Morgen.
Zitat:
|
C:\Programme\xampp\filezillaftp\filezillaserver.exe
|
Hast du dir den FTP-Server eingerichtet?
Unabhängig davon, kannst und solltest du schon mal als schädlich erkannte Dateien in einem Rutsch löschen (sind ein paar mehr
), geh dazu so vor:
1.) Lade dir das Tool
Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein (sieh zu dass du auch wirklich alles davon kopierst!!):
Code:
Files to delete:
C:\WINDOWS\system32\cemitpry.exe
C:\WINDOWS\system32\mokewgey.dll
C:\WINDOWS\system32\rqkwupbo.dll
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\hgghhge.dll
C:\WINDOWS\SYSTEM32\rqkwupbo.dll
C:\Programme\Online Services\profsyxyrt.html
C:\Programme\Gemeinsame Dateien\Yazzle1560OinUninstaller.exe
C:\WINDOWS\b147.exe
C:\Programme\MSN\horygywin77798.exe
C:\WINDOWS\mrofinu1000512.exe
C:\WINDOWS\system32\rqkwupbo.dllbox
C:\WINDOWS\system32\winnb58.dll
C:\pos124A.tmp
C:\posFFE.tmp
C:\posFE1.tmp
C:\posDF0.tmp
C:\posC00.tmp
C:\pos9F8.tmp
C:\pos847.tmp
C:\pos816.tmp
C:\pos718.tmp
C:\pos547.tmp
C:\pos43F.tmp
C:\pos249.tmp
C:\posFE.tmp
C:\WINDOWS\system32\yfikmsiv.dll
C:\pos11.tmp
C:\pos13.tmp
C:\pos14.tmp
C:\posF.tmp
C:\pos15.tmp
C:\pos12.tmp
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nt32200ax1.dll
C:\WINDOWS\ntcheck3232bx1.dll
Folders to delete:
C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\WinTouch
C:\Programme\inetget2
C:\Programme\Insider
Registry Values to delete:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghhge"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqkwupbo"
"HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0"
Registry Keys to delete:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghhge"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqkwupbo"
"HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0"
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der
C:\avenger.txt Datei.
Viele der gelöschten Dateien sollten ausgewertet werden, von daher schlag ich mal vorher du lädst die Datei
c:\avenger\backup.zip bei file-upload.net hoch und verlinkst es hier.
Dann kommen weitere Analysen, führ dazu folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Blacklight
* eScan
* Silentrunners
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:
- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.