C:\Programme\Video Add-on - Virus/Trojaner

Hallo !

Wir haben einen Virus in C:\Programme\Video Add-on

Es befinden sich in dem Ordner die Dateien isfmdl.dll, isfmm.exe und isfmntr.exe

Ich habe schon verswucht die Dateien mit KliiBox zu löschen, leider erfolglos.

Ist dieser Virus/Trojaner schon bekannt und wie kann man ihn entfernen ?

MfG

Grizzly28

 

ist bekannt

gute vorarbeit....

und nun machst mal das, das in meiner SIgna steht.. den kriegen wir theoretisch leciht weg:

HJT (siehe signatur)

 

ich habe es schon versucht mit hijackthis zu entfernen.

leider funktioniert das nicht.

es ist nach wie vor auf dem pc unten rechts in der schnellstartleiste.

 

Grizzly, entweder du befolgst Anweisungen oder wir kommen nicht weiter... ergo EOD

Setz dein System neu auf

Es wurde nirgendwo gesagt- DU sollst was mit HJT entfernen...

 

http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Steht auch in -humis-s Signatur.

 

@ Grizzly28

Schon wieder ein Virenproblem? Ich weiß nicht, wie oft ich es noch runterbeten soll, aber tue doch einmal dass, was andere dir raten. Lies dir bitte mal den Beitrag #6 aus diesem Thema durch:

http://www.pcwelt.de/forum/sicherheit-viren-w-rmer-trojaner-rootkits/218766-virus.html

und klick mal auf die dortigen Links. Wenn du beherzigst, was dort steht, dann hast du auch keine Virenprobleme mehr. Zumindest machst du es Viren und Trojanern schwerer, deinen Rechner zu infizieren.

Gruß
Nevok

 

oki ei Userehr der auf meiner Blacklist drer der ich nciht helfe landet.. richte mal Virene nen schönen Gruss aus, dank euch fangen sich immer mehr Malware ein...

 

um erstmal eines klar zustellen:

der virus befindet sich nicht auf meinem pc.
habe selbst schon lange keinen virus mehr auf dem pc gehabt.

also ich auf die signatur gegangen bin stand da gleich etwas von HJT.
Ich gehe davon aus, dass es sich also um highjackthis handelt.

nagut ! werde ich mir die sig nochmal genauer durchlesen

 

Und warum schreibst du dann

?

Dann schreib doch bitte "Ein(e) Freund(in) hat einen Virus..." oder "Ein(e) Bekannte(r) hat einen Virus...". Das vermeidet Missverständnisse.

Gruß
Nevok

 

ja ok ! mach ich demnächst.

 

System Wiederherstellung abschalten, im Abgesicherten Modus starten, Dateien Löschen und Normal neu Booten.

 

Hallo Grizzly,

also zu was ich Dir jetzt rate ist der Hardcoreweg so dazu benötigst Du eigentlich nur Drei Dinge:

1.) Du brauchst einen Hexeditor oder Festplatteneditor
2.) Du brauchst eine Toolsuite.
3.) Deinen Verstand

Zu 1.) Rate Dir zu dem HxD Hexeditor von Maël Hörz

Auszug der :

Features
========
- Instant opening regardless of file-size
(>4GB is no problem, if it fits on a disk/drive you can open it)
- Fast searching: forward, backwards or from beginning
- Replace function (fast even for millions of edits)
- Disk-Editor: RAW reading and writing of disks and drives (WinNT and Win9x)
- RAM-Editor: can read and write virtual memory of other processes
- Data-folding for better overview in RAM-Editor
- Splitting and joining files
- Safe deletion of files (shredder)
- File compare (simple version for now)
- Inserting bytes or filling a selection with a pattern
- Grouping of bytes
- Only text or only hex mode
- Exporting of data to source code (Pascal, C, Java)
or as formatted output (plain text, HTML, Richtext, TeX)
or to hex formats
Motorola S19 Records, Motorola S28 Records, Motorola S37 Records,
16 Bit Intel Hex, 20 Bit Intel Hex, 32 Bit Intel Hex
- Checksum-Generator:
Checksum-8, ..., Checksum-32, CRC-16, CRC-16 CCITT,
CRC-32, Custom CRC, SHA-1, SHA-256, SHA-384, SHA-512, MD-2, MD-4, MD5
- Statistical view:
Graphical representation of the character distribution.
Helps to identify the data-type of a selection.
- Support for ANSI, DOS/IBM-ASCII and EBCDIC charsets
- Unlimited undo
- Modified data is highlighted
- Internet update checker
- Ghost caret: displayed around the corresponding character/hex value on the
inactive column, the caret is placed on the active column
- Printing
- Bookmarks:
Ctrl+Shift+Number(0-9) sets a bookmark,
Ctrl+Number(0-9) goes to a bookmark
- Flicker free display and fast drawing

Zu 2.) Der Sysinternals Suite von Mark Russinovich ehemals jetzt bei Microsoft so verdammt gut sind die Tools
Quelle: http://www.heise.de/newsticker/meldung/84255

Bezugsquellen und Erläuterungen:
zu1
http://hxd.soft-ware.net/download.asp
zu2.) http://www.microsoft.com/germany/technet/sysinternals/utilitiesindex.mspx

Dann benötigst Du noch eine CD auf die brennst Du beide Tools, nicht auf Deinen Rechner installieren.
Mit einer Ausnahme die Sysinternal Suite installierst Du dann nochmals auf Deinen Rechner.Das hat den Hintergrund um zu testen welche Prozesse laufen wenn Du ins Internet gehst !
-------------------------------------------------------------------------------
In der Suite enthalten sind 4 besonders wichtige Tools :
a,) Filemon.exe zeigt Dir in Echtzeit an was in Deiinem System passiert innerhalb der Dateistruktur welche Prozesse wo zugreifen etc.pp
b.)Regmon.exe das selbe nur in Bezug auf Deine Registry
c.) Tcpview.exe dient zur Überwachung des Internetverkehrs zeigt Dir an welches Programm / Prozess auf das Internet zugreift.
d.) Prozessexplorer ein Taskmanager/Debugger Systemanalyse der extra Klasse könnte ich Seitenweise über dessen Möglichkeiten schreiben und vor allen welche er Dir zur Verfügung stellt.

Diese 61 Tools der Suite sind Exe Dateien eine Instasllation im eigentlichen Sinne ist nicht notwendig, lediglich die Lizens muss bestätigt werdem dann sind die Tools einsatzbereit.
------------------------------------------------------------------------------------------------------
Ach ganz vergessen Du benötigst noch das DebuggingTool direkt von Microsoft mit dem SDK

Info vorab Bezugsquelle:

http://www.microsoft.com/whdc/devtools/debugging/whatsnew.mspx

32 Bit Variante

http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx

64 Bit Variante

http://www.microsoft.com/whdc/devtools/debugging/install64bit.mspx

als zusätzliches Goodie noch:

http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx

Die Debugging Tools benötigst Du deshalb weil die Suite diese voraussetzt diese musst Du zwangsläufig auf deinen Rechner installieren, komen als msi Pakete.

So wenn Du das dann hast, kanns losgehen so fange an mit dem Tool a aus der Suite führe die Exe aus bestätige die Lizens und las das Tool mal rennen, lege Dir nen Block zurecht nimm ne Tasse Kaffe und beobachte mal ne Zeit das Monotoring.

Du wirst noch nichts Auffälliges feststellen je nachdem wie gut Du Dein Sytem kennst, so lass Filemon laufen und führe danach Regmon.exe und dann Prozessexplorer aus. vergrössere Die Fenster und stelle die Schriftgrösse in den Tools so ein das Du was erkennen kannst kommen per Default mit 6 daher.

So starte nun Deine Internetverbindung und schaue in TCPViEW was alles über welche Adressen zugreift, beobachte paranell dazu den ProzessExplorer und mit einem Klick auf die jeweilige Anwendung unter Properties siehst Du was welche Dll wellche Handels welche Threads etc.pp die Applikationen nutzen.

Zwar könntest Du mit Kill und KillTree das alles beenden aber das ist nicht Sinn der Übung, notiere Dir einfach alles sehr genau.

So nun geht es auf die Befehsebene, starte hierzu über ausführen die Console mit cmd.exe und gebe mal netstat -a ein nun kannste sehen was alles so lauscht und was wo kontaktiert.
So dann hacke mal netstat -h ein da weerden dir Die Befehle genau noch erklärt

netstat - e wäre jetzt was netstat -p ist wenig aufschlussreich besser ist da netstat -r weil hier siehste die Routen.

so jetzt lass mal Deine Tools miteinander arbeiten ( Sinn der Übung )

Du erhälst jede Menge Infos was wo was anstellt bis zu kleinsten Dll in Deinem System so nun starte Deine CD und jetzt geht die Jagd los.

Anhand Deiner Infos kanste dann mit dem Hexeditor Die Befallenen Dateien von vorne bis hinten vollnullen, also die gehen dann nicht mehr.
Dann wenn das gemacht hast sie nach Gutmann mehrfach überschreiben

Ja und dann restlos entsorgen auch mit dem HxD wenn Du alles gekillt hast geht es wieder auf die Befehlsebene, gib dazu unter ausführen regedit.exe ein ( geht auch ohne .exe)

So unter dem Menue Bearbeiten klicke auf Suche und gebe die Namen der von Dir gekillten Dateien / Bibliotheken etc.pp ein

Die verwaisten Schlüssel kannste löschen oder andere Werte zuordnen jo und F3 kannste immer wieder die Suche wiederholen bis nix mehr gefunden wird.

So dann sind wir schon fast fertig, lösche alle Wiederherstellungspunkte und dann wiederhole das Spiel in der Registry, so dann lösche die Temp dann den Prefetch Ordner ( Inhalt) den Paperkorb ( Inhalt) und ändere dessen Eigenschaften setze alles auf Restlos löschen.

Ändere die Grösse der Wiedeherstellung in dem Du einen anderen Grössenwert einstellst.

So dann lösche die Toolsuite den Debugger ( deinstallieren) und fahre nochmal das Spiel mit der Registry in dem Du diese Werte ausnullst.

Entferne die CD und starte Dein System neu auf kein Kalt-Reset machen oderr Shutdown now mit dem ProzessExplorer.

So wenn nun Dein System hochgefahren ist lege die CD ein und führe von Dort die Suite aus in dem Du auf Dein System zugreiffst und wiederhole das Spiel. Also Monotoring ( Beobachten)
Starte netstat -a und dann netstat -r und schaue was passiert Du kannst auch alles falls Du paranoid bist nochmal durchziehen.

Good Luck slipstream