Hallo,
Ich habe seit genau 3 Tagen ein Problem.
Meine CPU Auslastung ist immer bei 50%.
Egal ob Anwendungen am laufen sind oder nicht.
Wenn keine Anwendungen laufen -> 50%
Wenn Anwendungen laufen->60-70 %

Ich kenne den Übeltäter , kann aber nix gegen ihn machen.
Der Übeltäter heißt "zpsmyyqdd.exe" Er soll angeblich im Verzeichniss "C:\Windows\system32" liegen. Ich wollte ihn löschen , aber da ist er nicht.
Wenn ich den Prozess beende kommt er nach 3 Sekudnen wieder und nach 1 Minute ist er wieder auf 50%.

Nein ich Lade nicht.
Ich benutze keine Illegalen Programme , nichts dergleichen.

Meine Rechner Daten:
DualCore 2x3,4GhZ
Nvidia geforce 8600gt
3gb ram

Hijack this log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36:56, on 21.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Razer\Diamondback 3G\razerhid.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\WINDOWS\fxstaller.exe
C:\WINDOWS\system32\zpsmyyqdd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\steam\steam.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Dokumente und Einstellungen\***\Desktop\css_lcd_0815\css_lcd.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\gammacontrol1031\Gammacontrol.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Programme\Razer\Diamondback 3G\razertra.exe
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\zpsmyyqdd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
O4 - HKCU\..\Run: [13CFG914-K641-26SF-N33P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse66.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit css_lcd.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\css_lcd_0815\css_lcd.exe
O4 - Startup: Verknüpfung mit Gammacontrol.lnk = D:\gammacontrol1031\Gammacontrol.exe
O4 - Global Startup: DualCoreCenter.lnk = C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70F0EB40-0009-45D2-953E-408D82B9F655}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6474 bytes

Hi,

Du hast u. a. folgendes auf dem Rechner:
http://www.prevx.com/filenames/1107015004258705972-X1/SWFMGR2EEXE.html

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse66.exe
C:\WINDOWS\system32\zpsmyyqdd.exe
C:\WINDOWS\fxstaller.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls alle erkannt wurden, hier weiter sonst die nicht erkannt erst mal rausnehmen. Auf eigenes Risiko weitermachen!
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows UDP Control Center
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Log System
 
Files to delete:
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse66.exe
C:\WINDOWS\system32\zpsmyyqdd.exe
C:\WINDOWS\fxstaller.exe

Folders to delete:
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\zpsmyyqdd.exe
O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
O4 - HKCU\..\Run: [13CFG914-K641-26SF-N33P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse66.exe
R3 - URLSearchHook: (no name) - - (no file)
         

Danach bitte MAM laufen lassen:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Chris

Datei fxstaller.exe empfangen 2009.01.22 20:41:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/39 (30.77%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.22 Packer.Krunchy.B!IK
AhnLab-V3 5.0.0.2 2009.01.22 -
AntiVir 7.9.0.60 2009.01.22 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.01.22 -
Avast 4.8.1281.0 2009.01.22 -
AVG 8.0.0.229 2009.01.22 -
BitDefender 7.2 2009.01.22 Packer.Krunchy.B
CAT-QuickHeal 10.00 2009.01.22 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.01.22 -
Comodo 942 2009.01.22 -
DrWeb 4.44.0.09170 2009.01.22 -
eSafe 7.0.17.0 2009.01.22 -
eTrust-Vet 31.6.6321 2009.01.22 -
F-Prot 4.4.4.56 2009.01.22 -
F-Secure 8.0.14470.0 2009.01.22 W32/Packed_Krunchy.A
Fortinet 3.117.0.0 2009.01.22 -
GData 19 2009.01.22 Packer.Krunchy.B
Ikarus T3.1.1.45.0 2009.01.22 Packer.Krunchy.B
K7AntiVirus 7.10.601 2009.01.22 -
Kaspersky 7.0.0.125 2009.01.22 -
McAfee 5502 2009.01.21 -
McAfee+Artemis 5502 2009.01.21 -
Microsoft 1.4205 2009.01.22 -
NOD32 3790 2009.01.22 -
Norman 5.93.01 2009.01.22 W32/Packed_Krunchy.A
nProtect 2009.1.8.0 2009.01.22 Packer.Krunchy.B
Panda 9.5.1.2 2009.01.22 -
PCTools 4.4.2.0 2009.01.22 -
Prevx1 V2 2009.01.22 Malicious Software
Rising 21.13.32.00 2009.01.22 -
SecureWeb-Gateway 6.7.6 2009.01.22 Trojan.Crypt.XPACK.Gen
Sophos 4.37.0 2009.01.22 -
Sunbelt 3.2.1835.2 2009.01.16 VIPRE.Suspicious
Symantec 10 2009.01.22 -
TheHacker 6.3.1.5.225 2009.01.21 -
TrendMicro 8.700.0.1004 2009.01.22 -
VBA32 3.12.8.11 2009.01.22 -
ViRobot 2009.1.22.1574 2009.01.22 -
VirusBuster 4.5.11.0 2009.01.22 -
weitere Informationen
File size: 19968 bytes
MD5...: 92db0e49e794eabcdcb88dbce6958ca6
SHA1..: 1548b2267a76055b00eb6bc9472fc760be9c3991
SHA256: d85e6c2d497f6b8cf67ce26149bd6ff1ca0905aa1e479f61589f8ada8134646d
SHA512: f23f4437635c2ef5837346087c4f1fdbdc7c18c90d747f2119723e202059af6f
b3d0dd1f52d69f8c80bf512e81228acb2164eea1d01ce8583caa0de3e6f9ee3d
ssdeep: 384:quqnlngc4/A0l02sOobN/LtHRHCuhtQb0mbQsj0cSAMS0zwW8MKuX+BV:q5J
gc4o0lgBKroMkw3buX+
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.8%)
DOS Executable Generic (49.8%)
Targa bitmap (Original TGA Format) (0.1%)
MS Flight Simulator Aircraft Performance Info (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3f47c4
timedatestamp.....: 0x4838aa63 (Sat May 24 23:53:07 2008)
machinetype.......: 0x14c (I386)

( 1 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x60d132 0x3e00 7.93 db8a8be922ce649138788bfeb12f949a

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=79DFE720006348DA4E5D0001A03F4800B1D28CC7' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=79DFE720006348DA4E5D0001A03F4800B1D28CC7</a>


----------------------------------------------------------------------------
Datei zpsmyyqdd.exe empfangen 2009.01.22 20:45:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 39/39 (100%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.22 Trojan-Downloader.Win32.VB.ckm!IK
AhnLab-V3 5.0.0.2 2009.01.22 Win32/IRCBot.worm.variant
AntiVir 7.9.0.60 2009.01.22 TR/Crypt.FKM.Gen
Authentium 5.1.0.4 2009.01.22 W32/Ircbot.1!Generic
Avast 4.8.1281.0 2009.01.22 Win32:VanBot-DR
AVG 8.0.0.229 2009.01.22 IRC/BackDoor.SdBot3.RQX
BitDefender 7.2 2009.01.22 Backdoor.VanBot.DW.Dam
CAT-QuickHeal 10.00 2009.01.22 Backdoor.VanBot.fv
ClamAV 0.94.1 2009.01.22 Exploit.DCOM.Gen
Comodo 942 2009.01.22 Backdoor.Win32.VanBot.et
DrWeb 4.44.0.09170 2009.01.22 BackDoor.IRC.Sdbot.2065
eSafe 7.0.17.0 2009.01.22 Win32.VanBot.et
eTrust-Vet 31.6.6321 2009.01.22 Win32/Rbot!generic
F-Prot 4.4.4.56 2009.01.22 W32/Ircbot.1!Generic
F-Secure 8.0.14470.0 2009.01.22 Backdoor.Win32.VanBot.et
Fortinet 3.117.0.0 2009.01.22 W32/RBot.IA!tr.bdr
GData 19 2009.01.22 Backdoor.VanBot.DW.Dam
Ikarus T3.1.1.45.0 2009.01.22 Trojan-Downloader.Win32.VB.ckm
K7AntiVirus 7.10.601 2009.01.22 Backdoor.Win32.VanBot.et
Kaspersky 7.0.0.125 2009.01.22 Backdoor.Win32.VanBot.et
McAfee 5502 2009.01.21 W32/Sdbot.worm.gen.q
McAfee+Artemis 5502 2009.01.21 W32/Sdbot.worm.gen.q
Microsoft 1.4205 2009.01.22 Backdoor:Win32/Rbot.gen
NOD32 3790 2009.01.22 probably a variant of Win32/Rbot
Norman 5.93.01 2009.01.22 W32/Malware.AKYH
nProtect 2009.1.8.0 2009.01.22 Backdoor/W32.VanBot.80384.D
Panda 9.5.1.2 2009.01.22 W32/Sdbot.LCA.worm
PCTools 4.4.2.0 2009.01.22 Worm.RBot.Gen.21
Prevx1 V2 2009.01.22 Internet Chat Worm
Rising 21.13.32.00 2009.01.22 Backdoor.SdBot.wkz
SecureWeb-Gateway 6.7.6 2009.01.22 Trojan.Crypt.FKM.Gen
Sophos 4.37.0 2009.01.22 Mal/Autorun-F
Sunbelt 3.2.1835.2 2009.01.16 Backdoor.SDBot
Symantec 10 2009.01.22 W32.IRCbot
TheHacker 6.3.1.5.225 2009.01.21 Backdoor/VanBot.et
TrendMicro 8.700.0.1004 2009.01.22 WORM_RBOT.FWN
VBA32 3.12.8.11 2009.01.22 Backdoor.Win32.VanBot.fv
ViRobot 2009.1.22.1574 2009.01.22 Trojan.Win32.Amvo.Gen
VirusBuster 4.5.11.0 2009.01.22 Worm.RBot.Gen.21
weitere Informationen
File size: 80384 bytes
MD5...: ca879944fd61e3f1b109a68eae9b8625
SHA1..: b71b93e56d48a572d78626292e6f7060f2822ca5
SHA256: b025ace9d9d9d1ad1718824b84519b8cd7b47a09287ed96cc90133ded3f1855d
SHA512: 2bc184090038787f3aa305dddc66f8a393c448c113f66fc1e2ebdfb3b92d9ee4
8e0d688f9ee4ce28b97f0af5def8ce1b7a78c0633a3f97f28f9bb518b1507f3c
ssdeep: 1536:Tw0zpyq9JXsb8kRk30P1yWbv0y+CBye0HRu6123PvbN0zY96+g:MgJX0/zN
yWv5B0HRu9PZ0v+g
PEiD..: -
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4c65c8
timedatestamp.....: 0x46d626ee (Thu Aug 30 02:09:50 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
Service 0x1000 0xb5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
Service 0xb6000 0x11000 0x10600 7.91 d48903bd3175931953f0533a810f6fc5
Service 0xc7000 0x3000 0x3000 4.83 373f5199b8966299bfb0fb4b486600d3

( 6 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> PSAPI.DLL: GetModuleFileNameExA
> SHELL32.dll: ShellExecuteA
> USER32.dll: wsprintfA
> VERSION.dll: VerQueryValueA
> WININET.dll: InternetGetConnectedStateEx

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=ca879944fd61e3f1b109a68eae9b8625' target='_blank'>http://www.threatexpert.com/report.aspx?md5=ca879944fd61e3f1b109a68eae9b8625</a>
packers (F-Prot): UPX
packers (Authentium): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=A7F11C12008835203A180107878D4100675A2AE7' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=A7F11C12008835203A180107878D4100675A2AE7</a>

Und bei C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850 kann ich nicht die einzelnen Dateien auswählen , da kommt dann direkt
0 bytes size received / Se ha recibido un archivo vacio

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe" not found!
Deletion of file "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse66.exe" not found!
Deletion of file "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse66.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\zpsmyyqdd.exe" deleted successfully.
File "C:\WINDOWS\fxstaller.exe" deleted successfully.
Folder "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows UDP Control Center" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Log System" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

MAM LOG:


Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1680
Windows 5.1.2600 Service Pack 3

22.01.2009 22:03:10
mbam-log-2009-01-22 (22-03-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 178509
Laufzeit: 38 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Baidu (Adware.Cinmus) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe (Trojan.Agent) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

Jetzt ist der alte Prozess weg und ein neuer da O.o was das.

Der neue heißt , gcbijwwto.exe

Brauch Hilfe, bitte

Hi,

dann hat sich schon was neues nachgeladen. Außerdem ist der Rechner nicht mehr sicher, Du hattest einen Backdoor drauf, keine Ahnung was der angestellt hat, der Zugang hatte...

Wichtig: Bei den nachfolgenden Schritten erst alle Werkzeuge runterladen, ggf. updaten und dann offline gehen (Internet aus), damit nichts während der Bereinigung nachgeladen werden kann (was wir nicht kennen);

Folgende Tools runter & ggf. Updaten:

MAM (hast Du schon, updaten)

AntivAvira-Antirootkit
Downloade Avira Antirootkit..
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.

Jetzt offline gehen!

MAM laufen lassen, alles bereinigen lassen;
Avira laufen lassen, alles bereinigen, Log speichern;

Combofix:
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Jetzt RSIT los lassen, Log speichern;

Kurz Online gehen, die Logs posten und offline gehen (nur kurz nachschauen ob bereits geantwortet wurde). Ich schaue dann das RSIT-Log durch, ob nach was zu finden ist, was die Tools nicht erschlagen haben.

ABER: Eigentlich ist Neuaufsetzen angesagt, da ein andere Kontrolle über Deinen Rechner hatte... Der kann Ports aufgemacht haben, Sicherheitseinstellung verändert haben, ...

chris

Hi!

Ich hab ja hier nix zu sagen, aber

ICH WÜRDE BEI BACKDOORS & ROOTKITS IMMER NEU AUFSETZEN...

Kann zwar sein, das du die Files wegbekommst, aber wenn da trotzdem noch was offen bleibt, tja.....

Gruss BIOTEC

Ich habe erst vor in paar tagen , wegen firen formatiert...
Immer das selbe , ich weiß ned warum ...

Also zz ist mein cpu beim zocken auf 5% das ist es ja was mich stört

Soll er/sie/es doch Kontrolle auf meinen rechner haben , was soll er machen...

CSS-Acc kann ich mir wieder holen , wenn ich gehackt wurde ... kein prob.
WOW-Acc genauso also ich habe damit keine Problem ... UIII ICQ , neue icq nr.

Jede 3 Tage zu formatieren , darauf habe ich kein Bock und ich sag mal so

Wir haben 3 Rechner , bei allen 3en ist das Problem , wir haben schon 3 XP CD´s mit anderen keys ausprobiert... nix hilft.

VISTA=läuft perfekt.
Aber ich will kein Vista , 1. ist das nicht Legal und das Scheiße , 2. Scheiße zum Zocken und mein Rechner ist zum Zocken da... =)

MENSCH....
Ihr macht da so ein aufwand.
Also ich habe es so gemacht, muss man vielleicht nicht aber ich habe die Datei einfach Umbenannt,
Dann empfehle ich euch einen Shredder. Ich hab einen von TuneUp Utilities 2009 Hier der Downloadlink zur Demo: ***bitte keine Links zu chip.de***
Wenn ihr euch diese datei runtergelagen habt öffnet es und geht auf Weitere Tools und dann Tune up Shhredder Programme Deinstallieren und wählt den Virus aus und löscht ihn mit "sicheres löschen"

Hi,

einer der gefundenen Sachen war ein Wurm, die haben typischerweise die Eigenschaft sich über Netzwerke "fortzupflanzen". Daher muss das gesamte Netzwerk abgeschaltet (alle Rechner down), jeder einzelne Rechner für sich [b]alleine]/b]bereinigt und erst dann wieder zusammengeschaltet werden. Der Wurm nutzt wahrscheinlich XP-spezifische Lücken, daher tut sich auf Vista nichts...

Mal sehen was für ein Teil das war...

Zitat:

Verbreitungsmethode:
...
...
• Lokales Netzwerk
...
Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.
...

Benutzte Exploits:
Folgende Sicherheitslücken werden ausgenutzt:
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
–MS06-040 (Vulnerability in Server Service)
– NetDevil Hintertür (port 903)
...

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:
*****

usw.

chris