|
|
|
scvhost.exe
HijackThis
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\Windows\system32\wsock32.sys
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe
|
2.
gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....
Start -> Ausführen --> regedit
»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)
Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.
»»»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ - disablecad -> löschen
Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein
3.
Klick Start>> Ausführen>> schreibe Services.msc und Klick OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
4.
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile
5.
datfindbat
Verzeichnis von C:\WINDOWS\system32
17.03.2006 19:25 65.686 ckl009.dat
17.03.2006 16:03 163.328 wsock32.sys
16.03.2006 15:24 5.300.271 FmS137q14n.ini --> kann auch andere Zahlen/Nummernfolge haben
6.
Beispiel (weil die ini variiert.....in diesem Fall ist es: FmS137q14n.ini
Avenger
Files to delete:
C:\WINDOWS\system32\lollol.sys
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\FmS137q14n.ini -> diese ini variiert, muss also immer neu per datfindbat ermittelt werden
C:\WINDOWS\system32\scvhost.exe
|
7.
Regsearch
in: "Enter search strings" (reinschreiben oder reinkopieren)
scvhost
in edit und klicke "Ok".
Notepad wird sich öffnen -
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"
[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"
[HKEY_USERS\S-1-5-21-1715567821-725345543-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"
|
8.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}]
[-HKEY_CURRENT_USER\N.Cs4]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
|
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
9.
Gehe in die Registry
Start --> Ausführen --> regedit
bearbeiten --> suchen
* Generic Host Process
* scvhost
* FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben)
lösche alles , was noch vorhanden ist.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"
[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"
[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben) - loeschen
10.
Onlinescan - Kaspersky
C:\avenger\backup.zip --> löschen
C:\avenger\backup.zip/avenger/FmS137q14n.ini - Infected: Backdoor.Win32.Ciadoor.13 (BackDoor-ASB.gen trojan)
C:\avenger\backup.zip/avenger/scvhost.exe - Infected: Backdoor.Win32.Ciadoor.13
C:\avenger\backup.zip/avenger/wsock32.sys
11.
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157
Troj/Ciadoor - Backdoor.Win32.Ciadoor.13
Troj/Ciadoor-G erstellt außerdem eine SYS-Datei im Windows-Systemordner mit dem Dateinamen wsock32.sys und die Datei ckl009.dat, die gerade aktualisierte Trojaner-Startinformationen enthält.
Troj/Ciadoor-K runs in the background listening on a preconfigured TCP port for connections from a remote intruder. tcpview
Troj/Ciadoor-G erstellt außerdem eine SYS-Datei im Windows-Systemordner mit dem Dateinamen wsock32.sys und die Datei ckl009.dat, die gerade aktualisierte Trojaner-Startinformationen enthält.
http://www.sophos.de/virusinfo/analyses/trojciadoorg.html
"Die Bearbeitung der Registry wurde durch den Administrator deaktiviert"
deaktivierte Registry - Policies\System, DisableRegedit=1 -> diesen Eintrag mit dem Hijackthis fixen: (und PC neustarten)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
"Die Eingabeaufforderung ist vom Administrator deaktiviert worden.
Drücken Sie eine beliebige Taste . . . "
Start - Ausführen - regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schlüssel löschen)
"Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...."
Start - Ausführen - regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)
Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile
Gebe folgendes unter Start/Ausfuehren an(ohne die "") und druecke Enter:
"REG add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0 /f"
dann sollte cmd funktionieren.
|
anderer PC
HijackThis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\7X9eRXc4pY.ini
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\C:\WINDOWS\System32\svchost.exe
anderer PC
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\t1gPWG2PZ1.ini
C:\WINDOWS\system32\wsock32.sys
anderer PC
C:\WINDOWS\System32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13"
C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13"
C:\WINDOWS\System32\NziLv9b679.ini infected by "Backdoor.Win32.Ciadoor.13"
C:\DOKUME~1\ALLGEM~1\LOKALE~1\TEMPOR~1\Content.IE5\X4SJHLK9\Fix[1].exe infected by "Backdoor.Win32.Ciadoor.13"
anderer PC
Verzeichnis von C:\WINDOWS\system32
25.12.2005 20:10 163.328 wsock32.sys
21.12.2005 22:38 53.248 cjpg.dll -> Cjpg.dll plugin is used now for captures (cuts servers size & faster compression)
21.12.2005 22:37 555.537 h6uDKU7E56.ini
21.12.2005 18:07 9.522 ckl009.dat
21.12.2005 17:55 182 del32.bat
21.12.2005 17:55 163.328 wsock.sys
21.12.2005 17:51 239.881 winrundll32.exe
21.12.2005 17:07 231.899 RuW16vZhM8.ini
21.12.2005 16:52 231.899 JrW258u36r.ini
anderer PC
Verzeichnis von C:\WINDOWS\system32
18.03.2006 21:11 45.056 WNASPI32.DLL
18.03.2006 20:47 8.841 ckl009.dat
18.03.2006 19:58 108 del32.bat
17.03.2006 23:30 32 getfile.dat
anderer PC
datfindbat
Verzeichnis von C:\WINDOWS\system32
09.04.2006 19:43 422.635 ckl009.dat
09.04.2006 19:22 534 ahdp.dat
09.04.2006 19:19 163.328 wsock32.sys
04.04.2006 12:10 184.352 scvhost.exe
04.04.2006 12:10 184.352 r15o922UXD.ini
15.03.2006 19:55 87.561 ahdp.dll
C:\!KillBox\r15o922UXD.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
anderer PC
Verzeichnis von C:\WINDOWS\system32
15.04.2006 17:27 163.328 wsock32.sys
13.04.2006 20:49 19.456 cewmdmb.dll
13.04.2006 19:40 183 imon1.dat
13.04.2006 09:43 819.233 ckl009.dat
05.04.2006 18:13 184.352 r15o922UXD.ini
05.04.2006 18:13 184.352 scvhost.exe
05.04.2006 18:13 166 del32.bat
05.04.2006 17:37 1.904 lvcoinst.log
anderer PC
Verzeichnis von C:\WINDOWS\system32
09.04.2006 20:53 310.283 ckl009.dat
09.04.2006 14:15 163.328 lollol.sys -> neue Variante
07.04.2006 23:19 142 del32.bat
05.02.2006 13:56 37 getfile.dat
Verzeichnis von C:\
31.10.2005 17:56 700.416 StubInstaller.exe
...............................................
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben)
lollol.sys
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32]
@="C:\\WINDOWS\\system32\\lollol.sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32]
@="C:\\WINDOWS\\system32\\lollol.sys"
|
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}]
[-HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\N.Cs4]
|
Troj/Ciadoor-M ist ein Backdoortrojaner für die Windows-Plattform.
Der Trojaner registriert sich als Browser Helper Object (BHO) für den Microsoft Internet Explorer und erstellt die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKCU\Software\VB and VBA Program Settings\set\set
set
""
HKEY_CURRENT_USER\.key\
(default)
"regfile"
|
anderer PC
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\cs_office.wad -> neu
C:\WINDOWS\system32\4M5tgM6Y2n.ini
C:\WINDOWS\system32\scvhost.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32
18.04.2006 23:33 92.087 ckl009.dat
18.04.2006 23:25 163.328 wsock32.sys
15.04.2006 20:28 184 del32.bat
15.04.2006 20:28 3.405.860 cs_office.wad
06.02.2006 16:16 3.495.338 4M5tgM6Y2n.ini
06.02.2006 16:16 3.495.338 scvhost.exe
anderer PC
HijackThis
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32
10.05.2006 15:33 163.328 wsock32.sys
02.05.2006 14:52 184.339 scvvhost.exe
02.05.2006 14:52 184.339 qcmoz1e782.ini
anderer PC
HijackThis
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mssys.exe /u
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)
O21 - SSODL: System - {B2A551D4-D9C9-42A6-ABD8-9DABF6ACA3E7} - C:\WINDOWS\system32\system32.dll
HijackThis konnte nicht alle Einträge löschen. Es kam die
Fehlermeldung "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert."
-----------------------------------------------------
http://www.kaspersky.com/de/remoteviruschk.html
mssys.exe Komprimiert: ASPack
mssys.exe Infiziert: TrojanDownloader.Win32.Donn.o
C:\WINDOWS\mssys.exe
C:\WINDOWS\sys.exe
C:\WINDOWS\msdosdrv.exe
http://www.f-secure.com/v-descs/bacros_a.shtml
------------------------------------------------------
HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}- loeschen
HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}- loeschen
HKEY_CURRENT_USER\N.Cs4 - loeschen
Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
Files to delete:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\mssys.exe
C:\WINDOWS\system32\del32.bat
|
Backdoor.CIADoor.13
HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid
HKEY_CURRENT_USER\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CURRENT_USER\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
HKEY_CURRENT_USER\N.Cs4
HKEY_CURRENT_USER\N.Cs4\Clsid
----------------
Troj/Ciadoor-CB
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKCR\N.Cs4\
HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKCU\Software\VB and VBA Program Settings\set\set
set
AlVXIlNdgm.ini
anderer PC
Virus:Bck/Ciadoor.H -> C:\WINDOWS\system32\cjpg.dll -> Cjpg.dll plugin is used now for captures (cuts servers size & faster compression)
Virus:Bck/Ciadoor.X -> C:\WINDOWS\system32\EqZBmqs346.ini
Virus:Bck/Ciadoor.X -> C:\WINDOWS\system32\wsock32.sys
HKLM\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} -> Trojan.Ciadoor.m
HKU\S-1-5-21-57989841-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\
Ext\Stats\{E14DCE67-8FB7-4721-8149-179BAA4D792C} -> Trojan.Ciadoor.m
Server:
dropped files:
c:\WINDOWS\system32\ckl009.dat size: 224 bytes
c:\WINDOWS\system32\DlQ936o14m.ini size: 54.847 bytes
c:\WINDOWS\system32\scvhost.exe size: 54.847 bytes
c:\WINDOWS\system32\wsock32.sys size: 163.328 bytes
port: 6333, 6334, 6335 TCP
added to registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Generic Host Process"
data: C:\WINDOWS\System32\scvhost.exe
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid32
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
HKEY_CLASSES_ROOT\N.Cs4\Clsid
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
2 Methods of Fwb ( Firewall Bypass )
- Spyware Method ( Uses a common method performed by various spyware applications to try and bypass software firewalls )
- DLL Injection ( Injects server as a DLL in to a trusted process to try and bypass software firewalls )
- Choose Fwb Into IE or Explorer
- Choose Injected DLL name
Plugin Engine
Smaller Server ( As Small as 52 kb compressed + 171 kb uncompressed
Cjpg.dll plugin is used now for captures (cuts servers size + faster compression)
# HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA855-CC51-11CF-AAFA-00AA00B6017B}
# HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA855-CC51-11CF-AAFA-00AA00C7170S}
anderer PC
datfindbat
Verzeichnis von C:\WINDOWS\system32
10.04.2006 17:16 208.524 ckl009.dat
10.04.2006 16:27 75 wklck.dat
10.04.2006 16:27 78 mslck.dat
10.04.2006 13:34 163.328 wsock32.sys
09.04.2006 18:29 186.497 scvhost.exe
09.04.2006 18:29 186.497 5ZI4VzAqtz.ini
anderer PC
Zitat:
Hab gestern auf ner Tauschbörse dummerweise ne .exe-Datei geöffnet,ohne sie zuvor mit meinem AntiVir zu checken.Beim Ausführen flackerte mein Monitor kurz auf
datfindbat
Verzeichnis von C:\WINDOWS\system32
04.06.2006 22:44 15.557 ckl009.dat
04.06.2006 21:04 163.328 wsock32.sys
04.06.2006 20:58 186.392 senqa2g892.ini
-----------------------------------
Gehe in die Registry
Start --> Ausführen --> regedit
bearbeiten --> suchen
* Generic Host Process
* scvhost
* senqa2g892.ini
loesche alles , was noch vorhanden ist.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"
[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
senqa2g892.ini
------------------------------
HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
Avenger
registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
Files to delete:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\senqa2g892.ini
|
**
Klick Start>> Ausführen>> schreibe Services.msc und Klick OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
**
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe
**
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157
disabled die Systemwiederherstellung komplett über einen Eintrag im CurrentControlSet/Services/Start (0 für Aktiv, 4 für ausgeschaltet), DisableSR und DisableConfig sind daher "wirkungslos".
anderer PC
datfindbat
Verzeichnis von C:\WINDOWS\system32
27.06.2006 23:11 163.328 wsock32.sys
27.06.2006 17:30 4.096 crash
24.06.2006 07:23 1.253.393 EQACNqShkr.ini
24.06.2006 07:23 1.253.393 scvhost.exe
16.06.2006 20:50 32.768 ycrwin32.dll
16.06.2006 20:23 248 del32.bat
30.05.2006 17:11 0 taskkill.exe
anderer PC
HijackThis
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [SVCHOST32] c:\svchost32.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
--------------------------------------------------------------------
C:\WINDOWS\system32\server.exe + c:\windows\system32\drivers\oreans32.sys
Fortinet 2.77.0.0 07.01.2006 suspicious
Norman 5.90.21 06.30.2006 Bifrose.D
datfindbat
Verzeichnis von C:\WINDOWS\system32
02.07.2006 09:28 60.192 SysPr.prx
02.07.2006 08:49 51.733 plugin1.dat
01.07.2006 12:14 163.328 wsock32.sys
01.07.2006 12:09 174.852 ckl009.dat
29.06.2006 05:54 172 del32.bat
27.06.2006 07:38 13 WinSys32.crc
22.06.2006 19:34 1.262.274 server.exe
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
02.07.2006 08:54 193 uis1E.bat
02.07.2006 08:54 0 uis1E.tmp
02.07.2006 08:54 917.504 MFPL7014.DLL
HKEY_CURRENT_USER\Software\NirSoft
HKEY_CLASSES_ROOT\N.Cs4
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winexess
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
Avenger
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Winexess
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|Generic Host Process
registry keys to delete:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32
Files to delete:
c:\windows\system32\drivers\oreans32.sys
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\server.exe
c:\svchost32.exe
C:\WINDOWS\system32\scvhost.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\uis1E.bat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\uis1E.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\MFPL7014.DLL
|
Counterspy
Infected files detected
(Alien Spy RAT)
c:\winnt\system32\server.exe
(Ciadoor Backdoor)
C:\WINNT\system32\wsock32.sys
Infected registry entries detected
HKEY_CURRENT_USER\Software\NirSoft\MessenPass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr 1
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
REGEDIT4
[-HKEY_CLASSES_ROOT\N.Cs4]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32]
[-HKEY_CURRENT_USER\Software\NirSoft]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\comdlg32]
"NoBackButton"=-
"NoFileMru"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"disablecad"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp]
"Disabled"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\.Default]
"Allow_Unknowns"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winexess"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winexess"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"=-
|
Gehe in die Registry
Start - Ausführen - regedit
bearbeiten - suchen - Winexess und server.exe
loesche alles, was du findest !
z.B:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Winexess --loeschen
bearbeiten - suchen - scvhost.exe-> pass auf, dass du dich nicht irrst...es ist scvhost.exe
z.b:
[HKEY_USERS\S-1-5-21-1202660629-838170752-839522115-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp -> Disabled
0 = DOS-Anwendungen können unter Windows gestartet werden.
1 = DOS-Anwendungen sind unter Windows gesperrt.
"Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...."
Start - Ausführen - regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)
Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.
+
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system - disablecad
Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein
c:\windows\system32\drivers\oreans32.sys
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Security Security
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum 0 Root\LEGACY_OREANS32\0000
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum Count 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum NextInstance 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Type 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Start 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ErrorControl 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ImagePath \??\C:\WINDOWS\system32\drivers\oreans32.sys
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 DisplayName oreans32
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\
"DisableSR"=dword:00000001 -> Schluessel loeschen oder in 0 aendern
"DisableConfig"=dword:00000001 Schluessel loeschen oder in 0 aendern
C:\WINDOWS\system32\wsock32.sys
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\N.Cs4
Verzeichnis von c:\mIRC\download
07.06.2006 22:42 97.280 svchost.exe
1 Datei(en) 97.280 Bytes
Verzeichnis von C:\WINDOWS\system32
06.06.2006 21:44 97.280 server3.exe - HEUR/Crypted,BehavesLike:Win32.IRC-Backdoor,W32/Prorat.BY@bd, Backdoor.Win32.G_Spot.20
HijackThis
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [VideoDriver] C:\WINDOWS\system32\svchost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
http://www.avira.com/de/threats/section/fulldetails/id_vir/2350/bds_ciadoor.bo.html
Kopien seiner selbst werden hier erzeugt:
%SYSDIR%\tz2L7ah3Pa.ini
%SYSDIR%\Directx.exe
anderer PC
Verzeichnis von C:\WINDOWS\system32
13.04.2006 20:49 19.456 cewmdmb.dll
13.04.2006 19:40 183 imon1.dat
13.04.2006 09:43 819.233 ckl009.dat
05.04.2006 18:13 184.352 r15o922UXD.ini
05.04.2006 18:13 184.352 scvhost.exe
05.04.2006 18:13 166 del32.bat
anderer Rechner
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\N.Cs4
HKEY_CLASSES_ROOT\N.Cs4 N.Cs4
Avenger
Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices|Generic Host Process
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|Generic Host Process
Files to delete:
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
|
|
|