Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: winupd.exe und wintime.exe von Hijacker befallen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.05.2004, 18:26   #1
tuckminister
 
winupd.exe und wintime.exe von Hijacker befallen - Beitrag

winupd.exe und wintime.exe von Hijacker befallen



Hallo,

ich habe mir dummerweise einen Webseiten- Hijacker eingefangen und zwar mit der nicht wegzubekommenden Startseite http://213.159.117.132/index.php in meinem Internetexplorer.

Die Logfile von Hijack This und ein Virusscanning bei Kaspersky ergab, dass zwei Dateien wie folgt verseucht sind:

-> winupd.exe infiziert: TrojanSpy.Win32.Banker.af

-> wintime.exe infiziert: TrojanDropper.Win32.Small.hh

Die Ursache müsste ich somit haben. Nun meine Frage: Wie bekomme ich die beiden Dateien am Besten wieder "sauber"? Bin leider in solchen technischen Fragen nicht sonderlich bewandert und will mich an dieser Stelle schonmal für eine mögliche Hilfe bedanken.

Schöne Woche,
tuckminister

Alt 31.05.2004, 18:55   #2
Who Cares
 
winupd.exe und wintime.exe von Hijacker befallen - Beitrag

winupd.exe und wintime.exe von Hijacker befallen



Hi,

die Dateien kannst & musst du nicht sauber bekommen, da sie nur den bösen Trojaner enthalten..
-> Einfach löschen, ggfs. im abgesicherten Modus (F8-Boot)

und dies mal abarbeiten:
http://www.trojaner-info.de/hijacker/index.shtml

-> Schon Ad-Aware, SPYBOT & CWSHREDDER probiert ?
__________________


Alt 31.05.2004, 19:47   #3
tuckminister
 
winupd.exe und wintime.exe von Hijacker befallen - Beitrag

winupd.exe und wintime.exe von Hijacker befallen



Danke erstmal für deine Antwort. Habe die genannten Programme alle erfolglos ausprobiert. Es scheinen auch noch ein paar Dateien mehr befallen zu sein. Aber Anhand des Datums und der Uhrzeit kann man die ganz gut ausfindig machen, hoffe ich.
__________________

Alt 01.06.2004, 10:18   #4
tuckminister
 
winupd.exe und wintime.exe von Hijacker befallen - Icon17

winupd.exe und wintime.exe von Hijacker befallen



So, ich hab nun alle gefundenen infizierten Anwendungdateien (4 * mtask[Zahl].exe und system.exe) gelöscht, bin den Trojaner aber immer noch nicht los.

Hier der Inhalt meines aktuellen HijackThis- Logs:

"Logfile of HijackThis v1.97.7
Scan saved at 11:12:13, on 01.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net"

Vielleicht weiß noch jemand einen Rat!?

MfG,
tuckminister

Alt 01.06.2004, 19:51   #5
tuckminister
 
*schieb*


Alt 01.06.2004, 20:10   #6
Lutz
 

winupd.exe und wintime.exe von Hijacker befallen - Beitrag

winupd.exe und wintime.exe von Hijacker befallen



Eine wirkliche Lösung habe ich noch nicht...
Lade dir hier bitte mal das pv.zip herunter. Anschließend entpacke es in einen eigenen Ordner. Anschließend starte runme9x.bat und dann die Auswahl 1 (ExplorerDLLs). Die erstellte Log-Datei poste bitte hier. Vielleicht sehen wir dann mehr...
__________________
--> winupd.exe und wintime.exe von Hijacker befallen

Alt 02.06.2004, 09:34   #7
tuckminister
 
winupd.exe und wintime.exe von Hijacker befallen - Daumen hoch

winupd.exe und wintime.exe von Hijacker befallen



Danke erstmal. Hier ist die erstellte Logdatei des Programms:

" Module information for 'EXPLORER.EXE'
MODULE BASE SIZE PATH
WFSHELEX.DLL 7380000 81920 C:\PROGRAMME\NORTON UTILITIES\WFSHELEX.DLL 15.0.0.20 Norton Shared Component
ARCEXT.DLL 39f0000 204800 C:\PROGRAMME\WINACE\ARCEXT.DLL 2.5.0.1 WinAce-Archiver Shell Extension
ACEV2.DLL 3a30000 897024 C:\PROGRAMME\WINACE\ACEV2.DLL 2.5.0.0 WinAce ACE Dynamic Link Library
MSRATING.DLL 784a0000 176128 C:\WINDOWS\SYSTEM\MSRATING.DLL 5.50.4134.100 Bibliothekdatei für Internetfilter und Verwaltung lokaler Benutzer
IEPEERS.DLL 7b710000 245760 C:\WINDOWS\SYSTEM\IEPEERS.DLL 5.50.4134.100 Internet Explorer Peer-Objekte
DOCPROP2.DLL 7cb10000 331776 C:\WINDOWS\SYSTEM\DOCPROP2.DLL 5.00.2136.1 DocProp2
AVIFIL32.DLL 7e410000 98304 C:\WINDOWS\SYSTEM\AVIFIL32.DLL 4.90.3000 Microsoft Bibliothek zur Unterstützung von AVI-Dateien
MSACM32.DLL 79e90000 102400 C:\WINDOWS\SYSTEM\MSACM32.DLL 4.90.3000 Microsoft Audiokomprimierungs-Manager
CRTDLL.DLL 7fb20000 180224 C:\WINDOWS\SYSTEM\CRTDLL.DLL 3.50 Microsoft C Runtime Library
MSVFW32.DLL 77b70000 147456 C:\WINDOWS\SYSTEM\MSVFW32.DLL 4.90.3000 Microsoft Video für Windows-DLL
WOW32.DLL bfdc0000 20480 C:\WINDOWS\SYSTEM\WOW32.DLL 4.90.3000 Win32 WOW32 core component
DCIMAN32.DLL 7d130000 24576 C:\WINDOWS\SYSTEM\DCIMAN32.DLL 4.90.3000 DCI Manager 1.00
MSHTMLED.DLL 796f0000 417792 C:\WINDOWS\SYSTEM\MSHTMLED.DLL 5.50.4134.100 Microsoft (R) HTML Editing Component
MSLS31.DLL 78d00000 163840 C:\WINDOWS\SYSTEM\MSLS31.DLL 3.10.337.0 Microsoft Line Services library file
JSCRIPT.DLL 7aca0000 552960 C:\WINDOWS\SYSTEM\JSCRIPT.DLL 5.5.0.5207 Microsoft (r) JScript
IMM32.DLL bfe00000 16384 C:\WINDOWS\SYSTEM\IMM32.DLL 4.90.3000 Win32 IMM32 core component
MSHTML.DLL 7f380000 2756608 C:\WINDOWS\SYSTEM\MSHTML.DLL 5.50.4134.100 Microsoft (R) HTML Viewer
RNR20.DLL 76330000 57344 C:\WINDOWS\SYSTEM\RNR20.DLL 4.90.3000 Windows Socket2 NameSpace DLL
MSAFD.DLL 79c60000 40960 C:\WINDOWS\SYSTEM\MSAFD.DLL 4.90.3000 Microsoft Windows Sockets 2.0 Dienstanbieter
MLANG.DLL 7a510000 557056 C:\WINDOWS\SYSTEM\MLANG.DLL 5.50.4134.100 Multi Language Support DLL
XX2GR.DLL 23b0000 253952 C:\PROGRAMME\GETRIGHT\XX2GR.DLL 4.5d IE/NS Click Monitoring for GetRight. www.getright.com
WINSPOOL.DRV 7fe40000 36864 C:\WINDOWS\SYSTEM\WINSPOOL.DRV 4.90.3000 Win32 WINSPOOL core component
WINMM.DLL bfdd0000 65536 C:\WINDOWS\SYSTEM\WINMM.DLL 4.90.3000 System APIs for Multimedia
URLMON.DLL 74d40000 466944 C:\WINDOWS\SYSTEM\URLMON.DLL 5.50.4134.100 OLE32-Erweiterung für Win32
VERSION.DLL bfe50000 24576 C:\WINDOWS\SYSTEM\VERSION.DLL 4.90.3000 Win32 VERSION core component
ACROIEHELPER.DLL 1e30000 45056 C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL 6.0.0.2003051500 Adobe Acrobat IE Helper Version 6.0 for ActivieX
MYDOCS.DLL 77810000 81920 C:\WINDOWS\SYSTEM\MYDOCS.DLL 5.50.4134.100 Benutzeroberfläche des Verzeichnisses "Eigene Dateien"
BROWSELC.DLL 7e0a0000 49152 C:\WINDOWS\SYSTEM\BROWSELC.DLL 5.50.4134.100 Shell Browser UI-Bbibliothek
WININET.DLL 73db0000 495616 C:\WINDOWS\SYSTEM\WININET.DLL 5.50.4134.100 Interneterweiterungen für Win32
SHDOCLC.DLL 75cc0000 417792 C:\WINDOWS\SYSTEM\SHDOCLC.DLL 5.50.4134.100 Bibliothek für Shell-Dokumente und -Steuerelemente
IDLEPROC.DLL 67f00000 28672 C:\PROGRAMME\AOL 8.0\IDLEPROC.DLL 8.00.000 IDLEPROC DLL
WSOCK32.DLL 73250000 36864 C:\WINDOWS\SYSTEM\WSOCK32.DLL 4.90.3000 BSD Socket API für Windows
MSWSOCK.DLL 77a00000 81920 C:\WINDOWS\SYSTEM\MSWSOCK.DLL 4.90.3000 Microsoft WinSock Extension APIs
WS2_32.DLL 73290000 69632 C:\WINDOWS\SYSTEM\WS2_32.DLL 4.90.3000 Windows Socket 2.0 32-Bit DLL
RASAPI32.DLL 7f780000 258048 C:\WINDOWS\SYSTEM\RASAPI32.DLL 4.90.3000 DFÜ-Netzwerk-DLL
SECUR32.DLL 7f760000 69632 C:\WINDOWS\SYSTEM\SECUR32.DLL 4.90.3000 Microsoft Win32 Security Services (Export Version)
SVRAPI.DLL 7f860000 32768 C:\WINDOWS\SYSTEM\SVRAPI.DLL 4.90.3000 32-bit common Server API library
MSNET32.DLL 7fa30000 77824 C:\WINDOWS\SYSTEM\MSNET32.DLL 4.90.3000 Microsoft 32-Bit Netzwerk-API-Bibliothek
MSPWL32.DLL 7fa70000 40960 C:\WINDOWS\SYSTEM\MSPWL32.DLL 4.90.3000 Password list management library
TAPI32.DLL 7f870000 122880 C:\WINDOWS\SYSTEM\TAPI32.DLL 4.90.3000 Microsoft® Windows(R) Telephony API Client DLL
NETAPI32.DLL 7f8a0000 20480 C:\WINDOWS\SYSTEM\NETAPI32.DLL 4.90.3000 32-bit network API DLL
NETBIOS.DLL 7f730000 32768 C:\WINDOWS\SYSTEM\NETBIOS.DLL
WS2HELP.DLL 73280000 20480 C:\WINDOWS\SYSTEM\WS2HELP.DLL 4.90.3000 Windows Socket 2.0 Helper for Windows 98
ES.DLL 7c2d0000 114688 C:\WINDOWS\SYSTEM\ES.DLL 1998.09.1003.0 COM+ EventSystem Library
SENS.DLL 75e50000 90112 C:\WINDOWS\SYSTEM\SENS.DLL 5.50.4134.100 System Event Notification Service (SENS)
ESTIER2.DLL 7c280000 61440 C:\WINDOWS\SYSTEM\ESTIER2.DLL 1998.09.1003.0 COM+ EventSystem Service Library
ESSHARED.DLL 7c2b0000 65536 C:\WINDOWS\SYSTEM\ESSHARED.DLL 1998.09.1003.0 COM+ EventSystem Shared Utilities
OLEAUT32.DLL 7fe80000 610304 C:\WINDOWS\SYSTEM\OLEAUT32.DLL 2.40.4515
LINKINFO.DLL 7faa0000 36864 C:\WINDOWS\SYSTEM\LINKINFO.DLL 4.90.3000 Windows Volume Tracking
SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
COMDLG32.DLL 7fe00000 212992 C:\WINDOWS\SYSTEM\COMDLG32.DLL 5.50.4134.100 Common Dialog-DLL
AUHOOK.DLL 7f160000 36864 C:\WINDOWS\SYSTEM\AUHOOK.DLL 5.4.1083.9 Microsoft AutoUpdate
WEBCHECK.DLL 740b0000 274432 C:\WINDOWS\SYSTEM\WEBCHECK.DLL 5.50.4134.100 Web Site Monitor
ACTXPRXY.DLL 7f090000 94208 C:\WINDOWS\SYSTEM\ACTXPRXY.DLL 5.50.4134.100 ActiveX Interface Marshaling Library
MSI.DLL cb0000 2015232 C:\WINDOWS\SYSTEM\MSI.DLL 2.0.2600.2 Windows Installer
RPCRT4.DLL 7fab0000 344064 C:\WINDOWS\SYSTEM\RPCRT4.DLL 4.71.3335 Remote Procedure Call DLL
MPR.DLL 7f120000 57344 C:\WINDOWS\SYSTEM\MPR.DLL 4.90.3000 WIN32-DLL für die Netzwerkschnittstelle
BROWSEUI.DLL 7f630000 823296 C:\WINDOWS\SYSTEM\BROWSEUI.DLL 5.50.4134.100 Shell Browser UI-Bibliothek
SHDOCVW.DLL 75ba0000 1150976 C:\WINDOWS\SYSTEM\SHDOCVW.DLL 5.50.4134.100 Bibliothek für Shell-Dokumente und -Steuerelemente
OLE32.DLL 7ff20000 794624 C:\WINDOWS\SYSTEM\OLE32.DLL 4.71.3328 Microsoft OLE for Windows and Windows NT
SHELL32.DLL 7fbd0000 2285568 C:\WINDOWS\SYSTEM\SHELL32.DLL 5.50.4134.100 Windows Shell Common Dll
MSVCRT.DLL 78000000 286720 C:\WINDOWS\SYSTEM\MSVCRT.DLL 6.10.8637.0 Microsoft (R) C Runtime Library
EXPLORER.EXE 400000 225280 C:\WINDOWS\EXPLORER.EXE 5.50.4134.100 Windows Explorer
COMCTL32.DLL bfe80000 581632 C:\WINDOWS\SYSTEM\COMCTL32.DLL 5.81 Common Controls Library
SHLWAPI.DLL 70bd0000 311296 C:\WINDOWS\SYSTEM\SHLWAPI.DLL 5.50.4134.100 Shell Light-weight Utility Library
USER32.DLL bff40000 69632 C:\WINDOWS\SYSTEM\USER32.DLL 4.90.3000 Win32 USER32 core component
GDI32.DLL bff10000 172032 C:\WINDOWS\SYSTEM\GDI32.DLL 4.90.3000 Win32 GDI core component
ADVAPI32.DLL bfe60000 65536 C:\WINDOWS\SYSTEM\ADVAPI32.DLL 4.90.3000 Win32 ADVAPI32 core component
KERNEL32.DLL bff60000 552960 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.90.3000 "

Alt 02.06.2004, 09:53   #8
Lutz@Work
 
winupd.exe und wintime.exe von Hijacker befallen - Pfeil

winupd.exe und wintime.exe von Hijacker befallen



Ich glaube, ich habe ihn...

</font><blockquote>Zitat:</font><hr /> SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
</font>[/QUOTE]Starte Deinen Rechner im abgesicherten Modus und lösche diese Datei: C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
Anschließend mit HijackThis die bekannten Einträge fixen.

Starte das System im normalen Modus neu...

Es kann sich noch eine system.exe auf Deinem Rechner befinden. Such diese auch einmal, aber bitte noch nicht löschen, sondern zunächst online bei Kaspersky überprüfen. Und teil uns das Prüfergebnis mit.

Der nächste Schritt:
Suche auf Deinem Rechner die Datei HOSTS ohne '.Endung'. Evtl gibt es diese mehrfach. Poste bitte den Inhalt/die Inhalte.

Zum Schluß müssen wir noch die Registry bereinigen. Ich denke aber, dass können wir 'später' machen.

Arbeite diese Schritte bitte einmal ab...

Gruß,
Lutz
__________________
'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a>

Alt 02.06.2004, 16:51   #9
tuckminister
 
winupd.exe und wintime.exe von Hijacker befallen - Daumen hoch

winupd.exe und wintime.exe von Hijacker befallen



So, habe die 'system32.dll' gelöscht, die "R-Einträge" bei HijackThis gefixt und nun wieder die von mir gewählte Startseite im IE.

Eine weitere Datei 'system.exe' befindet sich nicht auf der Festplatte.

Dafür fand sich eine Datei 'hosts' ohne Endung auf dem Rechner und zwar im Windows-Verzeichnis. Zum Inhalt hatte diese eine Auflistung von wohl zweifelhaften Links und zwar folgenden:

127.0.0.1 ruworld.com
127.0.0.1 maxxxhosters.com
127.0.0.1 therealsearch.com
127.0.0.1 thumbest-traffic.com
127.0.0.1 600pics.com
127.0.0.1 tonser.4-counter.com
127.0.0.1 free.sinpussy.com
127.0.0.1 hightcalldialer.com
127.0.0.1 bestpornnews.com
127.0.0.1 thumberland.com
127.0.0.1 greg-search.com
127.0.0.1 connect.online-dialer.com
127.0.0.1 0190-dialer.com
127.0.0.1 approvedlinks.com
127.0.0.1 install.xxxtoolbar.com
127.0.0.1 download.buxomatic.com
127.0.0.1 dia.4-counter.com
127.0.0.1 vse-moe.biz
127.0.0.1 crue.global-counter.com
127.0.0.1 line-plus.com
127.0.0.1 porno-links.biz
127.0.0.1 download.tntdialer.com
127.0.0.1 freelivesex.org
127.0.0.1 free3xmatures.com
127.0.0.1 bestpics.net
127.0.0.1 dikai.com
127.0.0.1 world-search.biz
127.0.0.1 1-se.com
127.0.0.1 58q.com
127.0.0.1 aifind.cc
127.0.0.1 aifind.info
127.0.0.1 allneedsearch.com
127.0.0.1 auto.ie.searchforge.com
127.0.0.1 awebfind.biz
127.0.0.1 best.royalsearch.net
127.0.0.1 cracks.am
127.0.0.1 default-homepage-network.com
127.0.0.1 find.microgirls.com
127.0.0.1 find4u.net
127.0.0.1 freshvideogals.com
127.0.0.1 i-lookup.com
127.0.0.1 ie-search.com
127.0.0.1 in.webcounter.cc
127.0.0.1 itseasy.us
127.0.0.1 just.find-itnow.com
127.0.0.1 link.startmake.com
127.0.0.1 mysearchnow.com
127.0.0.1 nativehardcore.com
127.0.0.1 qwertysearch123.biz
127.0.0.1 search.ieplugin.com
127.0.0.1 search.psn.cn
127.0.0.1 searchbar.findthewebsiteyouneed.com
127.0.0.1 searchcentrix.com
127.0.0.1 searchmyrequest.com
127.0.0.1 super-spider.com
127.0.0.1 t.rack.cc
127.0.0.1 teen-biz.com
127.0.0.1 teenhqpics.com
127.0.0.1 tits.hardcore4ever.net
127.0.0.1 webcoolsearch.com
127.0.0.1 wmmse.com
127.0.0.1 008i.com
127.0.0.1 2fastsearch.net
127.0.0.1 8095.com
127.0.0.1 alfa-search.com
127.0.0.1 boredlife.com
127.0.0.1 couldnotfind.com
127.0.0.1 cracks.am
127.0.0.1 daum.net
127.0.0.1 dreamwiz.com
127.0.0.1 find-itnow.com
127.0.0.1 find4u.net
127.0.0.1 firstbookmark.com
127.0.0.1 gajai.com
127.0.0.1 hand-book.com
127.0.0.1 hao123.com
127.0.0.1 hotsearchbox.com
127.0.0.1 hotwebsearch.com
127.0.0.1 hugesearch.net
127.0.0.1 iquicksearch.com
127.0.0.1 lookfor.cc
127.0.0.1 naver.com
127.0.0.1 nkvd.us
127.0.0.1 novafuck.com
127.0.0.1 ohcorea.com
127.0.0.1 omega-search.com
127.0.0.1 onet.pl
127.0.0.1 power-search.info
127.0.0.1 rightfinder.net
127.0.0.1 search-1.net
127.0.0.1 search-and-go.com
127.0.0.1 search-dot.com
127.0.0.1 search-space.com
127.0.0.1 searchforge.com
127.0.0.1 searching-the-net.com
127.0.0.1 searchv.com
127.0.0.1 searchxl.com
127.0.0.1 seznam.cz
127.0.0.1 slotch.com
127.0.0.1 spidersearch.com
127.0.0.1 startium.com
127.0.0.1 ttjj.com
127.0.0.1 viewpornkey.com
127.0.0.1 wazzupnet.com
127.0.0.1 websearch.com
127.0.0.1 windowws.cc
127.0.0.1 xgmm.com
127.0.0.1 xwebsearch.biz
127.0.0.1 yourbookmarks.ws
127.0.0.1 collections.inhost.info
127.0.0.1 collections.inhost2.info
127.0.0.1 www.ruworld.com
127.0.0.1 www.maxxxhosters.com
127.0.0.1 www.therealsearch.com
127.0.0.1 www.thumbest-traffic.com
127.0.0.1 www.600pics.com
127.0.0.1 www.hightcalldialer.com
127.0.0.1 www.bestpornnews.com
127.0.0.1 www.thumberland.com
127.0.0.1 www.greg-search.com
127.0.0.1 www.0190-dialer.com
127.0.0.1 www.approvedlinks.com
127.0.0.1 www.vse-moe.biz
127.0.0.1 www.line-plus.com
127.0.0.1 www.porno-links.biz
127.0.0.1 www.freelivesex.org
127.0.0.1 www.free3xmatures.com
127.0.0.1 www.bestpics.net
127.0.0.1 www.dikai.com
127.0.0.1 www.world-search.biz
127.0.0.1 www.1-se.com
127.0.0.1 www.58q.com
127.0.0.1 www.aifind.cc
127.0.0.1 www.aifind.info
127.0.0.1 www.allneedsearch.com
127.0.0.1 www.awebfind.biz
127.0.0.1 www.cracks.am
127.0.0.1 www.default-homepage-network.com
127.0.0.1 www.find4u.net
127.0.0.1 www.freshvideogals.com
127.0.0.1 www.i-lookup.com
127.0.0.1 www.ie-search.com
127.0.0.1 www.itseasy.us
127.0.0.1 www.mysearchnow.com
127.0.0.1 www.nativehardcore.com
127.0.0.1 www.qwertysearch123.biz
127.0.0.1 www.searchcentrix.com
127.0.0.1 www.searchmyrequest.com
127.0.0.1 www.super-spider.com
127.0.0.1 www.teen-biz.com
127.0.0.1 www.teenhqpics.com
127.0.0.1 www.webcoolsearch.com
127.0.0.1 www.wmmse.com
127.0.0.1 www.008i.com
127.0.0.1 www.2fastsearch.net
127.0.0.1 www.8095.com
127.0.0.1 www.alfa-search.com
127.0.0.1 www.boredlife.com
127.0.0.1 www.couldnotfind.com
127.0.0.1 www.cracks.am
127.0.0.1 www.daum.net
127.0.0.1 www.dreamwiz.com
127.0.0.1 www.find-itnow.com
127.0.0.1 www.find4u.net
127.0.0.1 www.firstbookmark.com
127.0.0.1 www.gajai.com
127.0.0.1 www.hand-book.com
127.0.0.1 www.hao123.com
127.0.0.1 www.hotsearchbox.com
127.0.0.1 www.hotwebsearch.com
127.0.0.1 www.hugesearch.net
127.0.0.1 www.iquicksearch.com
127.0.0.1 www.lookfor.cc
127.0.0.1 www.naver.com
127.0.0.1 www.nkvd.us
127.0.0.1 www.novafuck.com
127.0.0.1 www.ohcorea.com
127.0.0.1 www.omega-search.com
127.0.0.1 www.onet.pl
127.0.0.1 www.power-search.info
127.0.0.1 www.rightfinder.net
127.0.0.1 www.search-1.net
127.0.0.1 www.search-and-go.com
127.0.0.1 www.search-dot.com
127.0.0.1 www.search-space.com
127.0.0.1 www.searchforge.com
127.0.0.1 www.searching-the-net.com
127.0.0.1 www.searchv.com
127.0.0.1 www.searchxl.com
127.0.0.1 www.seznam.cz
127.0.0.1 www.slotch.com
127.0.0.1 www.spidersearch.com
127.0.0.1 www.startium.com
127.0.0.1 www.ttjj.com
127.0.0.1 www.viewpornkey.com
127.0.0.1 www.wazzupnet.com
127.0.0.1 www.websearch.com
127.0.0.1 www.windowws.cc
127.0.0.1 www.xgmm.com
127.0.0.1 www.xwebsearch.biz
127.0.0.1 www.yourbookmarks.ws

Ich hoffe, ich bin das Ding nun los und muss nur doch meine Registry säubern. Vielen Dank schonmal bis hier hin, alleine hätte ich das nie hinbekommen.

MfG,
tuckminister

Alt 02.06.2004, 17:05   #10
Lutz
 

winupd.exe und wintime.exe von Hijacker befallen - Beitrag

winupd.exe und wintime.exe von Hijacker befallen



Hallo,

</font><blockquote>Zitat:</font><hr />Zum Inhalt hatte diese eine Auflistung von wohl zweifelhaften Links und zwar folgenden:
</font>[/QUOTE]Ja, genau. Aber so herum ist es nicht schlimm. Bedeutet es nur, dass Anfragen auf eine der gelisteten Seiten nicht 'raus' gehen, sondern lokal auf Deinem Rechner gesucht werden. Du kannst das so lassen oder auch alle löschen und nur dieses hier eintragen:
127.0.0.1 localhost
Das ist der Standardeintrag einer solchen HOSTS-Datei.

Diese Vielzahl von Einträgen deuten daraufhin, dass Du eines der div. Scripte, die es im Internet gibt ausgeführt hast, die eine so umfangreiche HOSTS anlegen. Kannst Du Dich erinnern, soetwas mal ausgeführt zu haben?
Wie gesagt ist nichts schlimmes, nur darauf verlassen, dass nichts passiert kannst Du Dich nicht, da so eine HOSTS immer nur einen Bruchteil der potentiell 'gefährlichen' Seiten abdecken kann.

Zu der Registry:
Durchsuche mal die komplette Registry nach Verweisen auf die Datei C:\WINDOWS\SYSTEM32\SYSTEM32.DLL und lösche diese Verweise.
Vorsichtshalber solltest Du vorher eine Sicherung der kompletten Registry machen, falls Du versehentlich einen Eintrag zu viel löscht.

Außerdem empfehle ich Dir, diesen Scanner noch im abgesicherten Modus über Deinen Rechner zu 'jagen' -&gt; http://www.mwti.net/antivirus/free_utilities.asp
(Free eScan Antivirus Toolkit Utility)

Nach einem anschließenden Neustart poste noch ein (hoffentlich!) letztes Log von HijackThis...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 02.06.2004, 21:59   #11
tuckminister
 
winupd.exe und wintime.exe von Hijacker befallen - Beitrag

winupd.exe und wintime.exe von Hijacker befallen



Die Registry habe ich wie oben beschrieben gesäubert.
Wenn ich den Virenscanner über die Datei mwavscan.com starte, bekomme ich folgende Meldung:

"Virus Database ist older than 30-days! We recommend that you download the latest toolkit from http://www.mwti.net."

Danach startet das Programm nicht. Habe das Programm unter dem oben genannten Link heruntergeladen.

Die aktuelle HijackThis- Logdatei liest sich wie folgt:

ogfile of HijackThis v1.97.7
Scan saved at 22:56:23, on 02.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

O1 - Hosts: 1127.0.0.1 localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

MfG,
tuckminister

Alt 03.06.2004, 10:53   #12
Lutz@Work
 
winupd.exe und wintime.exe von Hijacker befallen - Beitrag

winupd.exe und wintime.exe von Hijacker befallen



Hi,

</font><blockquote>Zitat:</font><hr />Wenn ich den Virenscanner über die Datei mwavscan.com starte, bekomme ich folgende Meldung:
"Virus Database ist older than 30-days! We recommend that you download the latest toolkit from http://www.mwti.net."
Danach startet das Programm nicht. Habe das Programm unter dem oben genannten Link heruntergeladen.</font>[/QUOTE]Komisch, bei mir hat das sowohl gestern Abend zu Hause, als auch eben im Büro geklappt, aber egal. Hat das Toolkit denn noch etwas bei Dir gefunden?

</font><blockquote>Zitat:</font><hr />Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
</font>[/QUOTE]Zumindest der InternetExplorer ist veraltet. Du solltest schleunigst mal ein Windowsupdate machen.

</font><blockquote>Zitat:</font><hr />O1 - Hosts: 1127.0.0.1 localhost
</font>[/QUOTE]Korrigiere bitte die HOSTS. Richtig muss es heißen 127.0.0.1

Folgendes noch fixen:
</font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
</font>[/QUOTE]Gruß,
Lutz
__________________
'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a>

Alt 03.06.2004, 11:24   #13
tuckminister
 
winupd.exe und wintime.exe von Hijacker befallen - Cool

winupd.exe und wintime.exe von Hijacker befallen



</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz@Work:
Hat das Toolkit denn noch etwas bei Dir gefunden?</font>[/QUOTE]Das kann ich nicht sagen, weil das frisch heruntergeladene Programm nach der Meldung gar nicht erst startet.

Ansonsten vielen Dank für deine Hilfe, meinen IE werde ich schleunigst aufmotzen, der Rest ist soweit korrigiert.

MfG,
tuckminister

Antwort

Themen zu winupd.exe und wintime.exe von Hijacker befallen
beste, besten, dateien, eingefangen, frage, fragen, gen, hijack this, hijacker, hilfe, infiziert, interne, kaspersky, logfile, meinem, mögliche, nicht, sauber, schonmal, startseite, stelle, technische, this, upd.exe, verseucht, virusscan, webseite, winupd.exe, woche



Ähnliche Themen: winupd.exe und wintime.exe von Hijacker befallen


  1. Bin ich befallen?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2013 (10)
  2. C:\install\winupd.exe
    Log-Analyse und Auswertung - 09.09.2011 (9)
  3. c:/install/winupd.exe Trojaner
    Log-Analyse und Auswertung - 29.07.2011 (33)
  4. Trojaner C:\install\winupd.exe ?
    Log-Analyse und Auswertung - 18.07.2011 (7)
  5. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  6. ALH.exe befallen?
    Plagegeister aller Art und deren Bekämpfung - 26.02.2010 (1)
  7. Dropper.Gen und winupd
    Log-Analyse und Auswertung - 12.07.2009 (1)
  8. Befallen??
    Mülltonne - 13.11.2008 (0)
  9. Antivirenprogramme befallen?
    Mülltonne - 09.11.2008 (1)
  10. Virenfund: Buzus.rwd, winupd.exe. Keine Information gefunden.
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (8)
  11. Pc ist befallen?!?
    Log-Analyse und Auswertung - 17.09.2008 (4)
  12. PC befallen was nun ?
    Plagegeister aller Art und deren Bekämpfung - 14.07.2008 (11)
  13. rechner von'virus/hijacker' befallen. bitte um auswertung der logs
    Log-Analyse und Auswertung - 13.07.2008 (13)
  14. bin ich befallen ???
    Log-Analyse und Auswertung - 25.02.2008 (1)
  15. Winupd~1 error? virus?
    Log-Analyse und Auswertung - 17.03.2007 (7)
  16. wintime.exe und mastaks2.exe von a² squared beim scan gefunden. Was ist das?
    Plagegeister aller Art und deren Bekämpfung - 18.04.2006 (7)
  17. C:\WINNT\System32\winupd.exe ?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2004 (3)

Zum Thema winupd.exe und wintime.exe von Hijacker befallen - Hallo, ich habe mir dummerweise einen Webseiten- Hijacker eingefangen und zwar mit der nicht wegzubekommenden Startseite http://213.159.117.132/index.php in meinem Internetexplorer. Die Logfile von Hijack This und ein Virusscanning bei Kaspersky - winupd.exe und wintime.exe von Hijacker befallen...
Archiv
Du betrachtest: winupd.exe und wintime.exe von Hijacker befallen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.