[Windows Media Player Update] kcdtuau.exe /Backdoor

von **Stifler** am 10.11.2004, 17:31

Hey,

hab mal wieder Probs mit dem Inet bzw. mit Viren & Co.
Ich hab mir vor ein paar Tagen einen neuen Rechner geholt.
Als Virenprogramm habe ich AntiVir von BitDefender und täglich werden neue Updates runtergeladen. (gekaufte Version)
Betriebssytem ist WinXp.
Bin bei T-Online.
Trotz des Virenprogrammes habe ich dauernd Schwierigkeiten.
Die Firewall zeigt oft an ...ist mit...infiziert.
Im Moment ist auch so das ich nur ein paar Minuten im Netz bleiben kann und dann einfach die Internetverbindung abgebrochen wird.
Weiß jemand woran das liegen kann?
Und was man dagegen machen kann?

Gruß Stifler

von **Nikita** am 10.11.2004, 19:26

Hallo@Stifler

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)

MfG
Nikita

von **Stifler** am 10.11.2004, 21:20

Hi ich hoffe ich hab das jetzt richtig gemacht:

Logfile of HijackThis v1.98.2
Scan saved at 20:19:23, on 10.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Softwin\BitDefender Desktop\bdoesrv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Desktop\vsserv.exe
C:\Programme\Softwin\BitDefender Desktop\bdmcon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Shery\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.icq.com/toolbar/after.html?tb_id={6451E8C5-4C58-428d-866F-3D0BB0537A19}&tb_ver=1.2
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Media Player Update] kcdtuau.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Desktop\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Desktop\\bdnagent.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender Desktop\\bdoesrv.exe
O4 - HKLM\..\RunServices: [Windows Media Player Update] kcdtuau.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Media Player Update] kcdtuau.exe
O4 - HKCU\..\RunServices: [Windows Media Player Update] kcdtuau.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{87DC51EA-005A-404C-96E2-97C243BCF13B}: NameServer = 217.237.151.225 217.237.150.225

von **Nikita** am 10.11.2004, 21:29

Hallo@Stifler

Das ist ein Backdoor....

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

O4 - HKLM\..\Run: [Windows Media Player Update] kcdtuau.exe
O4 - HKLM\..\RunServices: [Windows Media Player Update] kcdtuau.exe
O4 - HKCU\..\Run: [Windows Media Player Update] kcdtuau.exe
O4 - HKCU\..\RunServices: [Windows Media Player Update] kcdtuau.exe

neustarten

ueberpruefe bitte die exe, denn es ist wahrscheinlich ein ganz neuer Backdoor, damit ich weiss, welche Virenscanner ihn schon erkennen.
C:\WINDOWS\system32\kcdtuau.exe
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
Poste mir, was angezeigt wird.

oeffne das HijackThis:
HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\system32\kcdtuau.exe
PC neustarten

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
suche einen Dienst:[Windows Media Player]
und deaktiviere ihn.

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

Gehe in die Registry
Start<Ausfuehren<regedit:
gib oben links in die Suchfuktion ein:
<Windows Media Player
<kcdtuau
und loesche alles, was auf den Backdoor verweist rechts in der Registry.
Wenn du dir unsicher bist...poste die Eintraege, die du findest.

Dann poste das Log noch mal.

mfg
Nikita

von **Stifler** am 10.11.2004, 22:50

Also als aller erstes mal ein großes Danke!

Ich hoffe ich hab alles richtig gemacht weiß aber noch nicht ob es jetzt funktioniert hat oder nicht .
Bin grad erst wieder online und noch nicht sehr lange drin mal sehen ob es anhält oder ich später wieder rausfliege bitte nicht. :cry:

So bei dem mwav- Scanner kam:

File: C:\WINDOWS\Sytem32/dllcon.exe infected by "Backdoor.Win32.Rbot.gen"

File: C:\WINDOWS\Sytem32/TFTP712 infected by "Backdoor.Win32.Rbot.af "

File: C:\WINDOWS\Sytem32/tmp1.com infected by "Worm.Win32.Wilab.b "

File: C:\WINDOWS\Sytem32/dllcon.exe infected by "Backdoor.Win32.Rbot.gen"

File: C:\WINDOWS\Sytem32/TFTP712 infected by "Backdoor.Win32.Rbot.af "

File: C:\WINDOWS\Sytem32/tmp1.com infected by "Worm.Win32.Wilab.b "

Und beim Registry -

ab Standard REG_SZ (Wert nicht gesetzt)

konnte nicht gelöscht werden.
Ansonten ging es.

von **Nikita** am 10.11.2004, 23:06

Hallo@Stifler

Oeffne das HijackThis:
HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\Sytem32/dllcon.exe
PC neustarten

das machst du mit:
<C:\WINDOWS\system32\kcdtuau.exe
<C:\WINDOWS\Sytem32/TFTP712
<C:\WINDOWS\Sytem32/tmp1.com
<C:\WINDOWS\Sytem32/dllcon.exe

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files/TEMPORÄRE INTERNET DATEIEN, O.K
#Click:TEMPORÄRE DATEIEN, O.K

scanne noch mal mit eScan und berichte .

mfg
Nikita

von **Stifler** am 11.11.2004, 19:43

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:

Da funktioniert nur einmal : C:\WINDOWS\system32\kcdtuau.exe

Da wird der PC neu gestartet.
Wenn ich :

C:\WINDOWS\Sytem32/dllcon.exe
C:\WINDOWS\Sytem32/TFTP712
C:\WINDOWS\Sytem32/tmp1.com
C:\WINDOWS\Sytem32/dllcon.exe

eingebe kommt immer :

...
Der angegebene Dateiname ist ungültig.

Beim EScan kommen immer noch:

File: C:\WINDOWS\Sytem32/dllcon.exe infected by "Backdoor.Win32.Rbot.gen"

File: C:\WINDOWS\Sytem32/TFTP712 infected by "Backdoor.Win32.Rbot.af "

File: C:\WINDOWS\Sytem32/tmp1.com infected by "Worm.Win32.Wilab.b "

File: C:\WINDOWS\Sytem32/dllcon.exe infected by "Backdoor.Win32.Rbot.gen"

File: C:\WINDOWS\Sytem32/TFTP712 infected by "Backdoor.Win32.Rbot.af "

File: C:\WINDOWS\Sytem32/tmp1.com infected by "Worm.Win32.Wilab.b "
:cry:

von **Nikita** am 11.11.2004, 19:57

du hast nur zwei optionen

oder du loescht manuell, oder du deaktivierst deinen virenscanner und laedst den escan der loescht.

registry
start<ausfuehren<regedit:

loesche, (rechts in der registry)wenn es da ist:MSN Update = "dllcon.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
MSN Update = "dllcon.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
MSN Update = "dllcon.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runservices
MSN Update = "dllcon.exe"

aendere die werte:

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
EnableDCOM = "N"-->>aendere in "Y"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Restrictanonymous = "dword:00000001"-->>aendere in 0--"dword:00000000"

schliesse die registry und suche\loesche diese drei dateien.

File: C:\WINDOWS\Sytem32/dllcon.exe

File: C:\WINDOWS\Sytem32/TFTP712

File: C:\WINDOWS\Sytem32/tmp1.com ----- tmp1.exe (?)
.........................................................................................................
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

klicke auf: awn2k3e.exe ---escan

deaktiviere die wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

und scanne dann noch mal mit dem erkennungstool vom escan /mwav.exe

dann berichte und poste das neue log vom hijackthis.

mdf
nikita
-----
http://se.trendmicro-europe.com/enterpr ... EH&VSect=T

von **Stifler** am 11.11.2004, 21:19

Wenn ich mir den Escan downloade lass ich denn dann auch erst mal da?
Oder setzte ich nachdem der Escan die Sachen gelöscht hat Antivir wieder ein?

Beim löschen von HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
MSN Update = "dllcon.exe" reicht es da wenn ich z.b. HKEY_LOCAL_MACHINE lösche oder die genaue Bezeichnung HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
MSN Update = "dllcon.exe"?

von **Nikita** am 11.11.2004, 22:11

loesche bitte nichts in der registry !!!!!!!!!!!schon allein deine Frage beweist...dass ich dich nie haette in die Registry schicken duerfen.
.....................................................................................................
<Den Antivirus deinstallierst du (fuer 15 Tage)
<die Testversion vom eScan (mwav.exe) bleibt
<den Escan (trial) laedst du und scannst...<im abgesicherten Modus

nach dem Scann mit der Trialversion vom eScan, gehst du noch mal mit der Erkennungssoftware (mwav) drueber und dann poste das neue log vom HijackThis und berichte.

mfg
Nikita

von **Stifler** am 11.11.2004, 22:57

Mit der Registry Sache bin ich mir sehr unsicher deswegen habe ich lieber nochmal gefragt... :oops:

Gut mach ich das so...

[Windows Media Player Update] kcdtuau.exe /Backdoor

[Windows Media Player Update] kcdtuau.exe /Backdoor

WORM_RBOT.EH / dllcon.exe"

Ähnliche Themen

Wer ist online?