|
Misch mich kurz ein: Was ist bitte ein TCMCombo-Set? Ist das was von tchibo? Bkcln.Unknown kommt aus Tschechien; ist in fast jeder eMail von da. cacatoa |
@cacatoa TCMCombo-Set gehört zu Maus und Tastaturprogrammen. Manche Hersteller geben CDs mit, auf denen solche Programme sind, die dann die "web-funktionen" der tastatur aktivieren (bspw auf www drücken und es öffnet sich der browser) @bine das sicherheitsrisiko wieder so einen trojaner zu bekommen, geht mehr durch den IE. verwende einen anderen browser wie firefox oder opera und verwende den IE nurnoch für windowsupdates, die du alle 3wochen überprüfen solltest, da man nie weiß ob es ein neues sicherheitsloch gibt. |
@ chris Danke für die Info; aber zu welchen Programmen? Ich möchte es wissen, weil die "mousedrv.exe" ein Hinweis auf den Troj/Crypter-C ist (sophos). Außerdem hat sie einige Einträge, die überprüft gehören und drei, die gefixt werden sollten. cacatoa |
wie ich schon schrieb, habe ich wenig ahnung. deshalb noch mal zur verdeutlichung. mit IE meinst du den internet explorer. d.h. ich soll mir einen anderen browser installieren, über den ich im internet surfe, chatte etc. und da schlägst du firefox oder opera vor. ich vermute aber, dass der trojaner über musikladen mit auf den pc kam. werde ich die finger in zukunft von lassen. übrigens habe ich von tchibo eine tastatur und maus. dies zu der anfrage von cacatoa. bye bine und nochmal tausend dank für die schnelle und tolle hilfe :D |
ich hatte mal die gleiche tastatur deshalb weiß ichs. is zwar ne weile her, aber das war mal so ein paket. das war ein paket rundum mit treiber für maus und für tastatur drin (natürlich auch die beiden dinger selbst drin) allerdings macht mich etwas stuzig am log.. moment mal! lass mal die dateien PS2USBKBDDRV.EXE und MOUSEDRV.EXE im ordner C:\PROGRAMME\TCM COMBO SET\ bei http://virusscan.jotti.org/de überprüfen. ich bin mir nun nicht mehr so sicher.. es wäre möglich das wir es wie cacatoa erwähnt hat, wir es mit dem crypter-c zutun haben.. |
@ bine Danke für die Info. Ich denke mal, chris wird dich gut weiterführen. cacatoa |
hallo chris, habe beide dateien durch den scan gejagt. bringt beide male no viruses found bei allen virenprogrammen. nur bei statistik ist bei einigen scannern unter maleware eine bezeichnung und kein rotes kreuz. brauchst du die im detail? bine |
Mich hat es auch erwischt und mein ganzer Urlaubstag is dabei drauf gegangen. Habe alle scans probiert und bekomme about blank nicht weg. Wer kannn helfen ? |
plz neuer thread @newgucci ich bin schonmal durcheinander gekommen, weil 3verschiedene leute im gleichen thread gepostet haben. @bine ja, ich brauch mehr daten über die malware. achja cacatoa hat mich auf noch was hingewiesen: nämlich auf die einträge O2 - BHO: (no name) - {D350341F-F2CD-4B5D-A402-A36FEDBF7670} - C:\WINDOWS\SYSTEM\COENOF.DLL (file missing) O18 - Filter: text/html - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL O18 - Filter: text/plain - {A88DF434-5E38-44A2-BA58-D6D558766099} - C:\WINDOWS\SYSTEM\COENOF.DLL ich nahm an das die datei bereits gelöscht sei, aber hijackthis weiß net was es nun sagen will. lass diese datei am besten auch gleich bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis und lösche sie im abgesicherten modus anschließend. |
....schuldigt, aber bin neu hier.... |
und das mein logfile... Logfile of HijackThis v1.99.0 Scan saved at 21:24:14, on 20.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\csrss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\LEXBCES.EXE D:\WINNT\system32\spoolsv.exe D:\WINNT\system32\LEXPPS.EXE D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Norton Internet Security\NISUM.EXE D:\Programme\Norton Internet Security\ccPxySvc.exe D:\WINNT\System32\svchost.exe D:\PROGRA~1\Iomega\System32\AppServices.exe D:\Programme\Norton AntiVirus\navapsvc.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE D:\WINNT\TBPanel.exe D:\WINNT\mHotkey.exe D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE D:\Programme\Iomega\DriveIcons\ImgIcon.exe D:\Programme\Logitech\ImageStudio\LogiTray.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Lexmark X1100 Series\lxbkbmon.exe D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe D:\WINNT\system32\cdplayer.exe D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe D:\Programme\Digital Image\Monitor.exe D:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe D:\PROGRA~1\T-Online\ISDNSP~1\TOMCAT.EXE D:\Dokumente und Einstellungen\ak\Eigene Dateien\mwav.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe D:\PROGRA~1\WinZip\winzip32.exe D:\DOKUME~1\ak\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINNT\system32\mcicdb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {28F4EDF7-C99A-40B4-BAB4-28CAEC2F2F42} - D:\WINNT\system32\mcicdb.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINNT\system32\iecust.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [Gainward] D:\WINNT\TBPanel.exe /A O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [Iomega Drive Icons] D:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] D:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe O4 - HKLM\..\Run: [DeluxeCD] D:\WINNT\system32\cdplayer.exe -tray O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Digital Image Monitor.lnk = D:\Programme\Digital Image\Monitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\system32\Shdocvw.dll O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.214/counter/new/x.chm::/update.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{560049EC-DA69-45C1-9A01-940EA4177907}: NameServer = 69.50.188.180 195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB733721-657F-4821-B54F-3DFE2CD20CC6}: NameServer = 69.50.188.180,195.225.176.31 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Filter: text/html - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll O18 - Filter: text/plain - {F7B1DC3E-DE0A-48F8-8D38-7703A995B04A} - D:\WINNT\system32\mcicdb.dll O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service - Symantec Corporation - D:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: Iomega App Services - Iomega Corporation - D:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: LexBce Server - Lexmark International, Inc. - D:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - D:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
macht nix :) @newgucci jeder macht fehler. wird hald nur zu unübersichtlich wenn mehrere logs in einem thread sind ;) ~edit~ ne oder? ich schrieb doch gerade "neuer thread" heißt also nicht hier rein posten. aber egal. @alleanderenmitdiesemproblem postet in einen anderen thread bitte^^ dann fangen wir mal an auszuwerten.. ich sehe da was recht bedenkliches.. es gibt wenn ich mich nicht irre seid win2000 keine cdplayer.exe im windows-verzeichnis mehr, diese wurde doch wenn ich mich wieder nicht irre bereits durch den media player ersetzt. lass also bitte die datei cdplayer.exe im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis. ich hab die ahnung, dass das was recht gefährliches ist.. |
chris, hier die maleware: 1. PSSSS2USBKBDDRV.EXE BitDefender: Backdoor.SDBot.E4FECCE6 Dr. Web: Win32.HLLW.ForBot.based Kaspersky: Backdoor.Win32.SdBot.gen 2. MOUSEDRV.EXE BitDefender: Backdoor.Agobot.3.FE730A1C NOD32: probably unknown NewHeur_PE Norman: Sandbox:W32/Gaobot.gen hoffe, du kannst was damit anfangen bine |
puh.. da haben wir alle aber verdammtes glück gehabt das cacatoa das gepostet hat. ich bin der file auf dem leim gegangen. so geschickt wie dieser wurm ist, schafft er es doch eine perfekte nachbildung eines tchibotastaturtreibers zu werden und so den normalen user reinzulegen. leider hilft da nur eine neuinstallation beachte auch cidre's rat! der backdoor ist sehr gefährlich und offensichtlich auch sehr raffiniert. |
boh ne nicht dein ernst :heulen: aber wieso geht wieder alles normal???? meinst du alles neu installieren oder nur das tchibogeraffel??? bin am boden zerstört, scheiß zeug bine |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board