cru629.dat
|
cru629.dat , delself.bat , beep.sys , braviax.exe , winivstr.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 01.05.2008 21:28 308.712 winivstr.exe 01.05.2008 21:10 6.656 univrs32.dat 01.05.2008 21:10 88.566 nvapps.xml 01.05.2008 21:09 6.144 cru629.dat 01.05.2008 21:09 18.432 braviax.exe 19.03.2008 02:05 0 1.exe 19.03.2008 02:02 75.876 1 11.02.2008 21:51 5.204 SysPr.prx 11.02.2008 21:35 51.733 plugin1.dat Verzeichnis von C:\WINDOWS 01.05.2008 21:09 2.048 bootstat.dat 01.05.2008 21:09 6.144 cru629.dat 01.05.2008 21:09 18.432 braviax.exe 23.03.2008 02:58 55.296 services.exe Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp 25.03.2008 14:57 45.056 sres.dll 25.03.2008 14:53 696.320 cres.dll 25.03.2008 14:53 2.502.656 cshell.dll 11.02.2008 02:24 4.608 i4jdel0.exe
HijackThis
O4 - HKLM\..\Run: [braviax] braviax.exe O4 - HKCU\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe O20 - AppInit_DLLs: cru629.dat virus-total BitDefender 7.2 2008.02.08 Generic.Malware.Yd!dld!sp.FB0DD404 DrWeb 4.44.0.09170 2008.02.08 DLOADER.Trojan F-Secure 6.70.13260.0 2008.02.08 W32/Malware Kaspersky 7.0.0.125 2008.02.08 Heur.Trojan.Generic McAfee 5226 2008.02.08 FakeAlert-C Microsoft 1.3204 2008.02.08 TrojanDownloader:Win32/Renos.gen!A NOD32v2 2860 2008.02.08 probably unknown NewHeur_PE virus Norman 5.80.02 2008.02.08 W32/Malware norman sandbox: [ General information ] * Display message: Windows Security Alert. * Display message: . [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM32\winistr.exe * Creates file C:\WINDOWS\SYSTEM32\users32.dat. [ Changes to registry ] * Modifies value \"AntiVirusDisableNotify\"=\".\" in key \"HKLM\Software\Microsoft\Security Center\" * Modifies value \"FirewallDisableNotify\"=\".\" in key \"HKLM\Software\Microsoft\Security Center\" * Modifies value \"UpdatesDisableNotify\"=\".\" in key \"HKLM\Software\Microsoft\Security Center\" * Modifies value \"EnableFirewall\"=\"\" in key \"HKLM\System\CurrentControlSet\Services\SharedAcc ess\Parameters\FirewallPolicy\StandardProfile\" * Sets value \"Enable Browser Extensions\"=\"yes\" in key \"HKCU\Software\Microsoft\Internet Explorer\Main\". * Sets value \"Search Bar\"=\"http://www.google.com/ie\" in key \"HKCU\Software\Microsoft\Internet Explorer\Main\" * Sets value \"Search Page\"=\"http://www.google.com\" in key \"HKCU\Software\Microsoft\Internet Explorer\Main\". * Modifies value \"Start Page\"=\"http://www.google.com\" in key \"HKCU\Software\Microsoft\Internet Explorer\Main\". * Sets value \"Default_Search_URL\"=\"http://www.google.com/ie\" in key \"HKLM\Software\Microsoft\Internet Explorer\Main\". * Sets value \"Search Page\"=\"http://www.google.com\" in key \"HKLM\Software\Microsoft\Internet Explorer\Main\". * Modifies value \"Start Page\"=\"http://www.google.com\" in key \"HKLM\Software\Microsoft\Internet Explorer\Main\". [ Network services ] * Downloads file from http://209.9.170.172/jump.php?wmid=6...0 1 as C:\WINDOWS\SYSTEM32\winistr.exe. * Connects to \"209.9.170.172\" on port 80 (TCP). * Opens URL: 209.9.170.172/jump.php [ Process/window information] * Creates a mutex {432780427656663764673647663354632}. * Creates a mutex zlgjkHw0004.
http://www.sophos.com Information
Malwarebytes
Infizierte Verzeichnisse:
C:\Programme\MediaRoverCodec
Infizierte Dateien:
C:\WINDOWS\system32\cru629.dat (Trojan.FakeAlert)
C:\WINDOWS\system32\winivstr.exe (Trojan.FakeAlert)
C:\WINDOWS\cru629.dat (Trojan.FakeAlert)
C:\Programme\MediaRoverCodec\install.ico (Trojan.Fakealert)
C:\Programme\MediaRoverCodec\Uninstall.exe (Trojan.Fakealert)
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys)
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys)
C:\WINDOWS\system32\univrs32.dat (Trojan.Agent)
C:\WINDOWS\system32\braviax.exe (Trojan.Downloader)
C:\WINDOWS\braviax.exe (Trojan.Downloader)
C:\WINDOWS\services.exe (BackDoor.ProRat)
C:\Dokumente und Einstellungen\%Username%\delself.bat (Malware.Trace)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\n.cs4 (BackDoor.Ciadoor)
HKEY_CLASSES_ROOT\Interface\{0958c4c9-77b0-4aa8-9364-7886bfca7e39} (BackDoor.Ciadoor)
HKEY_CLASSES_ROOT\Typelib\{c9f1c5a0-f3d8-48e2-8b8c-3e86b4cac7e3} (BackDoor.Ciadoor)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mediarovercodec
(Trojan.Fakealert)
HKEY_CLASSES_ROOT\egodktf.brfm (Trojan.FakeAlert)
HKEY_CLASSES_ROOT\egodktf.toolbar.1 (Trojan.FakeAlert)
HKEY_CLASSES_ROOT\MSVPS.MSVPSApp (Trojan.FakeAlert)
HKEY_CLASSES_ROOT\VAC.Video (Trojan.FakeAlert)
Avenger
Drivers to disable: beep Drivers to delete: beep Registry values to replace with dummy: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs Registry values to delete: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run | braviax Registry keys to delete: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\cru629.dat HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cru629.dat HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\cru629.dat HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks\cru629.dat HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\cru629.dat HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\cru629.dat Files to delete: C:\WINDOWS\dat.txt C:\WINDOWS\system32\plugin1.dat C:\WINDOWS\system32\SysPr.prx C:\WINDOWS\system32\winsys.exe C:\WINDOWS\system32\wl.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\i4jdel0.exe C:\WINDOWS\system32\drivers\beep.sys C:\WINDOWS\system32\dllcache\beep.sys C:\Dokumente und Einstellungen\%Username%\delself.bat C:\WINDOWS\services.exe C:\WINDOWS\cru629.dat C:\WINDOWS\braviax.exe C:\WINDOWS\system32\1.exe C:\WINDOWS\system32\1 C:\WINDOWS\system32\tmp.txt C:\WINDOWS\system32\winivstr.exe C:\WINDOWS\system32\univrs32.dat C:\WINDOWS\system32\cru629.dat C:\WINDOWS\system32\braviax.exe Folders to delete: C:\Programme\MediaRoverCodec
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre
Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen
setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen
zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf
OK klicken und stelle eine neue Startseite ein
Counter-Box.de |
