Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Neue KLEZ- Variante??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.06.2003, 08:20   #1
alaborn trooper
 
Neue KLEZ- Variante?? - Ausrufezeichen

Neue KLEZ- Variante??



Hallo,

ich habe seit gestern ein Problem mit einem Wurm. Ich fahre Win98 mit den jeweils neuesten Updates,
nutze ein täglich aktualisiertes Norton Antivirus und lasse regelmässig Removal-Tools von bitdefender meine Platte scannen. Trotzdem hat es mich jetzt leider erwischt. Ich habe von meinem Schwager photos einer Familienfeier zugesandt bekommen und diese waren offenbar nicht astrein. Das kuriose: es werden ausschließlich verseuchte Mails von meinem T-Online Mailkonto versendet. Sämtliche anderen Postfächer sind sauber. Mir ist das schlicht und einfach ein Rätsel und ich würde mich über eine kleine Hilfestellung freuen. Wie gesagt: ich habe seit gestern sämtliche Klez und Bugbear- Tools von Bitdefender ohne Suchergebnis laufen lassen...
Ich wäre für einen Tip wirklich dankbar da sich auf dem Rechner ca. 3000 Emailadressen befinden und ich mir ein schlimmes Szenario ausmale wenn ich das nicht in den Griff bekomme. Vielen Dank!

Alt 22.06.2003, 09:39   #2
Grauer Hase
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Hallo,

es kann auch sein das sich jemand anders infiziert hat der deine Mailadresse auf seinem Rechner hat. Auf jeden Fall haben einige Versionen des Klez Wurms den Absender gefälscht mit auf dem inizierten System vorgefunden Mailadressen.
Woher weißt du denn das es der Klez Wurm ist?

Gruß
Hase
__________________


Alt 22.06.2003, 09:49   #3
alaborn trooper
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Hallo und danke erstmal für die Antwort.
Ich bekomme seit gestern ständig Rückmeldungen von Freunden und Bekannten deren Viruswarner Mails von mir melden (die ich natürlich nicht geschickt habe). Weiterhin habe ich unter anderem Warnmeldungen von einigen meiner Geschäftspartner bekommen das über meinen Mailaccount Nachrichten u.a. mit dem Wurm Klez-E versendet werden. Das sieht dann in etwa so aus:

Virus Warnung
*********************************************************************
dsb ag
Konrad-Zuse-Str. 16
D-74172 Neckarsulm
*********************************************************************

Unser Virenscanner hat diese Viren in einer E-Mail von Ihnen gefunden:

Worm/Klez.E virus

Diese E-Mail wurde nicht ausgeliefert.
Ueberpruefen Sie bitte Ihr System unverzueglich auf Virenbefall.

Bitte entfernen Sie alle Viren, bevor Sie weitere E-Mails mit
Dateianhaengen versenden.

Vielen Dank

Postmaster dsb.ag


Tja, und so geht das ständig seit gestern. Das blöde ist halt: hab ich das Ding jetzt noch drauf oder nicht? Die Scanner finden wie gesagt nix.
__________________

Alt 22.06.2003, 10:07   #4
Lucky
/// Helfer-Team
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Es kann aber auch sein, das jemand anders den Klez hat, jemand der deine eMailadresse im Adressbuch hat/hatte.

Lade dir mal www.trojancheck.de runter und poste die Zusammenfassung einmal hier.

http://de.bitdefender.com/html/free_tools.php (Weiß ich hast du ja schon, aber auch schon für den Klez.E?)

Björn
__________________
Kein Support per PM!

Alt 22.06.2003, 10:53   #5
alaborn trooper
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Hier erstmal der Report vom Trojancheck:


Trojancheck 6 Report
Created: 22.06.2003 11:51:13

Navigation
Registry - Standardeinträge
Registry - Shell Spawning
Registry - Active Setup
Registry - Virtuelle Gerätetreiber (VxD)
Registry - ICQ Net
Autostart - Standardeinträge
INI Dateien
Batch und Text Dateien
EXPLORER.EXE in C:\

--------------------------------------------------------------------------------

Registry - Standardeinträge
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\RunOnce ICQ D:\PROGRAMME\ICQ\ICQ\ICQ.EXE -trayboot
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ScanRegistry C:\WINDOWS\scanregw.exe /autorun
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TaskMonitor C:\WINDOWS\taskmon.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run SystemTray SysTray.Exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run zBrowser Launcher C:\Programme\Logitech\iTouch\iTouch.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run EM_EXEC C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run StillImageMonitor C:\WINDOWS\SYSTEM\STIMON.EXE
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run nwiz nwiz.exe /install
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run QuickTime Task C:\WINDOWS\SYSTEM\QTTASK.EXE
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run mdac_runonce C:\WINDOWS\SYSTEM\runonce.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccRegVfy "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run HPDJ Taskbar Utility C:\WINDOWS\SYSTEM\hpztsb04.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices SchedulingAgent mstask.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices TwkSCardSrv C:\WINDOWS\SCARDS32.exe search
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices MiniLog C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices TrueVector C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices ccEvtMgr "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\RunServices ScriptBlocking "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg


Top

Registry - Shell Spawning
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*


Top

Registry - Active Setup
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\SetupcPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection SetupcPerUser 64 C:\WINDOWS\INF\setupc.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\AppletsPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection AppletsPerUser 64 C:\WINDOWS\INF\applets.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\FontsPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection FontsPerUser 64 C:\WINDOWS\INF\fonts.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{5A8D6EE0-3E18-11D0-821E-444553540000} StubPath rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\icw.inf,PerUserStub,,36
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_ICW_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_ICW_Inis 0 C:\WINDOWS\INF\icw97.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath rundll32.exe advpack.dll,UserInstStubWrapper {89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4395} StubPath rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\SYSTEM\ie4uinit.inf,Shell.UserStub,,36
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>PerUser_MSN_Clean StubPath C:\WINDOWS\msnmgsr1.exe
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{CA0A4247-44BE-11d1-A005-00805F8ABE06} StubPath RunDLL setupx.dll,InstallHinfSection PowerCfg.user 0 powercfg.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Msinfo StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Msinfo 64 C:\WINDOWS\INF\msinfo.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Msinfo2 StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Msinfo2 64 C:\WINDOWS\INF\msinfo.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\MotownMmsysPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownMmsysPerUser 64 C:\WINDOWS\INF\motown.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\MotownAvivideoPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownAvivideoPerUser 64 C:\WINDOWS\INF\motown.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\MotownMPlayPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownMPlayPerUser 64 C:\WINDOWS\INF\mplay98.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Base StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Base 64 C:\WINDOWS\INF\msmail.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\ShellPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection ShellPerUser 64 C:\WINDOWS\INF\shell.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\Shell2PerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection Shell2PerUser 64 C:\WINDOWS\INF\shell2.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_winbase_Links StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_winbase_Links 64 C:\WINDOWS\INF\subase.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_winapps_Links StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_winapps_Links 64 C:\WINDOWS\INF\subase.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_LinkBar_URLs StubPath C:\WINDOWS\COMMAND\sulfnbk.exe /L
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\TapiPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection TapiPerUser 64 C:\WINDOWS\INF\tapi.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{73fa19d0-2d75-11d2-995d-00c04f98bbc9} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\webfdr16.inf,PerUserStub.Install,1
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUserOldLinks StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUserOldLinks 64 C:\WINDOWS\INF\appletpp.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\MmoptRegisterPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MmoptRegisterPerUser 64 C:\WINDOWS\INF\mmopt.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\OlsPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsPerUser 64 C:\WINDOWS\INF\ols.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\OlsMsnPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsMsnPerUser 64 C:\WINDOWS\INF\ols.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Calc_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Calc_Inis 64 C:\WINDOWS\INF\applets.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_dxxspace_Links StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_dxxspace_Links 64 C:\WINDOWS\INF\applets1.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_CVT_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\MotownRecPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownRecPerUser 64 C:\WINDOWS\INF\motown.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Vol StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Vol 64 C:\WINDOWS\INF\motown.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_MSWordPad_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_MSWordPad_Inis 64 C:\WINDOWS\INF\wordpad.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_RNA_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_RNA_Inis 64 C:\WINDOWS\INF\rna.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Sysmon_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Sysmon_Inis 64 C:\WINDOWS\INF\appletpp.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_CharMap_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CharMap_Inis 64 C:\WINDOWS\INF\appletpp.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_ClipBrd_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_ClipBrd_Inis 64 C:\WINDOWS\INF\clip.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_CDPlayer_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CDPlayer_Inis 64 C:\WINDOWS\INF\mmopt.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath rundll32.exe advpack.dll,UserInstStubWrapper {44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath rundll32.exe advpack.dll,UserInstStubWrapper {7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\OlsAolPerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsAolPerUser 64 C:\WINDOWS\INF\ols.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\OlsCompuservePerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsCompuservePerUser 64 C:\WINDOWS\INF\ols.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\Shell3PerUser StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection Shell3PerUser 64 C:\WINDOWS\INF\shell3.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} StubPath C:\WINDOWS\SYSTEM\updcrl.exe -e -u C:\WINDOWS\SYSTEM\verisignpub1.crl
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserRemove
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Wingames_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Wingames_Inis 64 C:\WINDOWS\INF\appletpp.inf
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\PerUser_Paint_Inis StubPath rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Paint_Inis 64 C:\WINDOWS\INF\applets.inf


Top

Registry - Virtuelle Gerätetreiber (VxD)
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VNETSUP StaticVxD vnetsup.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\NDIS StaticVxD ndis.vxd,ndis2sup.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\JAVASUP StaticVxD JAVASUP.VXD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\CONFIGMG StaticVxD *CONFIGMG
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\NTKern StaticVxD *NTKERN
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VWIN32 StaticVxD *VWIN32
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VFBACKUP StaticVxD *VFBACKUP
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VCOMM StaticVxD *VCOMM
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\COMBUFF StaticVxD *COMBUFF
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\IFSMGR StaticVxD *IFSMGR
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\IOS StaticVxD *IOS
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\MTRR StaticVxD *mtrr
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\SPOOLER StaticVxD *SPOOLER
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\UDF StaticVxD *UDF
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VFAT StaticVxD *VFAT
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VCACHE StaticVxD *VCACHE
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VCOND StaticVxD *VCOND
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VCDFSD StaticVxD *VCDFSD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VXDLDR StaticVxD *VXDLDR
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VDEF StaticVxD *VDEF
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VPICD StaticVxD *VPICD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VTD StaticVxD *VTD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\REBOOT StaticVxD *REBOOT
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VDMAD StaticVxD *VDMAD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VSD StaticVxD *VSD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\V86MMGR StaticVxD *V86MMGR
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\PAGESWAP StaticVxD *PAGESWAP
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\DOSMGR StaticVxD *DOSMGR
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VMPOLL StaticVxD *VMPOLL
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\SHELL StaticVxD *SHELL
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\PARITY StaticVxD *PARITY
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\BIOSXLAT StaticVxD *BIOSXLAT
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VMCPD StaticVxD *VMCPD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VTDAPI StaticVxD *VTDAPI
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\PERF StaticVxD *PERF
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VRTWD StaticVxD C:\WINDOWS\SYSTEM\vrtwd.386
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VFIXD StaticVxD C:\WINDOWS\SYSTEM\vfixd.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VNETBIOS StaticVxD vnetbios.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VIAGART StaticVxD viagart.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VGARTD StaticVxD vgartd.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\LMOUSE StaticVxD LMOUSE.VXD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VREDIR StaticVxD vredir.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\DFS StaticVxD dfs.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\NDISWAN StaticVxD ndiswan.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\SYMEVNT StaticVxD C:\PROGRA~1\SYMANTEC\SYMEVNT.386
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\TWKPCSC StaticVxD twkpcsc.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\VSDATA95 StaticVxD vsdata95.vxd
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\SAVRT StaticVxD C:\PROGRA~1\NORTON~1\SAVRT.VXD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\SAVRTPEL StaticVxD C:\PROGRA~1\NORTON~1\SAVRTPEL.VXD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\SYMTDI StaticVxD SYMTDI.VXD
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\Hpziol00 StaticVxD *Hpziol00


Top

Registry - ICQ Net
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt


Top

Autostart - Standardeinträge
Pfad Dateiname Link zu
C:\WINDOWS\Startmenü\Programme\Autostart\ Microsoft-Indexerstellung.lnk C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\Startmenü\Programme\Autostart\ Webshots.lnk C:\Programme\Webshots\WebshotsTray.exe
C:\WINDOWS\All Users\Startmenü\Programme\Autostart\ ZoneAlarm.lnk C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe


Top

INI Dateien
Dateiname Wert Inhalt
C:\WINDOWS\win.ini load
C:\WINDOWS\win.ini run
C:\WINDOWS\system.ini shell Explorer.exe


Top

Batch und Text Dateien
Dateiname Inhalt
c:\msdos.sys [Paths]
WinDir=C:\WINDOWS
WinBootDir=C:\WINDOWS
HostWinBootDrv=C

[Options]
BootMulti=1
BootGUI=1
DoubleBuffer=1
AutoScan=1
WinVer=4.10.2222
;
;The following lines are required for compatibility with other programs.
;Do not remove them (MSDOS.SYS needs to be >1024 bytes).
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxb
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxc
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxe
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxf
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxg
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxh
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxi
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxj
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxk
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxl
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxm
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxn
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxo
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxp
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxq
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxr
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxs


c:\autoexec.bat mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb gr,,C:\WINDOWS\COMMAND\keyboard.sys


c:\config.sys DEVICE=C:\WINDOWS\HIMEM.SYS
DEVICE=C:\WINDOWS\EMM386.EXE
device=C:\WINDOWS\COMMAND\display.sys con=(ega,,1)
Country=049,850,C:\WINDOWS\COMMAND\country.sys



Top

EXPLORER.EXE in C:\
Pfad


..................................................
Ich hoffe du meintest das. [img]smile.gif[/img]


Alt 22.06.2003, 11:05   #6
Lucky
/// Helfer-Team
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Ja genau das meinte ich. [img]smile.gif[/img]

Es sind hier ein paar Einträge die mir im moment nichts sagen, weißt du vielleicht was das ist?

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run mdac_runonce C:\WINDOWS\SYSTEM\runonce.exe

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccRegVfy "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

C:\WINDOWS\Startmenü\Programme\Autostart\ Webshots.lnk C:\Programme\Webshots\WebshotsTray.exe

Björn [img]smile.gif[/img]
__________________
--> Neue KLEZ- Variante??

Alt 22.06.2003, 12:57   #7
alaborn trooper
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run mdac_runonce C:\WINDOWS\SYSTEM\runonce.exe

Das ist die einzige Zeile die ich nicht zuordnen kann. Die anderen Zeilen stammen offenbar von Norton und einer Photosoftware die ich benutze.

Der Check auf Klez E war negativ.

Alt 22.06.2003, 19:05   #8
Tiber
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Das ist wahrscheinlich eine System-Datei, der Microsoft Data Access Compononents Run once Wrapper.
Es gab mal einen alten Trojaner, der die ersetzt hat; dass der noch aktiv ist, glaube ich eher nicht.
Welche Größe in Bytes hat denn die runonce.exe?

Gruß Tiber
__________________
sollte man gelesen haben:<a href="http://moon.hipjoint.de/tcpa-palladium-faq-de.html" target="_blank">TCPA/Palladium FAQ</a>

Alt 22.06.2003, 22:48   #9
alaborn trooper
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Die Datei ist 36 kb groß.

Also wenn ich das richtig verstanden habe könnte die Infektion auf einem Computer geschehen sein, der "nur" meine E-mail Adresse gespeichert hatte und nicht zwangsläufig auf meinem eigenen? Falls das eine dumme Frage sein sollte bitte ich dieses zu entschuldigen aber bisher bin ich mit meinen Vorsichtsmaßnahmen immer recht gut klargekommen und stecke das erste Mal mitten im Geschehen. [img]graemlins/schmoll.gif[/img]

Alt 23.06.2003, 04:52   #10
alaborn trooper
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Hier das Ergebnis vom File Checker:

Known viruses: 69067 Updated: 23.06.2003
File size (Kb): 36 Scan time: 00:00:01
Speed (Kb/sec): 37 Virus bodies: 0
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0


Scheint also in Ordnung zu sein.
Ich bin für weitere Anregungen dankbar, möchte mich aber schon mal für die bisherige Hilfe bedanken! Ich bin schon ein wenig beruhigter. Sorry for Spam aber das mußte ich jetzt mal loswerden... [img]smile.gif[/img]

Alt 23.06.2003, 07:06   #11
FataMorgana
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



</font><blockquote>Zitat:</font><hr />Original erstellt von alaborn trooper:
Also wenn ich das richtig verstanden habe könnte die Infektion auf einem Computer geschehen sein, der "nur" meine E-mail Adresse gespeichert hatte und nicht zwangsläufig auf meinem eigenen?</font>[/QUOTE]Das ist sogar mit Abstand die wahrscheinlichste Erklärung. Du solltest mal bei dieser dsb.ag anfragen, ob sie wirklich zweifelsfrei nachweisen können, dass diese Mail von Dir stammt. Man kann dies aufgrund der Headerinformationen in der E-Mail einigermaßen sicher sagen. Du kannst die Firma auch bitten, Dir die Headerinformationen zur Verfügung zu stellen, ob selbst recherchieren zu können. Ich vermute mal, dass die dsb.ag dem billigen "Trick" des Klez-Wurms aufgesessen ist, die Absenderadresse zu "fälschen".

Hast Du denn schon Deinen Rechner anhand von Klez-Wurm-Beschreibungen auf verdächtige Dateien und Registryeinträge durchsucht? Das würde ich auf jeden Fall noch empfehlen.

Ansonsten ist inzwischen imho die Wahrscheinlichkeit sehr gering, dass Dein Rechner Klez-infiziert ist.

Bezüglich verdächtiger Dateien ist es gut, diese mit Kaspersky zu checken. Noch besser wäre es, diese an einige AV-Hersteller zur Analyse einzuschicken. Wenn Du regulärer Symantec-Kunde bist, solltest Du sie zunächst zu deren Virenlabor schicken. Ansonsten gibt es einige Hersteller, denen man auch Dateien schicken kann, wenn man nicht dort Kunde ist. Dazu zählen z. B. H+BEDV und Frisk. Wenn Du nähere Informationen dazu brauchst, melde Dich nochmal.

Alt 23.06.2003, 11:18   #12
Der Hirsch
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



Hi,
das hast du richtig verstanden.

Aber die runonce.exe sollte auf einem Win98 40960 Bytes haben, also 40 KB, wenn ich mich nicht täusche. Etwas suspekt ist mir das dann doch, obwohl es auch nicht schoolbus 2.0 zu sein scheint (darauf wollte Tiber wohl hinaus, vermute ich ).
Prüfe diese Datei doch mal mit dem Kaspersky File Checker , dann kannst du dir bezüglich dieser Datei Sicherheit verschaffen.

Gruß
Der

Alt 23.06.2003, 13:39   #13
alaborn trooper
 
Neue KLEZ- Variante?? - Beitrag

Neue KLEZ- Variante??



</font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana:
</font><blockquote>Zitat:</font><hr />Original erstellt von alaborn trooper:
Also wenn ich das richtig verstanden habe könnte die Infektion auf einem Computer geschehen sein, der "nur" meine E-mail Adresse gespeichert hatte und nicht zwangsläufig auf meinem eigenen?</font>[/QUOTE]Das ist sogar mit Abstand die wahrscheinlichste Erklärung. Du solltest mal bei dieser dsb.ag anfragen, ob sie wirklich zweifelsfrei nachweisen können, dass diese Mail von Dir stammt. Man kann dies aufgrund der Headerinformationen in der E-Mail einigermaßen sicher sagen. Du kannst die Firma auch bitten, Dir die Headerinformationen zur Verfügung zu stellen, ob selbst recherchieren zu können. Ich vermute mal, dass die dsb.ag dem billigen "Trick" des Klez-Wurms aufgesessen ist, die Absenderadresse zu "fälschen".

Hast Du denn schon Deinen Rechner anhand von Klez-Wurm-Beschreibungen auf verdächtige Dateien und Registryeinträge durchsucht? Das würde ich auf jeden Fall noch empfehlen.

Ansonsten ist inzwischen imho die Wahrscheinlichkeit sehr gering, dass Dein Rechner Klez-infiziert ist.

Bezüglich verdächtiger Dateien ist es gut, diese mit Kaspersky zu checken. Noch besser wäre es, diese an einige AV-Hersteller zur Analyse einzuschicken. Wenn Du regulärer Symantec-Kunde bist, solltest Du sie zunächst zu deren Virenlabor schicken. Ansonsten gibt es einige Hersteller, denen man auch Dateien schicken kann, wenn man nicht dort Kunde ist. Dazu zählen z. B. H+BEDV und Frisk. Wenn Du nähere Informationen dazu brauchst, melde Dich nochmal.
</font>[/QUOTE]Ich werde die dsb.ag mal wegen der Informationen anschreiben. Ich habe die verschiedenen aktuellen Removaltools mehrfach über meinen PC laufen lassen ohne fündig geworden zu sein. Trotzdem werde ich mir die Einträge nochmal manuell vornehmen, zumal es ja offenbar recht nützlich ist, sich näher mit der Materie zu befassen. [img]smile.gif[/img]
Leider scheint der betroffene PC- Anwender noch kein Gegenmittel gefunden zu haben, da auch heute das betroffene Postfach von Warnmeldungen und zurückgewiesenen Mails voll ist (was auch nicht grade ein tolles Licht auf t-online wirft, da die Mails samt Virus offenbar ungeprüft wieder auf dem Mailserver angenommen werden). Da ich Nortonkunde bin werde ich die betreffende Datei mal abschicken und abwarten was Norton dazu sagt.

Antwort

Themen zu Neue KLEZ- Variante??
anderen, antivirus, befinden, bitdefender, confused, defender, einfach, ellung, emailadresse, emailadressen, griff, kleine, mailkonto, mails, meinem, neues, nicht, norton, platte, problem, rechner, rätsel, scan, schlimmes, sämtliche, t-online, täglich, updates, vielen dank, win, win98, wirklich



Ähnliche Themen: Neue KLEZ- Variante??


  1. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  2. Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Diskussionsforum - 10.04.2013 (1246)
  3. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  4. Neue Variante von ukash - nicht auffindbar
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (3)
  5. neue Variante des GVU-Trojaners eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  6. Windows Verschlüsselungstrojaner - neue Variante
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  7. Verschlüsselungstrojaner - neue Variante Win32.Injector.expe
    Log-Analyse und Auswertung - 31.05.2012 (1)
  8. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  9. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  10. Evtl neue smitfraud variante ??
    Log-Analyse und Auswertung - 18.08.2005 (7)
  11. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  12. Neue Sober Variante F aufgetaucht
    Plagegeister aller Art und deren Bekämpfung - 04.04.2004 (0)
  13. Neue Sober.D-Variante
    Plagegeister aller Art und deren Bekämpfung - 09.03.2004 (2)
  14. Neue Sober Wurm Variante
    Plagegeister aller Art und deren Bekämpfung - 22.12.2003 (3)
  15. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)
  16. Neue Variante des Yaha-Wurms auf dem Vormarsch
    Archiv - 13.01.2003 (8)

Zum Thema Neue KLEZ- Variante?? - Hallo, ich habe seit gestern ein Problem mit einem Wurm. Ich fahre Win98 mit den jeweils neuesten Updates, nutze ein täglich aktualisiertes Norton Antivirus und lasse regelmässig Removal-Tools von bitdefender - Neue KLEZ- Variante??...
Archiv
Du betrachtest: Neue KLEZ- Variante?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.