Vundo
|
iwinapp.exe, netmsg.exe, dxcombin.exe, wintrust32.exe
HijackThis
O23 - Service: Net message Service - Unknown owner - C:\WINDOWS\system32\netmsg.exe O23 - Service: IWin service - Unknown owner - C:\WINDOWS\System32\iwinapp.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 01.11.2006 15:20 1.134 pqtss.ini2 01.11.2006 14:35 443.307 pqtss.bak2 01.11.2006 14:30 137 winser.bin 01.11.2006 11:08 110.612 aqyilxgk.exe 01.11.2006 11:07 60.436 ufynjbib.dll 01.11.2006 11:07 443.565 pqtss.bak1 31.10.2006 10:19 972 pqtss.ini 31.10.2006 09:40 921 pqtss.tmp 30.10.2006 23:20 688.180 sstqp.dll 30.10.2006 23:16 51.200 drvvuw.dll 30.10.2006 23:14 40.973 byxusqr.dll 30.10.2006 23:14 18.432 winexy32.dll 30.10.2006 18:53 135.168 iwinapp.exe 30.10.2006 18:25 136 netmsg.bin 30.10.2006 18:25 137 iwinapp.bin 30.10.2006 18:20 135.168 netmsg.exe 30.10.2006 18:15 135.168 dxcombin.exe 30.10.2006 18:13 100 LuResult.txt 30.10.2006 18:09 135.168 wintrust32.exe Verzeichnis von C:\WINDOWS\Temp 01.11.2006 15:32 33.280 win31.tmp.exe 01.11.2006 15:32 944 win30.tmp 01.11.2006 15:30 0 win2C.tmp
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe C:\WINDOWS\system32\components 2006-11-01 11:17 -------- d-------- C:\Programme\VSAdd-in 2006-11-01 11:10 -------- d-------- C:\Dokumente und Einstellungen\Username\Anwendungsdaten\SearchToolbarCorp HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexy32 Unknown Service Service Name: IWin service Display Name: IWin service Start Mode: Disabled Start Name: LocalSystem Description: Iwin Application service. If this service is stopped, some of sharing service will not function ... Service Type: Own Process Path: c:\windows\system32\iwinapp.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service Service Name: Net message Service Display Name: Net message Service Start Mode: Auto Start Name: LocalSystem Description: Sharing message between network protocal. If this service is stopped, some of sharing service will ... Service Type: Own Process Path: c:\windows\system32\netmsg.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch
Scanne mit Vundofix
Avenger Beispiel
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb
gehe in:
Verzeichnis von C:\WINDOWS\Temp und lösche alle tmp-Dateien ! 05.11.2006 00:38 0 win8.tmp 05.11.2006 00:38 0 win7.tmp 05.11.2006 00:38 944 win6.tmp usw. usw.
HijackThis
O23 - Service: Net message Service - Unknown owner - C:\WINDOWS\system32\netmsg.exe O23 - Service: IWin service - Unknown owner - C:\WINDOWS\System32\iwinapp.exe dxcombin.exe DXCOMBIN.EXE is Trojan/Backdoor. Related files: 1 :%DESKTOP%\WINTRUST32.EXE 2 :%WINDIR%\SYSTEM32\__DELETE_ON_REBOOT__DXCOMBIN.EXE 3 :%WINDIR%\SYSTEM32\ACTSRV.EXE 4 :%WINDIR%\SYSTEM32\DXCOMBIN.EXE 5 :%WINDIR%\SYSTEM32\DXCOMBIN2.EXE 6 :%WINDIR%\SYSTEM32\IWINAPP.EXE 7 :%WINDIR%\SYSTEM32\NETID.EXE 8 :%WINDIR%\SYSTEM32\NETIDBAD.EXE 9 :%WINDIR%\SYSTEM32\NETMSG.EXE 10:%WINDIR%\SYSTEM32\ODBC.EXE
Superantispyware anwenden
Unclassified.Unknown Origin HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B} Trojan.WinAntiSpyware/WinAntiVirus 2006 HKLM\Software\WinAntiVirus Pro 2006 Trojan.Unknown Origin HKLM\SOFTWARE\Microsoft\MSSMGR Adware.ClickSpring/Yazzle HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1162Oin Adware.VSToolbar HKU\S-1-5-21-117609710-606747145-682003330-1005\Software\Search Toolbar Corp Trojan.Downloader-PATDUM C:\VUNDOFIX BACKUPS\SSTQP.DLL.BAD |
