spywarequake
|
Spywarequake Vundo-Trojaner - de.wikipedia.org
Die Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die "kostenpflichtige Vollversion" keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt.
datfindbat
Verzeichnis von C:\WINDOWS\system32 17.06.2006 12:54 664.775 jkllm.ini2 17.06.2006 12:52 29.204 nvapps.xml 17.06.2006 12:52 59.917 ld101.tmp 17.06.2006 12:52 8.704 simpole.tlb 17.06.2006 12:52 4.980 stdole3.tlb 17.06.2006 12:52 47.616 hp102.tmp 17.06.2006 12:26 664.807 jkllm.tmp 17.06.2006 12:26 664.743 jkllm.ini 17.06.2006 11:55 665.378 jkllm.bak2 17.06.2006 11:45 47.616 hp101.tmp 17.06.2006 10:54 47.616 hp100.tmp 17.06.2006 10:54 59.917 ld100.tmp 16.06.2006 20:46 73.728 dcomcfg.exe 16.06.2006 17:59 176.128 yvvdj.dll 16.06.2006 17:59 4.286 ts.ico 16.06.2006 17:59 10.860 atmclk.exe 16.06.2006 17:59 4.286 ot.ico 16.06.2006 15:13 57.384 avsda.dll 16.06.2006 14:42 663.973 jkllm.bak1 16.06.2006 14:41 569.396 mllkj.dll 15.06.2006 22:12 2 wnstssv.exe 15.06.2006 13:19 176.128 rmzdzx.dll 15.06.2006 13:17 71.181 regperf.exe 15.06.2006 13:17 39.437 cbxxwxx.dll 13.06.2006 17:48 81.920 wowexec-xyz.dll 13.06.2006 17:44 156.672 oins.exe 06.06.2006 16:51 139.264 eufececo.dll Verzeichnis von C:\WINDOWS 13.06.2006 17:44 39.424 YAXUninst.exe 13.06.2006 15:41 5 WinSysXcntr1.prx
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
Verzeichnis von C:\WINDOWS\Downloaded Program Files 10.11.2005 14:41 2.088 YazzleActiveX.inf 06.06.2006 11:52 249.856 YazzleActiveX.ocx
Vundofix
C:\WINDOWS\system32\cbxxwxx.dll C:\WINDOWS\system32\jkllm.bak1 C:\WINDOWS\system32\jkllm.bak2 C:\WINDOWS\system32\jkllm.tmp C:\WINDOWS\system32\jkllm.ini C:\WINDOWS\system32\jkllm.ini2 C:\WINDOWS\system32\mllkj.dll C:\WINDOWS\system32\jkllm.ini2 C:\WINDOWS\system32\jkllm.bak2 C:\WINDOWS\system32\jkllm.tmp C:\WINDOWS\system32\jkllm.ini C:\WINDOWS\system32\jkllm.ini2 C:\WINDOWS\system32\mllkj.dll
Avenger (Beispiel)
SmitfraudFix.zip
smitfrautfix-Anleitung
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\hp???.tmp Deleted C:\WINDOWS\system32\ld????.tmp Deleted C:\WINDOWS\system32\1024\ Deleted C:\DOKUME~1\thaag\Desktop\Remove Spyware.url Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\thaag\FAVORI~1\Antivirus Test Online.url Deleted C:\WINDOWS\system32\rmzdzx.dll -> Missing File C:\WINDOWS\system32\yvvdj.dll -> Missing File
öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R3 - URLSearchHook: (no name) - {EC232D69-9FA9-B05B-F7B9-942C8B690DEE} - C:\WINDOWS\system32\eufececo.dll R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - h://yax-download.yazzle.net/YazzleActiveX.cabrefid=1162 O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) anderer PC Zitat: Nachdem ich mir blöderweise nen keyg*hier nicht* von einer verseuchten seite gezogen habe erscheinen immer wieder irgendwelche popups auf dem desktop ohne das ich im inet bin
datfindbat
Verzeichnis von J:\WINDOWS\system32 21.06.2006 13:03 1.600 hgjlm.ini 21.06.2006 12:57 39.936 hp100.tmp 21.06.2006 12:57 4.980 stdole3.tlb 21.06.2006 12:57 67.080 ld101.tmp 21.06.2006 12:57 63.488 dcomcfg.exe 21.06.2006 11:39 11.860 atmclk.exe 21.06.2006 11:37 7.168 simpole.tlb 21.06.2006 11:37 67.080 ld100.tmp 21.06.2006 11:19 41.108 vsconfig.xml 20.06.2006 14:29 4.286 ot.ico 20.06.2006 14:29 4.286 ts.ico 20.06.2006 14:14 143 mcrh.tmp 20.06.2006 11:31 569.396 mljgh.dll 19.06.2006 16:21 39.437 vturpmj.dll 19.06.2006 16:18 78.856 regperf.exe 1. wende vundofix an. 2. spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 3. Avenger (Beispiel)
4. arbeite smitfrautfix nach Anleitung ab 5. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - J:\WINDOWS\system32\hp100.tmp O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - J:\WINDOWS\system32\vturpmj.dll O20 - Winlogon Notify: vturpmj - J:\WINDOWS\SYSTEM32\vturpmj.dll O20 - Winlogon Notify: winbug32 - winbug32.dll (file missing) 6. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktvieren) 7. scanne mit AVG Anti-Spyware 8. Panda-Online anwenden Adware:adware/emediacodec Not disinfected d:\dokumente und einstellungen\all users\desktop\Security Troubleshooting.url Adware:Adware/SecurityError Not disinfected C:\!KillBox\atmclk.exe Adware:Adware/SystemDoctor Not disinfected C:\WINDOWS\Temp\win5AE.tmp.exe Adware:Adware/Adsmart Not disinfected D:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\940c7cba.exe Adware:Adware/SystemDoctor Not disinfected D:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\c41284f.exe Potentially unwanted tool:Application/SpyFalcon Not disinfected D:\sfsetup.exe[SpyFalcon.exe]
Counterspy/Vipre
HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547} HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0\0\win32 C:\WINDOWS\winres.dll HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0\HELPDIR C:\WINDOWS\ HKEY_CLASSES_ROOT\TypeLib\{344EE577-2027-4714-82FF-0D7538488547}\1.0 WindowsResources 1.1 Type Library HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit
'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese
Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Verzeichnis von F:\WINDOWS\Downloaded Program Files 10.11.2005 14:41 2.088 YazzleActiveX.inf 06.06.2006 11:52 249.856 YazzleActiveX.ocx Verzeichnis von C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp 05.07.2006 07:17 71.680 !update.exe 05.07.2006 10:25 -DIR- Aabr 06.07.2006 21:34 -DIR- hsperfdata_username 27.06.2006 18:01 1.822.520 instmsi.exe 04.07.2006 23:48 -DIR- isp9.tmp 05.07.2006 13:10 29.831 ms1002.tmp 05.07.2006 13:10 29.831 ms1005.tmp 05.07.2006 07:17 184 mst2.bat 05.07.2006 07:16 18.432 mst2.tmp 01.06.2006 18:55 155.648 OA.exe 20.06.2006 21:36 -DIR- pft3.tmp 20.06.2006 21:36 5.248 plf1.tmp 05.07.2006 18:18 1.142.784 swp16.tmp 05.07.2006 05:09 1.142.784 swp2.tmp 05.07.2006 05:09 1.142.784 swp3.tmp 05.07.2006 05:09 1.142.784 swp4.tmp 05.07.2006 05:10 1.142.784 swp5.tmp 05.07.2006 05:10 1.142.784 swp6.tmp 27.06.2006 18:01 91.305 tmp.xpi 05.07.2006 07:16 14.848 win4.tmp.exe 05.07.2006 07:16 0 win5.tmp 05.07.2006 07:16 0 win9.tmp 05.07.2006 07:16 0 winB.tmp 05.07.2006 07:17 183.880 winC.tmp.exe 04.07.2006 23:54 232 _isdelet.ini 04.07.2006 23:48 -DIR- {359122A3-A712-420F-B19C-7E20F9B5301D} anderer PC
HijackThis
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com O4 - HKCU\..\Run: [Qvohgeux] C:\WINDOWS\?ystem\??plorer.exe O4 - HKCU\..\Run: [Bier] "C:\WINDOWS\ICROSO~1\scanregw.exe" -vt yazr O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162 O20 - AppInit_DLLs: wbsys.dll
Datfindbat
Verzeichnis von C:\WINDOWS\system32 06.07.2006 17:46 629.618 abeeg.ini2 06.07.2006 17:41 52 stdole3.tlb 06.07.2006 17:35 629.211 abeeg.bak2 24.06.2006 10:31 588.159 abeeg.bak1 20.06.2006 11:42 661.952 abeeg.tmp 19.06.2006 13:44 661.992 abeeg.ini 18.06.2006 22:37 143 mcrh.tmp 17.06.2006 19:14 569.396 geeba.dll 16.06.2006 13:32 39.437 ssqqpqo.dll 16.06.2006 10:35 2 wnsapisv.exe 11.06.2006 03:05 81.920 chkdsk.dll 08.06.2006 22:27 6.656 simpole.tlb 08.06.2006 22:27 176.128 asxbbx.dll 08.06.2006 22:27 30.208 hp100.tmp 08.06.2006 22:27 11.564 atmclk.exe 08.06.2006 22:27 4.286 ot.ico 08.06.2006 22:27 51.200 dcomcfg.exe 08.06.2006 15:05 156.672 oins.exe 08.06.2006 15:03 34.829 ld100.tmp 08.06.2006 15:03 43.533 regperf.exe 08.06.2006 15:03 15.317 winepi32.dll Verzeichnis von C:\WINDOWS 08.06.2006 15:05 39.424 YAXUninst.exe 08.06.2006 15:03 74.240 winres.dll
Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein:
um den Purityscan zu löschen, musst du sehr aufmerksam sein und darfst nicht das falsche, also keine reguläre Windows-Datei löschen !!!!
du musst immer nach Datum suchen !
Verzeichnis von c:\WINDOWS\...icrosoft -->>> c:\WINDOWS\?icrosoft 08.06.2006 15:04 71.680 scanregw.exe 1 Datei(en) 71.680 Bytes Originaldtei: 
Verzeichnis von c:\WINDOWS\Prefetch 08.07.2006 12:34 27.690 ...PLORER.EXE-05756086.pf Verzeichnis von c:\WINDOWS\...ystem 06.06.2006 16:54 495.616 ...plorer.exe 1 Datei(en) 495.616 Bytes Originaldtei: 
Verzeichnis von c:\WINDOWS --> ?ystem ?ystem32 16.06.2006 10:35 -DIR- ...ystem 11.06.2006 03:05 -DIR- ..ystem32 c:\Dokumente und Einstellungen\Username\Recent 06.07.2006 17:52 729 system.lnk 06.07.2006 17:51 741 system32.lnk 06.07.2006 17:52 751 systemtemp.lnk
HijackThis
O20 - AppInit_DLLs: wbsys.dll
Datfindbat
Verzeichnis von c:\WINDOWS\system32 26.02.2003 23:27 36.864 wbsys.dll 1 Datei(en) 36.864 Bytes Verzeichnis von C:\WINDOWS\Downloaded Program Files 10.11.2005 14:41 2.088 YazzleActiveX.inf 06.06.2006 11:52 249.856 YazzleActiveX.ocx Verzeichnis von C:\Programme 11.07.2006 14:27 -DIR- Cowabanga 11.07.2006 14:28 -DIR- F?nts 12.07.2006 08:55 -DIR- SpyQuake2.com 11.07.2006 14:28 -DIR- ?icrosoft Verzeichnis von C:\Programme\Gemeinsame Dateien 11.07.2006 14:27 -DIR- {E034D2F9-07DA-1031-0120-061123050031} Verzeichnis von C:\WINDOWS\Temp 12.07.2006 14:27 -DIR- tmp000000b6 |
