O.k.

Fixe mit HJT folgenden Eintrag:

Zitat:

O4 - HKCU\..\Run: [LiteMags] C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.ex e

und lösche gleich danach die btreffende Datei:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Und lasse bitte folgende Dateien ebenfalls auf VT auswerten:

Zitat:

C:\Programme\Zattoo\Zattoo2.exe=c:\programme\zatto o\zattoo2.exe
C:\Programme\Zattoo\zattood.exe=c:\programme\zatto o\zattood.exe

Hi,

danke für Deine Unterstützung, ich habe mir Dr. Web runtergeladen und es damit gelöscht, es funktioniert jetzt alles prima, iexplorer.exe wird nicht mehr angezeigt, im Task-Manager genauso..wenn was erneut sein sollte, werde ich mich melden.

Ich bedanke mich sehr bei Dir für Deine Geduld und Deine Hilfe.
Ist echt ein tolles Forum, werde ich weiterempfehlen.

Bis dahin wünsche ich euch allen alles Gute.

Gruß
Scotty

Uaaaa.. Scotty.


Der Rechner ist unter KEINEN Umständen vertrauenswürdig!!!!

Wenn da was in den iexplorer injeziert hat dann läuft der Server nach wie vor!!!

Führe bitte die Punkte durch die ich dir gepostet haben und versuche während der Bereinigung nichts auf eigene Initiative bzw. frage vorher nach bevor du einfach irgendwas löschst...

Zitat:

Zitat von undoreal

O.k.

Fixe mit HJT folgenden Eintrag:
und lösche gleich danach die btreffende Datei:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")





3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Und lasse bitte folgende Dateien ebenfalls auf VT auswerten:

Hi,

okay..also wenn ich

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.ex e

in Dein Tool eingebe, welches ich runterladen sollte kommt eine Fehlermeldung, ich habe ja schon chicspam.exe mit Dr. Web gelöscht, vielleicht liegt es daran.

Und zattoo2.exe findet er ebenfalls nicht..

Kurze Frage noch, meine Tastatur 'Pfeil nach unten' funktioniert nicht, könnte es damit verbunden sein ?

Gruß
Scotty

Hi,
ich spring mal kurz ein, da undo nicht da ist.

Das Skript müsste wie folgt aussehen:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe
         

und es liegt sicher nicht daran, dass die Datei nicht existiert, dass das Programm nicht funktioniert.

lg myrtille

EDIT:
Zattoo solltest du auch nicht löschen, sondern bei virustotal auswerten lassen.
Sagt dir Zattoo wirklich nichts? Hat noch jemand Zugang zu deinem Rechner?

Hi,

also wenn ich das Tool benutze, welches undoreal empfohlen hat und ich

Zitat:

C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe

eingebe, kommt diese Fehlermeldung:



PS: Ich weiss nun was Zattoo ist, ich hatte es damals installiert, sollte es also soweit ich weiß, kein Virus beinhalten.

Gruß
Scotty

Hi,

Zitat:

also wenn ich das Tool benutze, welches undoreal empfohlen hat und ich

Zitat:

eingebe, kommt diese Fehlermeldung.

ich weiß.
Daher sagte ich auch, das Skript sollte wie folgt aussehen:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe
         

lg myrtille

Zitat:

Zitat von myrtille

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe
         

leider selbe fehlermeldung.
Habe allerdings die in der Ordneroption wieder alles als verstecke dateien gemacht, da es ja nicht sichbar war davor, trotzdem findet man Anwendungen (was man vorher nicht gefunden hat, weil's versteckt war) jetzt im Arbeitsplatz C: -> Dokument und Einstellungen...

Dann lösche die Datei
C:\DOKUME~1\GERMAN~1\ANWEND~1\DARTTI~1\chicspam.exe
bitte mit Killbox unter Verwendung der "delete on reboot" Funktion!

Deinstalliere Zattoo bitte über die Systemsteuerung und erstelle danach en frisches iClean log.

Wenn ich Zattoo bei VirusTotal.com prüfe erscheint diese Meldung:

Zitat:

Datei Zattoo1.exe empfangen 2008.05.16 15:31:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.16 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.16 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5296 2008.05.16 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3104 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 Malware Downloader
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 Virus.Win32.FileInfector.gen!80 (suspicious)
weitere Informationen
File size: 13647872 bytes
MD5...: 5b776602fea2b2f12a43bac9db00bff2
SHA1..: 9dfd1d4d3bca93b3efb5fd473de82431e561013e
SHA256: 99c68b4a6a07586a5f5c38d901fc64ad09d78be041ff75245c5d6d93ae93b88c
SHA512: 149685cc4fc9c85bbdf69a3052e908917a0a8405fa61c5ae81d191ca3e89c82c
b8cd88f97f276a1d96e64bf9b1168d5fa6ef542c0d9b781fb0b8a2c56eebd6b6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1070000
timedatestamp.....: 0xf (Thu Jan 01 00:00:15 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.datacxc 0x1000 0xc2cf4d 0xc2d000 8.00 2e1943c4ea87fe3e8b27563957406e90
.text 0xc2e000 0x30743 0x31000 6.55 d062715bb98a0e3910b84015cd6e74f6
.rdata 0xc5f000 0xd78f 0xe000 4.50 f913db798eb375af8cd4720caa4f0649
.data 0xc6d000 0x2cfc 0x2000 4.02 23db24ccf05a3290ab03d19699dd265b
.textxc 0xc70000 0x5 0x1000 0.02 d451e269559a3ef132a47bbe430e52f1
.idata 0xc71000 0xbac 0x1000 4.07 b3d48b0ee26d7d3cd54c33f9e023f10d
.reloc 0xc72000 0x35c4 0x4000 6.13 7ede020bd67bba718bd5bb0aa034bc0d
.rsrc 0xc76000 0x8eeca 0x8f000 2.73 02eea5dbe61e3f9b2cfcf766dfedad62

( 4 imports )
> KERNEL32.dll: InitializeCriticalSection, GetSystemWindowsDirectoryW, lstrcmpiW, FindResourceW, lstrlenW, SizeofResource, LockResource, LoadResource, FindResourceExW, GetModuleHandleW, FormatMessageW, ExitProcess, DeleteCriticalSection, RaiseException, InterlockedIncrement, InterlockedDecrement, GetModuleHandleA, GetProcAddress, VirtualProtect, FlushInstructionCache, GetCurrentProcess, OutputDebugStringW, SetLastError, MultiByteToWideChar, GetStdHandle, SystemTimeToFileTime, GetVersionExW, GetModuleFileNameW, GetTempPathW, GetFileAttributesExW, CreateFileW, WriteFile, CloseHandle, EnterCriticalSection, VirtualAlloc, SetProcessWorkingSetSize, VirtualFree, WideCharToMultiByte, lstrcmpA, LeaveCriticalSection, GetLastError, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentThreadId, GetCommandLineA, RtlUnwind, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCPInfo, GetOEMCP, Sleep, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapCreate, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, VirtualQuery
> USER32.dll: MessageBoxW, UnregisterClassA, wvsprintfW, wvsprintfA, CharLowerBuffW
> ADVAPI32.dll: RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance

( 0 exports )
Prevx info: ZATTOO1.EXE - Prevx
packers (Kaspersky): PE_Patch

Zitat:

Datei Zattoo.exe empfangen 2008.05.15 19:10:31 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.15 Malicious Software
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
weitere Informationen
File size: 1617920 bytes
MD5...: 2ba7d514508cf71aa608b4a847c98676
SHA1..: 5c84a153e96e8186c7fddbd1317a8398f2bd4124
SHA256: ced2a2785d620579fab782a72f55912cb583a82a0c092e894867b732755a2198
SHA512: 600ede9eb0d7a3ca220cf9d9bb13a7345f47995af196ba44d0e5024ebac8b6b5
d2a0dfd4a07200639401d74e7b0adbd6049b8bb286d66368f72eb8670907e17c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4f9a9a
timedatestamp.....: 0x16 (Thu Jan 01 00:00:22 1970)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.textxc 0x2000 0xf7aa0 0xf8000 4.71 c6a62a72cc297862651ee36674627332
.datax 0xfa000 0x18 0x1000 0.04 971c88052a5883f2b9a70178186ddf2a
.idata 0xfc000 0x56 0x1000 0.11 12760a0ddef623b6b2c986f476e59360
.reloc 0xfe000 0xc 0x1000 0.02 2ec45eae0a76c88a126fda35fff2764f
.rsrc 0x100000 0x8e958 0x8f000 2.70 2337362864b43782d9b36ef1e322cd2d

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )
Prevx info: ZATTOO2.EXE - Prevx