Trojanisches Pferd TR/Dldr.Small.buy.1

[BennyBang]

Und noch Kaspersky:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, June 19, 2006 1:50:11 PM
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 19/06/2006
Kaspersky Anti-Virus database records: 189323
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\

Scan Statistics:
Total number of scanned objects: 10449
Number of viruses found: 3
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 00:04:52

Infected Object Name / Virus Name / Last Action
C:\avenger\backup-19.06.2006- 0.02.51,28.zip/avenger/MSMEDIA.0XE Infected: Backdoor.Win32.Agobot.afk skipped
C:\avenger\backup-19.06.2006- 0.02.51,28.zip ZIP: infected - 1 skipped
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab skipped
C:\WINDOWS\system32\I.0 Infected: Trojan-Downloader.BAT.Ftp.ab skipped
C:\WINDOWS\system32\WINSYSTEMS.0XE Infected: Backdoor.Win32.Rbot.aeu skipped

Scan process completed.

[Nikita]

1.
loesche mit dem Avenger:

Files to delete:
C:\WINDOWS\system32\i
C:\WINDOWS\system32\I.0
C:\WINDOWS\system32\WINSYSTEMS.0XE

2.
nach dem Neustart loesche alle C:\avenger\backup

3.
mache die WindowsUpdates (du hast doch eine legale XP-Version ??)
Lade SP2
*Installation über Windows Update (Internet)
www.windowsupdate.com

oder:
1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden
2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

----------------------------------------------------------------------------
4. poste das log vom stuff
http://virus-protect.org/registry_stuff.html

[BennyBang]

SP2 hab ich installiert, das hatte ich noch auf CD. Die anderen Updates sind schwierig da der Rechner hier nur an 'nem Modem hängt und das will auch nicht immer. Außerdem läst sich der Firewall nicht aktivieren???

So, Avenger durch:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bbwouvdw

*******************

Script file located at: \??\C:\ahcpfgwe.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\i deleted successfully.
File C:\WINDOWS\system32\I.0 deleted successfully.
File C:\WINDOWS\system32\WINSYSTEMS.0XE deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

-----------------------------------------------------------------------------------
Hier noch das Log vom Stuff:

doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
-----------------------
-----------------------


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=dword:00000000



[Nikita]

Gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=dword:00000000 --> in 1 aendern

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 -> in 0 aendern
"AntiVirusDisableNotify"=dword:00000001 -> in 0 aendern
"FirewallDisableNotify"=dword:00000001 -> in 0 aendern
"AntiVirusOverride"=dword:00000001 -> in 0 aendern

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=dword:00000000 -> in 1 aendern

PC neustarten, dann berichte
(und mache die Updates, denn SP2 von der CD ist nicht aktuell !



[BennyBang]

Und dann ist alles wieder gut?
Ich weiß noch nicht ob ich heute an den Rechner komme, werde ihn mir aber bringen lassen, damit ich ihn hier ans DSL hängen kann um die Updates zu saugen.
Ich melde mich dann heute Abend oder Morgen im Lauf des Tages
wieder.

Auf jeden Fall jetzt schon mal ein RIESEN Dankeschön für all deine Mühen.

[BennyBang]

Sooo....
hab die Registry geändert, der Firewall ist jetzt auch aktiv.
Ansonsten scheint alles Normal zu sein.
Ist es jetzt Überstanden?

[Nikita]

poste mal das neue Log vom HijackThis

[BennyBang]

Hallo Nikita, wegen Urlaub hat es ein weilchen gedauert mit dem Log - Sorry. Ich kam einfach nicht mehr zum Posten.
Aber hier ist es nun:

Logfile of HijackThis v1.99.1
Scan saved at 16:02:35, on 26.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\nici\Desktop\AntiVir\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 0817517828
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0817507078
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe