Hallo,

ich habe seit einiger Zeit Kyrdor 30 auf dem Rechner, und kein Virenscanner hilft so recht. Die Meldung von Antivir:
"Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Kyrdor.30!
C:\WINNT\SYSTEM32\PHFKT.DLL"

Was tun?? Vielen Dank für eure Hilfe !

hallo,

bitte poste ein HJT logfile..
anleitung dazu findest du in meiner signatur..

nicht dass ich das so richtig verstehen würde - aber thankx für die schnelle Antwort. Und bitte keinen Todesstoß

Logfile of HijackThis v1.99.1
Scan saved at 16:08:15, on 04.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVSched32] C:\PROGRA~1\AVPERS~1\AVSched32.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?1&4&04.00.03.21&unknown&unknown&http://www.ayri.org/suryaB.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{0392EF5D-FE0C-4C71-827B-F7A56160E014}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D297F34D-FA7E-4452-967F-4C7FA1D66EDD}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0392EF5D-FE0C-4C71-827B-F7A56160E014}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0392EF5D-FE0C-4C71-827B-F7A56160E014}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O21 - SSODL: rdshost - {11048105-1CEF-45FD-BBCB-42329331E398} - rdshost.dll (file missing)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe

Hallo archäo,
wenn du die beiden hier kennst und sicher identifizieren kannst ,ist noch nichts verloren.
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EX E /h

Irrlicht

naja, das eine ist halt der Scanner, das erste sagt mir aber wenig. Könnte vielleicht von dem kürzlichen "Umzug" des Systems auf den neuen Rechner her rühren?
Und wie töte ich nun diesen Kyrdor? Auch der "Spyware Doctor" bietet keine Entfernung an (dafür findet er Claria, was ist das nun wieder...), lediglich AntiVir schlägt an, kann aber nichts machen. Fies...

weiß denn keiner Rat??
ich habe hier eine ca. 1 Jahr alte Meldung unter dem Post "Logfile" in der Hijacker-Abteilung gefunden - da war wohl auch ein Kyrdor auf dem System. Dieser Spyware Doctor findet drei Einträge: zweimal für Dumaru (auf WINNT\prntk.log und WINNT\rundlln.sys) und Claria auf HDPlugin1019.dll (ganz langer Pfad) - aber von Kyrdor auf phfkt.dll keine Spur.
Was kann ich tun? Auch diese Geschichte mit escan? HILFE!

hallo,

arbeite mal dieses ab.
les es dir bitte in ruhe durch.
und halte dich genau an die anleitung.
teile zum schluss das ergebniss der find.bat mit.

oweia...
das mit der escan-datei funktioniert nicht, aber hier sind die relevanten Auszüge aus der mwav:

Fri Jan 06 16:54:58 2006 => Datei C:\WINNT\system32\rdshost.dll infiziert von "Backdoor.Win32.Kyrdor.30" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 16:55:04 2006 => Datei C:\WINNT\system32\rdshost.dll infiziert von "Backdoor.Win32.Kyrdor.30" Virus. Aktion vorgenommen: No Action Taken.
(die Datei habe ich schon gelöscht) Fri Jan 06 16:55:10 2006 => Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Tout fou le camps .exe infiziert von "not-virus:BadJoke.Win32.Melter" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 16:56:19 2006 => Datei C:\WINNT\system32\dofckt.dll infiziert von "Backdoor.Win32.Kyrdor.30" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 16:57:08 2006 => Datei C:\WINNT\system32\rdssrv.exe infiziert von "Backdoor.Win32.Kyrdor.30" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 16:57:20 2006 => Datei C:\WINNT\system32\w32x86.exe infiziert von "Net-Worm.Win32.Randon.u" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 16:57:20 2006 => Datei C:\WINNT\system32\wds.bat infiziert von "Worm.Win32.Graps.a" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 16:57:20 2006 => Datei C:\WINNT\system32\wds2.bat infiziert von "Worm.Win32.Graps.a" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 16:57:20 2006 => Datei C:\WINNT\system32\wds3.bat infiziert von "Worm.Win32.Graps.a" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:13:24 2006 => Datei C:\RECYCLER\S-1-5-21-1060284298-764733703-854245398-500\Dc21.exe infiziert von "not-virus:BadJoke.Win32.Melter" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:19:05 2006 => Datei C:\WINNT\system32\dofckt.dll infiziert von "Backdoor.Win32.Kyrdor.30" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:20:02 2006 => Datei C:\WINNT\system32\ras\mcop.dll infiziert von "Net-Worm.Win32.Randon.u" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:20:04 2006 => Datei C:\WINNT\system32\rdssrv.exe infiziert von "Backdoor.Win32.Kyrdor.30" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:20:21 2006 => Datei C:\WINNT\system32\w32x86.exe infiziert von "Net-Worm.Win32.Randon.u" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:20:23 2006 => Datei C:\WINNT\system32\wds.bat infiziert von "Worm.Win32.Graps.a" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:20:23 2006 => Datei C:\WINNT\system32\wds2.bat infiziert von "Worm.Win32.Graps.a" Virus. Aktion vorgenommen: No Action Taken.
Fri Jan 06 17:20:23 2006 => Datei C:\WINNT\system32\wds3.bat infiziert von "Worm.Win32.Graps.a" Virus. Aktion vorgenommen: No Action Taken.


jetzt ist mir ganz übel.
wie gehts weiter?? Mit einer der drei Möglichkeiten (welche ist am risikoärmsten)? ich trau mich nicht...
jedenfalls schon mal ein dickes Dankeschön!!!

ok das reicht schon.
da du min 1 backdoor trojaner auf dem system hast rate ich dir dringend dein system neuaufzusetzen.
folge dazu der anleitung in meiner signatur.

o nein!! habe gerade einen neuen Rechner gekauft (nicht wegen dem Virus natürlich...) und das ganze System migrieren lassen um genau das zu vermeiden! Kann ich nicht doch diese anderen Sachen ausprobieren? Wenn ich die Killbox nehme, kann ich denn auf diese befallenen Dateien verzichten und sie löschen???

das wird dir nix bringen...
les dir bitte mal die anleitung zum Neuaufsetzen durch.
da steht genau drin warum es sonst keine möglichkeit gibt als neu aufsetzen.

jetzt hab ich natürlich doch mit der Killbox alle verdächtigen Dateien rausgeworfen, und endlich bin ich auch diese phfkt.dll los, bei der AntiVir immer Krach geschlagen hat. AntiVir meldet nichts mehr, Kaspersky On-line Scanner hat zumindest im System nichts gefunden (für die übrigen 80.000 Dateien braucht er wohl noch ein Weilchen), und auch Spyware Doctor und MWAV scheinen nichts Schlimmes (!) mehr zu finden.
ja klar, das ist sicher nicht die Ideallösung - aber beruhigt mich ungemein - Neuinstallation aller Programme wäre der SuperGAU.
Ist es denn anzuraten, nicht mehr mit diesem Rechner online zu gehen? Das wäre recht unpraktisch, aber zu bewerkstelligen... Oder ist die Sache damit (erstmal) erledigt?
Viele Grüße und ganz herzlichen Dank nach Trier!

Also ich würde mit dem Rechner nicht mehr online gehen.
Ich würde ,wie Hoerni dir schon angeraten hat ,neuaufsetzen.

also, ich habe nun alles mittels der Killbox entfernt, und es kommt KEINE EINZIGE Meldung mehr - weder bei Spydoctor, noch bei Escan noch bei diesen Online-Scannern oder AntiVir. Ganz ehrlich - da wäre doch plattmachen übertrieben, oder??!
Danke für eure Hilfe - hoffentlich bleibt das Ding nun sauber (ich bin schon immer vorsichtig mit Mails und Webseiten und überhaupt)...

naja bin gespannt ob es anhält deine große freude.
poste doch mal eine neues aktulles logfile.