Misch mich kurz ein:
Was ist bitte ein TCMCombo-Set? Ist das was von tchibo?
Bkcln.Unknown kommt aus Tschechien; ist in fast jeder eMail von da.
cacatoa

@cacatoa TCMCombo-Set gehört zu Maus und Tastaturprogrammen. Manche Hersteller geben CDs mit, auf denen solche Programme sind, die dann die "web-funktionen" der tastatur aktivieren (bspw auf www drücken und es öffnet sich der browser)
@bine das sicherheitsrisiko wieder so einen trojaner zu bekommen, geht mehr durch den IE. verwende einen anderen browser wie firefox oder opera und verwende den IE nurnoch für windowsupdates, die du alle 3wochen überprüfen solltest, da man nie weiß ob es ein neues sicherheitsloch gibt.

@ chris
Danke für die Info; aber zu welchen Programmen? Ich möchte es wissen, weil die "mousedrv.exe" ein Hinweis auf den Troj/Crypter-C ist (sophos).
Außerdem hat sie einige Einträge, die überprüft gehören und drei, die gefixt werden sollten.
cacatoa

wie ich schon schrieb, habe ich wenig ahnung.

deshalb noch mal zur verdeutlichung. mit IE meinst du den internet explorer. d.h. ich soll mir einen anderen browser installieren, über den ich im internet surfe, chatte etc. und da schlägst du firefox oder opera vor.

ich vermute aber, dass der trojaner über musikladen mit auf den pc kam. werde ich die finger in zukunft von lassen.

übrigens habe ich von tchibo eine tastatur und maus. dies zu der anfrage von cacatoa.

bye bine

und nochmal tausend dank für die schnelle und tolle hilfe

ich hatte mal die gleiche tastatur deshalb weiß ichs. is zwar ne weile her, aber das war mal so ein paket. das war ein paket rundum mit treiber für maus und für tastatur drin (natürlich auch die beiden dinger selbst drin)
allerdings macht mich etwas stuzig am log..

moment mal!
lass mal die dateien PS2USBKBDDRV.EXE und MOUSEDRV.EXE im ordner C:\PROGRAMME\TCM COMBO SET\ bei http://virusscan.jotti.org/de überprüfen. ich bin mir nun nicht mehr so sicher..
es wäre möglich das wir es wie cacatoa erwähnt hat, wir es mit dem crypter-c zutun haben..

@ bine
Danke für die Info.
Ich denke mal, chris wird dich gut weiterführen.
cacatoa

hallo chris, habe beide dateien durch den scan gejagt.

bringt beide male no viruses found bei allen virenprogrammen.

nur bei statistik ist bei einigen scannern unter maleware eine bezeichnung und kein rotes kreuz. brauchst du die im detail?

bine

Mich hat es auch erwischt und mein ganzer Urlaubstag is dabei drauf gegangen. Habe alle scans probiert und bekomme about blank nicht weg.
Wer kannn helfen ?

plz neuer thread @newgucci

ich bin schonmal durcheinander gekommen, weil 3verschiedene leute im gleichen thread gepostet haben.

@bine
ja, ich brauch mehr daten über die malware.

achja cacatoa hat mich auf noch was hingewiesen:
nämlich auf die einträge
O2 - BHO: (no name) - {D350341F-F2CD-4B5D-A402-A36FEDBF7670} - C:\WINDOWS\SYSTEM\COENOF.DLL (file missing)
O18 - Filter: text/html - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
O18 - Filter: text/plain - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL
ich nahm an das die datei bereits gelöscht sei, aber HijackThis weiß net was es nun sagen will.
lass diese datei am besten auch gleich bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis und lösche sie im abgesicherten modus anschließend.

....schuldigt, aber bin neu hier....

und das mein logfile...

Logfile of HijackThis v1.99.0
Scan saved at 21:24:14, on 20.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\LEXBCES.EXE
D:\WINNT\system32\spoolsv.exe
D:\WINNT\system32\LEXPPS.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Norton Internet Security\ccPxySvc.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\Iomega\System32\AppServices.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
D:\WINNT\TBPanel.exe
D:\WINNT\mHotkey.exe
D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
D:\Programme\Iomega\DriveIcons\ImgIcon.exe
D:\Programme\Logitech\ImageStudio\LogiTray.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
D:\WINNT\system32\cdplayer.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\Digital Image\Monitor.exe
D:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
D:\PROGRA~1\T-Online\ISDNSP~1\TOMCAT.EXE
D:\Dokumente und Einstellungen\ak\Eigene Dateien\mwav.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\ak\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28F4EDF7-C99A-40B4-BAB4-28CAEC2F2F42} - D:\WINNT\system32\mcicdb.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINNT\system32\iecust.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Gainward] D:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [Iomega Drive Icons] D:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] D:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [DeluxeCD] D:\WINNT\system32\cdplayer.exe -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Digital Image Monitor.lnk = D:\Programme\Digital Image\Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\system32\Shdocvw.dll
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.214/counter/new/x.chm::/update.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{560049EC-DA69-45C1-9A01-940EA4177907}: NameServer = 69.50.188.180 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB733721-657F-4821-B54F-3DFE2CD20CC6}: NameServer = 69.50.188.180,195.225.176.31
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Filter: text/html - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll
O18 - Filter: text/plain - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - D:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - D:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - D:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - D:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

macht nix @newgucci jeder macht fehler. wird hald nur zu unübersichtlich wenn mehrere logs in einem thread sind

~edit~ ne oder? ich schrieb doch gerade "neuer thread" heißt also nicht hier rein posten.
aber egal.
@alleanderenmitdiesemproblem postet in einen anderen thread bitte^^

dann fangen wir mal an auszuwerten..
ich sehe da was recht bedenkliches..
es gibt wenn ich mich nicht irre seid win2000 keine cdplayer.exe im windows-verzeichnis mehr, diese wurde doch wenn ich mich wieder nicht irre bereits durch den media player ersetzt.
lass also bitte die datei cdplayer.exe im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.
ich hab die ahnung, dass das was recht gefährliches ist..

chris, hier die maleware:

1. PSSSS2USBKBDDRV.EXE

BitDefender: Backdoor.SDBot.E4FECCE6
Dr. Web: Win32.HLLW.ForBot.based
Kaspersky: Backdoor.Win32.SdBot.gen

2. MOUSEDRV.EXE

BitDefender: Backdoor.Agobot.3.FE730A1C
NOD32: probably unknown NewHeur_PE
Norman: Sandbox:W32/Gaobot.gen


hoffe, du kannst was damit anfangen

bine

puh.. da haben wir alle aber verdammtes glück gehabt das cacatoa das gepostet hat.
ich bin der file auf dem leim gegangen. so geschickt wie dieser wurm ist, schafft er es doch eine perfekte nachbildung eines tchibotastaturtreibers zu werden und so den normalen user reinzulegen.

leider hilft da nur eine neuinstallation
beachte auch cidre's rat!
der backdoor ist sehr gefährlich und offensichtlich auch sehr raffiniert.

boh ne
nicht dein ernst

aber wieso geht wieder alles normal????

meinst du alles neu installieren oder nur das tchibogeraffel???

bin am boden zerstört, scheiß zeug


bine