor Ciadoor

Backdoor. Win32.Ciadoor

Backdoor.Win32.Ciadoor

Troj/Ciadoor - Backdoor.Win32.Ciadoor.13

Backdoor.
Win32.Ciadoor