wacky.exe
|
wacky.exe, wacky32.exe, eiRecvr.exe, aolsoftware.exe, atmtd.dll
HijackThis
O2 - BHO: (no name) - {637D29A7-DD10-4E87-8386-342F1D0D20F4} - C:\WINDOWS\System32\ddccd.dll O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDOWS\System32\efcyaxv.dll O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe O4 - HKLM\..\Run: [ukv195d1] RUNDLL32.EXE w05c0177.dll,n 005195cc0000000a05c0177
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit
'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt
auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
C:\Windows\system32\config\rmsyrup.exe C:\Windows\system32\config\drpep.exe
datfindbat
C:\ 15.10.2006 10:12 372.736 kybrdff_e29.exe 15.10.2006 10:12 372.736 kybrdff_e28.exe 15.10.2006 10:12 25.105 MTE3NDI6ODoxNg.exe 15.10.2006 10:12 671.985 deskbar_e29.exe 15.10.2006 10:12 69.632 drsmartload.exe 15.10.2006 10:12 175.900 pro3_install.exe 15.10.2006 10:12 133.561 wacky32.exe 14.10.2006 20:41 360.448 nwnmff_e28.exe 14.10.2006 16:01 364.544 dfndrff_e29.exe 13.10.2006 11:23 356.352 nwnmff_e27.exe 12.10.2006 11:55 372.736 dfndrff_e27.exe 19.09.2006 11:00 251.352 deskbar.exe C:\WINDOWS\Temp 15.10.2006 10:12 43 removalfile.bat 15.10.2006 10:12 852.566 cmdinst.exe 06.09.2006 17:21 86 del.bat Verzeichnis von C:\WINDOWS 15.10.2006 10:12 0 keyboard1.dat 15.10.2006 10:11 8.012 algs.exe - Backdoor.Win32.IRCBot.xn 11.10.2006 09:57 80.384 eiRecvr.exe - Backdoor.SdBot.awc 07.10.2006 14:30 80.384 ecRecvr.exe 07.10.2006 14:27 80.384 evRecvr.exe 07.10.2006 14:24 95.232 alrs.exe 28.09.2006 14:39 43 drsmartload2.dat 28.09.2006 14:38 0 newname.dat 28.09.2006 14:09 79.360 spoolsv.exe - Backdoor.Win32.IRCBot.xn 04.09.2006 11:56 62.438 aolsoftware.exe - Backdoor.SdBot.xd 27.08.2006 12:43 336 nt24.dll -->???????????? Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 15.10.2006 10:12 43 removalfile.bat 15.10.2006 10:11 32.768 ~DF6170.tmp 15.10.2006 10:06 54.272 ginstall.dll C:\WINDOWS\system32 15.10.2006 10:17 54.389 dccdd.ini 15.10.2006 10:12 40.973 rqrppmj.dll 15.10.2006 10:12 40.973 cbxvurr.dll 15.10.2006 10:12 40.973 ddcdbxy.dll 14.10.2006 22:01 24.576 wu.exe 14.10.2006 16:10 116 wlouzg.bat 14.10.2006 16:10 51.068 iitz.exe 11.10.2006 10:32 350.720 MSDHCP32.exe 11.10.2006 09:59 1.233 aaa00000.sys 10.10.2006 19:22 123 fjjzlop.bat 10.10.2006 19:22 51.068 mkbnvf.exe 10.10.2006 19:00 69 i 10.10.2006 09:16 164.864 mxs.exe 09.10.2006 19:57 1.233 ukv195d1.sys 08.10.2006 12:55 0 TFTP6316 07.10.2006 21:12 16.832 amcompat.tlb 07.10.2006 21:12 23.392 nscompat.tlb 07.10.2006 21:00 80.384 setup_04871.exe - Backdoor.SdBot.awc 07.10.2006 16:28 487.936 TFTP3088 29.09.2006 18:17 79.360 setup_06106.exe - Backdoor.SdBot.awc 29.09.2006 14:52 674.971 dccdd.bak2 29.09.2006 13:57 79.360 setup_88852.exe - Backdoor.SdBot.awc 28.09.2006 18:01 40.973 efcyaxv.dll 28.09.2006 15:03 79.360 setup_65802.exe - Backdoor.SdBot.awc 28.09.2006 14:51 143.380 idkuyfxm.exe 28.09.2006 14:51 672.263 dccdd.bak1 28.09.2006 14:51 577.588 ddccd.dll 28.09.2006 14:38 687.592 atmtd.dll 28.09.2006 14:38 687.592 atmtd.dll._ 27.09.2006 19:27 85 printsvc.inf 26.09.2006 14:32 129 bmjrfxy.bat 26.09.2006 14:32 51.068 kqiqedfp.exe 23.09.2006 16:16 0 TFTP4768 21.09.2006 14:53 0 TFTP4812 19.09.2006 20:13 0 setup_56700.exe 18.09.2006 15:40 1.412 setup_56332.exe - Backdoor.SdBot.awc 15.09.2006 20:04 0 setup_34577.exe - Backdoor.SdBot.awc 08.09.2006 15:03 34.064 k.exe 01.09.2006 00:00 1.007.616 MediaReveal.dll 31.08.2006 00:00 1.339.392 BCGCB650.dll 28.08.2006 19:29 8.192 zdjfg.exe 27.08.2006 19:33 0 haeost.exe 26.08.2006 22:51 0 hngbb.exe 25.08.2006 16:37 111.616 fzxc.exe 24.08.2006 21:43 7.168 mgaagq.exe
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\drsmartload2.dat C:\dfndrff_e27.exe C:\dfndrff_e29.exe C:\drsmartload.exe C:\nwnmff_e28.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTQ7KLM7\nwnmff_e[1].exe C:\mte3ndi6odoxng.exe C:\WINDOWS\system32\aaa00000.sys C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\atmtd.dll._ C:\WINDOWS\Rmxvcmlhbg C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon C:\Programme\Deskbar C:\Programme\network monitor 2006-10-15 10:12 671,985 --a------ C:\deskbar_e29.exe 2006-10-15 10:12 40,973 ---hs---- C:\WINDOWS\system32\rqrppmj.dll 2006-10-15 10:12 40,973 ---hs---- C:\WINDOWS\system32\ddcdbxy.dll 2006-10-15 10:12 40,973 ---hs---- C:\WINDOWS\system32\cbxvurr.dll 2006-10-15 10:12 372,736 --a------ C:\kybrdff_e29.exe 2006-10-15 10:12 372,736 --a------ C:\kybrdff_e28.exe 2006-10-15 10:12 251,352 --a------ C:\deskbar.exe 2006-10-15 10:12 175,900 --a------ C:\pro3_install.exe 2006-10-14 16:10 51,068 --ah----- C:\WINDOWS\system32\iitz.exe 2006-10-14 16:10 116 --a------ C:\WINDOWS\system32\wlouzg.bat 2006-10-14 14:22 133,561 --a------ C:\wacky32.exe 2006-10-13 11:22 356,352 --a------ C:\nwnmff_e27.exe 2006-10-12 11:51 24,576 --ahs---- C:\WINDOWS\system32\wu.exe 2006-10-11 10:31 350,720 -ra------ C:\WINDOWS\system32\MSDHCP32.exe 2006-10-11 09:59 8,012 --a------ C:\WINDOWS\algs.exe 2006-10-11 09:57 80,384 -r-hs---- C:\WINDOWS\eiRecvr.exe 2006-10-10 19:22 51,068 --ah----- C:\WINDOWS\system32\mkbnvf.exe 2006-10-10 19:22 123 --a------ C:\WINDOWS\system32\fjjzlop.bat 2006-10-10 09:16 164,864 --a------ C:\WINDOWS\system32\mxs.exe 2006-10-07 21:00 80,384 --a------ C:\WINDOWS\system32\setup_04871.exe 2006-10-07 14:30 80,384 -r-hs---- C:\WINDOWS\ecRecvr.exe 2006-10-07 14:27 80,384 -r-hs---- C:\WINDOWS\evRecvr.exe 2006-10-07 14:24 95,232 -r-hs---- C:\WINDOWS\alrs.exe 2006-09-29 18:17 79,360 --a------ C:\WINDOWS\system32\setup_06106.exe 2006-09-29 18:13 1,233 --a------ C:\WINDOWS\system32\ukv195d1.sys 2006-09-29 14:52 674,971 ---hs---- C:\WINDOWS\system32\dccdd.bak2 2006-09-29 13:57 79,360 --a------ C:\WINDOWS\system32\setup_88852.exe 2006-09-28 18:01 40,973 --------- C:\WINDOWS\system32\efcyaxv.dll 2006-09-28 15:03 79,360 --a------ C:\WINDOWS\system32\setup_65802.exe 2006-09-28 14:51 672,263 ---hs---- C:\WINDOWS\system32\dccdd.bak1 2006-09-28 14:51 577,588 --------- C:\WINDOWS\system32\ddccd.dll 2006-09-28 14:51 143,380 --a------ C:\WINDOWS\system32\idkuyfxm.exe 2006-09-28 14:09 79,360 -r-hs---- C:\WINDOWS\spoolsv.exe 2006-09-26 14:32 51,068 --ah----- C:\WINDOWS\system32\kqiqedfp.exe 2006-09-26 14:32 129 --a------ C:\WINDOWS\system32\bmjrfxy.bat 2006-09-19 20:13 0 --a------ C:\WINDOWS\system32\setup_56700.exe 2006-09-18 15:38 1,412 --a------ C:\WINDOWS\system32\setup_56332.exe 2006-09-15 20:04 0 --a------ C:\WINDOWS\system32\setup_34577.exe --------- 2006-09-28 14:52 -------- d-------- C:\Programme\VSToolbar 2006-09-28 14:52 -------- d-------- C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\SearchToolbarCorp 2006-09-08 15:03 34064 --a------ C:\WINDOWS\system32\k.exe 2006-09-04 11:56 62438 -r-hs---- C:\WINDOWS\aolsoftware.exe 2006-09-01 00:00 1007616 --a------ C:\WINDOWS\system32\MediaReveal.dll 2006-08-31 00:00 1339392 --a------ C:\WINDOWS\system32\BCGCB650.dll 2006-08-28 19:29 8192 --ah----- C:\WINDOWS\system32\zdjfg.exe 2006-08-27 19:33 0 --ah----- C:\WINDOWS\system32\haeost.exe 2006-08-27 12:43 336 --a------ C:\WINDOWS\nt24.dll 2006-08-26 22:51 0 --ah----- C:\WINDOWS\system32\hngbb.exe 2006-08-25 16:37 111616 --ah----- C:\WINDOWS\system32\fzxc.exe 2006-08-25 15:25 -------- d--h----- C:\Programme\WindowsUpdate 2006-08-24 21:43 7168 --ah----- C:\WINDOWS\system32\mgaagq.exe
Avenger (Beispiel)
Verzeichnis von C:\Windows\System32\Com 28.09.2006 15:56 49.152 dreve.exe 12.07.2006 23:59 94 install.bat Verzeichnis von C:\Windows\system32\config 11.10.2006 00:12 16.384 drpep.exe 22.09.2006 18:47 102 run.bat 2. Durchgang Verzeichnis von C:\WINDOWS\system32 15.10.2006 11:24 5.648 xmrb.exe 15.10.2006 10:39 80.384 setup_26662.exe Verzeichnis von C:\WINDOWS 11.10.2006 09:57 80.384 eiRecvr.exe klick Start -> Ausführen schreibe rein: Services.msc und Klick OK! "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" ++ Service Name: Windows Als Service Display Name: Microsoft Windows Als Service ++ Service Name: net32b Display Name: Microsoft Windows Internet Connections Manager ++ Service Name: MXS Display Name: MXS(mxs) ++ Service Name: Microsoft Windows Scheduled Tasker Display Name: Windows Windows Sheduler ++ Service Name: kq82 Display Name: kq82 ++ Service Name: ipv7 Display Name: ipv7 
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.
sc delete ipv7 sc delete kq82 sc delete Windows Als Service sc delete Microsoft Windows Scheduled Tasker sc delete MXS sc delete net32b sc delete Windows Als Service
Download Registry Search by Bobbi Flekman
Regsearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) ipv7 in edit und klicke "Ok". Notepad wird sich oeffnen in: "Enter search strings" (reinschreiben oder reinkopieren) kq82 in edit und klicke "Ok". Notepad wird sich öffnen in: "Enter search strings" (reinschreiben oder reinkopieren) Microsoft Windows Scheduled Tasker in edit und klicke "Ok". Notepad wird sich öffnen in: "Enter search strings" (reinschreiben oder reinkopieren) net32b in edit und klicke "Ok". Notepad wird sich oeffnen in: "Enter search strings" (reinschreiben oder reinkopieren) Windows Als Service in edit und klicke "Ok". Notepad wird sich öffnen in: "Enter search strings" (reinschreiben oder reinkopieren) MXS in edit und klicke "Ok". Notepad wird sich öffnen
Avenger
anderer PC C:\WINNT\system32\config\drpep.exe -> Downloader.Adload.fq C:\wacky.exe/drpep.exe -> Downloader.Adload.fq C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\N6R9AZZ4\wack[1].exe/rmsyrup.exe -> Adware.Virtumonde C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\N6R9AZZ4\wack[1].exe/drpep.exe -> Downloader.Adload.fq C:\WINNT\system32\awtqnop.dll -> Adware.Virtumonde C:\WINNT\system32\byxxxvw.dll -> Adware.Virtumonde C:\WINNT\system32\efcayxu.dll -> Adware.Virtumonde C:\WINNT\system32\nnnmkji.dll -> Adware.Virtumonde C:\WINNT\system32\qommlll.dll -> Adware.Virtumonde C:\WINNT\system32\urqrstu.dll -> Adware.Virtumonde C:\wacky.exe/rmsyrup.exe -> Adware.Virtumonde C:\WINDOWS\system32\byxyvww.dll -> Adware.Virtumonde C:\WINDOWS\system32\cbxwxxu.dll -> Adware.Virtumonde C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\STM7CDMB\wack[1].exe/rmsyrup.exe -> Adware.Virtumonde C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\STM7CDMB\loader[1].exe -> Downloader.Adload.de C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\STM7CDMB\wack[1].exe/drpep.exe -> Downloader.Adload.fq C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\89EJ4TMZ\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy C:\WINDOWS\system32\config\drpep.exe -> Downloader.Adload.fq C:\wacky.exe/drpep.exe -> Downloader.Adload.fq C:\wacky.exe/rmsyrup.exe -> Adware.Virtumonde anderer PC
datfindbat
Verzeichnis von C:\ 13.10.2006 18:51 69.632 drsmartload.exe 13.10.2006 18:51 133.561 wacky32.exe 13.10.2006 13:56 364.544 dfndrff_e28.exe 13.10.2006 13:56 356.352 nwnmff_e28.exe 12.10.2006 21:18 578.560 Installer4.exe Verzeichnis von C:\WINDOWS 13.10.2006 16:09 24.296 icont.exe 13.10.2006 13:56 0 newname.dat 12.10.2006 11:51 80.384 eiRecvr.exe 10.10.2006 21:15 80.384 ecRecvr.exe C:\WINDOWS\system32 13.10.2006 13:50 234.272 aului.dll 13.10.2006 05:32 234.272 qGsf.dll 13.10.2006 05:32 234.359 jt8007lme.dll 10.10.2006 22:27 0 TFTP3088 10.10.2006 21:14 69 i 10.10.2006 18:24 17.920 TFTP3412 C:\DOKUME~1\Username\LOKALE~1\Temp 13.10.2006 16:09 24.296 bw2.com O23 - Service: Windows Windows Sheduler (Microsoft Windows Scheduled Tasker) - Unknown owner - C:\WINDOWS\eiRecvr.exe C:\WINDOWS\eiRecvr.exeAuthentium 4.93.8 10.13.2006 W32/Spybot.QSRAVG 386 10.13.2006 IRC/BackDoor.SdBot2.KBL BitDefender 7.2 10.14.2006 GenPack:Generic.Sdbot.2D9B93DD DrWeb 4.33 10.14.2006 Win32.HLLW.MyBot Ewido 4.0 10.14.2006 Backdoor.SdBot.awc Fortinet 2.82.0.0 10.14.2006 suspicious F-Prot 3.16f 10.13.2006 security risk named W32/Spybot.QSR F-Prot4 4.2.1.29 10.13.2006 W32/Spybot.QSR NOD32v2 1.1803 10.13.2006 a variant of IRC/SdBot Panda 9.0.0.4 10.14.2006 Bck/IRCBot.AGG VBA32 3.11.1 10.13.2006 suspected of Backdoor.xBot.1 (paranoid heuristics) 04.09.2006 62.438 aolsoftware.exe aolsoftware.exereceived in VirusTotal at 10.16.2006, 15:29:02 (CET).Avast 4.7.892.0 10.16.2006 Win32:Sdbot-3722 BitDefender 7.2 10.16.2006 GenPack:Generic.Sdbot.640C666D CAT-QuickHeal 8.00 10.16.2006 (Suspicious) - DNAScan DrWeb 4.33 10.16.2006 Win32.HLLW.MyBot Ewido 4.0 10.16.2006 Backdoor.SdBot.xd Fortinet 2.82.0.0 10.16.2006 suspicious Kaspersky 4.0.2.24 10.16.2006 Packed.Win32.CryptExe Microsoft 1.1603 10.16.2006 Backdoor:Win32/Rbot!C2F6 NOD32v2 1.1804 10.15.2006 a variant of IRC/SdBot VBA32 3.11.1 10.16.2006 Win32.HLLW.MyBot C:\System Volume Information\_restore{31165C50-BCD7-4B71-A2C1-EA27EAAA0DD3}\RP41\A0136942.exe -> Downloader.Small.duf C:\System Volume Information\_restore{31165C50-BCD7-4B71-A2C1-EA27EAAA0DD3}\RP41\A0136956.exe -> Downloader.Small.duf C:\System Volume Information\_restore{31165C50-BCD7-4B71-A2C1-EA27EAAA0DD3}\RP41\A0142109.dll -> Adware.Searchcolours C:\System Volume Information\_restore{31165C50-BCD7-4B71-A2C1-EA27EAAA0DD3}\RP41\A0130570.exe/rmsyrup.exe -> Adware.Virtumonde --> Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. |
