Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Kyrdor.30

Kyrdor.30


Plagegeister aller Art und deren Bekämpfung: Kyrdor.30

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.01.2006, 15:55   #1
archäo
 
Kyrdor.30 - Standard

Kyrdor.30


Hallo,

ich habe seit einiger Zeit Kyrdor 30 auf dem Rechner, und kein Virenscanner hilft so recht. Die Meldung von Antivir:
"Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Kyrdor.30!
C:\WINNT\SYSTEM32\PHFKT.DLL"

Was tun?? Vielen Dank für eure Hilfe !

Alt 04.01.2006, 15:57   #2
hoerni26
 
Kyrdor.30 - Standard

Kyrdor.30


hallo,

bitte poste ein HJT logfile..
anleitung dazu findest du in meiner signatur..
__________________

__________________
Alt 04.01.2006, 16:11   #3
archäo
 
Kyrdor.30 - Standard

Kyrdor.30


nicht dass ich das so richtig verstehen würde - aber thankx für die schnelle Antwort. Und bitte keinen Todesstoß

Logfile of HijackThis v1.99.1
Scan saved at 16:08:15, on 04.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVSched32] C:\PROGRA~1\AVPERS~1\AVSched32.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?1&4&04.00.03.21&unknown&unknown&http://www.ayri.org/suryaB.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{0392EF5D-FE0C-4C71-827B-F7A56160E014}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D297F34D-FA7E-4452-967F-4C7FA1D66EDD}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0392EF5D-FE0C-4C71-827B-F7A56160E014}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0392EF5D-FE0C-4C71-827B-F7A56160E014}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O21 - SSODL: rdshost - {11048105-1CEF-45FD-BBCB-42329331E398} - rdshost.dll (file missing)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
__________________
Alt 04.01.2006, 19:52   #4
irrlicht
 
Kyrdor.30 - Standard

Kyrdor.30


Hallo archäo,
wenn du die beiden hier kennst und sicher identifizieren kannst ,ist noch nichts verloren.
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EX E /h

Irrlicht

Alt 05.01.2006, 14:18   #5
archäo
 
Kyrdor.30 - Standard

Kyrdor.30


naja, das eine ist halt der Scanner, das erste sagt mir aber wenig. Könnte vielleicht von dem kürzlichen "Umzug" des Systems auf den neuen Rechner her rühren?
Und wie töte ich nun diesen Kyrdor? Auch der "Spyware Doctor" bietet keine Entfernung an (dafür findet er Claria, was ist das nun wieder...), lediglich AntiVir schlägt an, kann aber nichts machen. Fies...


Alt 06.01.2006, 16:49   #6
archäo
 
Kyrdor.30 - Standard

Kyrdor.30


weiß denn keiner Rat??
ich habe hier eine ca. 1 Jahr alte Meldung unter dem Post "Logfile" in der Hijacker-Abteilung gefunden - da war wohl auch ein Kyrdor auf dem System. Dieser Spyware Doctor findet drei Einträge: zweimal für Dumaru (auf WINNT\prntk.log und WINNT\rundlln.sys) und Claria auf HDPlugin1019.dll (ganz langer Pfad) - aber von Kyrdor auf phfkt.dll keine Spur.
Was kann ich tun? Auch diese Geschichte mit escan? HILFE!

Antwort

Themen zu Kyrdor.30
.dll, antivir, backdoorprogrammes, einiger, enthält, gefährliche, gefährlichen, hilft, kein virenscan, meldung, rechner, scan, scanner, signatur, system, system32, vielen dank, virenscan, virenscanner, win, winnt


« trojaner crackfix.exe | System Intrusion Detected! »


Zum Thema Kyrdor.30 - Hallo, ich habe seit einiger Zeit Kyrdor 30 auf dem Rechner, und kein Virenscanner hilft so recht. Die Meldung von Antivir: "Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Kyrdor.30! C:\WINNT\SYSTEM32\PHFKT.DLL" Was - Kyrdor.30...
Archiv
Du betrachtest: Kyrdor.30 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55