idemlog.exe, favset.exe, filesafer23.exe, howiper.exe, dgprpsetup.exe

Trojan.Favadd - Trojan.Howiper - Trojaner TR/Small.gq1

- zur Startseite
- Sicherheitsforum: http://board.protecus.de/index.php

---

datfindbat

Verzeichnis von C:\WINDOWS\system32

01.01.2006 15:26 155.648 vvhkl.dll

Verzeichnis von C:\WINDOWS

01.01.2006 15:27 6.400 balloon.wav
01.01.2006 15:27 4.517 rdt.ini

F-secure blacklight

01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\csjgo.exe
01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\dmqjn.exe
01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
01/01/06 18:44:47 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
01/01/06 18:44:51 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
01/01/06 18:44:55 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe

Winpfind

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}
SearchToolbar = C:\WINDOWS\system32\vvhkl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\system32\vvhkl.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\system32\vvhkl.dll

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = SearchToolbar : C:\WINDOWS\system32\vvhkl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
teqq32 321102.exe
TForm1 uio.exe
dmwdi.exe C:\WINDOWS\system32\

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
UnSpyPC "C:\Programme\UnSpyPC\UnSpyPC.exe"
Kargo WTFCTF.exe
321102 abrek.exe
_ctcp stuffmon.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoBandCustomize 1

Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe) Dann lass Blaklight den Rechner neu starten.

scan --> next none auf rename ändern

(ausser)
C:\WINDOWS\system32\wbem\wbemtest.exe)

Killbox (Beispiel)

C:\WINDOWS\system32\vvhkl.dll
C:\WINDOWS\system32\msconfd.dll
C:\WINDOWS\system32\dmgqu.exe
C:\WINDOWS\system32\dmwdi.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\rdt.ini

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated)
R3 - URLSearchHook: (no name) - {0B153C28-A333-7429-BFDB-96F936AA144A} - abrek.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\vvhkl.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\vvhkl.dll
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [teqq32] 321102.exe
O4 - HKLM\..\Run: [TForm1] uio.exe
O4 - HKLM\..\Run: [dmgqu.exe] C:\WINDOWS\system32\dmgqu.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] WTFCTF.exe
O4 - HKCU\..\Run: [321102] abrek.exe
O4 - HKCU\..\Run: [_ctcp] stuffmon.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{28753F4C-5BBA-4298-9487-4A10B1A78185}: NameServer = 85.255.116.45,85.255.112.230
O20 - AppInit_DLLs: msconfd.dll
O23 - Service: mserv.exe (anem) - Unknown owner - C:\WINDOWS\mserv.exe

SmitRem

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

deinstelliere/lösche:
C:\Programme\UnSpyPC

FixWareout

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

Onlinevirenscanner

ToolbarCC Browser Hijacker
C:\Daten\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\winmkce.dll
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\winmkce.dll

Trojan.Downloader.Small.popcorn Trojan Downloader
C:\WINDOWS\system32\pppcgm.exe

PWS-Pinch Password Stealer
C:\WINDOWS\system32\sphlp32.exe

C:\WINDOWS\system32\msconfd.dll - infected by "Trojan.Win32.StartPage.au"

Creates the following files:

* msconfd.dll (the library - detected as Adware.CWSMSConfd)
* %Windir%\Favorites\*.url (adult-oriented links)
* %UserProfile%\Favorites\*.url (adult-oriented links)

anderer PC

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\system32\howiper.exe
C:\WINDOWS\system32\csmnn.exe
C:\WINDOWS\cfgall.ini
C:\WINDOWS\rdt.ini

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked-->PC neustarten

R3 - URLSearchHook: (no name) - {1535835B-C1E6-7DF5-25A5-F370BBB4B520} - backorif.dll (file missing)
O4 - HKLM\..\Run: [control64] BoundRec.exe
O4 - HKLM\..\Run: [mozilla-text] forces_elite.exe
O4 - HKCU\..\Run: [slamm] KeywordFinder.exe
O4 - HKCU\..\Run: [iesetupdll] SetupExeDll.exe
O4 - HKCU\..\Run: [MON76234] sound64.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 85.255.116.43,85.255.112.200

datfindbat

Verzeichnis von C:\WINDOWS
02.01.2006 13:25 7.245 cfgall.ini
02.01.2006 12:42 4.639 rdt.ini

Verzeichnis von C:\WINDOWS\system32
02.01.2006 12:25 654.111 filesafer23.exe
02.01.2006 12:25 5.632 favset.exe
02.01.2006 12:25 45.568 pppcgm.exe
02.01.2006 12:25 4.608 sphlp32.exe
02.01.2006 12:25 2.048 howiper.exe
02.01.2006 12:25 51.200 csmnn.exe

Information related to '85.255.112.0 - 85.255.127.255'
inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine