Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hosts Datei befallen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.09.2008, 08:53   #1
muhkuh
 
Hosts Datei befallen? - Standard

Hosts Datei befallen?



Ach, ich schon wieder

Diesmal gehts um meinen privaten Rechner. Das alles ist passiert, nachdem ich auf SP3 für XP upgedatet hab. Mein Avast zeigte mir folgendes an:



Nach ein wenig herumgooglen musste ich feststellen, dass meine Hosts-Datei anders aussieht, als die Beispiel-Hosts Dateien, die ich fand und die mir von ordentlich laufenden Rechnern gezeigt wurden. Automatische WindowsUpdates gehen auch nicht mehr. Ich kann einen Screenshot meiner Hosts gerne anfügen, falls erwünscht. (inwiefern das wegen der ip's "veröffentlichungswürdig" ist weiß ich nicht).

HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:46:24, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\MCECardBusTV.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\smvhost.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Progz\RocketDock\RocketDock.exe
C:\WINDOWS\eHome\ehmsas.exe
D:\Progz\Lotus\org6\organize\EASYCLIP6.EXE
C:\Programme\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\4WomenOnly\4WomenOnly.exe
C:\Programme\4WomenOnly\4WomenOnly.exe
D:\Progz\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - D:\Progz\Lotus\org6\organize\iehelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [MCECardBusTV] C:\WINDOWS\system32\MCECardBusTV.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Advanced Graphics Driver] smvhost.exe
O4 - HKLM\..\Run: [4WomenOnly] C:\Programme\4WomenOnly\4WomenOnly.exe
O4 - HKLM\..\RunServices: [Advanced Graphics Driver] smvhost.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "D:\Progz\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - D:\Progz\Lotus\org6\organize\bandobjs.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1162419976896
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa...pload_1141.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{24CAF825-90FB-4362-BF03-764BE72AF743}: NameServer = 213.191.74.19,213.191.92.87
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDE5338D-8350-4C62-B9D7-BB79B2305677}: NameServer = 213.191.92.87 62.109.123.6
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - D:\Progz\Nero Burning Rom\Neu\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8132 bytes

Den Malwarebytes Log reiche ich gerne nach, das Scannen wird noch ein Weilchen dauern

Was hab ich mir eingefangen? Und wieso war es so klar, dass es - wenns kommt - gleich überall passiert? ^^

Ich danke euch schon mal für eure Hilfe <3

edit: ich wurde jetzt schon mehrfach wegen Avast von Leuten angefahren, gibts ein Antivirenprogramm, das sich besser eignet? Ist Antivir mittlerweile gut genug?

editedit: ich wundere mich grade, dass HJT anzeigt, ich hätte "nur" SP2 installiert, dabei hab ich doch SP3? oO

Geändert von muhkuh (20.09.2008 um 09:28 Uhr)

Alt 20.09.2008, 09:52   #2
muhkuh
 
Hosts Datei befallen? - Standard

Hosts Datei befallen?



HIer der Malwarebytes log vor dem Reboot:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1180
Windows 5.1.2600 Service Pack 2

20.09.2008 10:52:18
mbam-log-2008-09-20 (10-52-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 135987
Laufzeit: 58 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\iehlprobj.iehlprobj.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{ce7c3ce2-4b15-11d1-abed-709549c10000} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ce7c3cef-4b15-11d1-abed-709549c10000} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ce7c3cf0-4b15-11d1-abed-709549c10000} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ce7c3cf0-4b15-11d1-abed-709549c10000} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced Graphics Driver (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Progz\Lotus\org6\organize\iehelper.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smvhost.exe (Backdoor.Bot) -> Delete on reboot.

edit: ich glaub ich mach meinen rechner einfach platt -.-
__________________


Antwort

Themen zu Hosts Datei befallen?
acer, adobe, antivirus, avast, avast!, bho, dateien, einstellungen, excel, explorer, hkus\s-1-5-18, hosts-datei, internet, internet explorer, log, malwarebytes, micro, microsoft, notebook, opera, pdf, programme, rundll, software, suche, system, tuneup.defrag, windows xp



Ähnliche Themen: Hosts Datei befallen?


  1. neuer rechner mit - swapfile.sys - befallen - avira zeigt diese Datei als Bedrohung.
    Log-Analyse und Auswertung - 05.05.2014 (1)
  2. Bitdefender meldet Virus; Datei nicht auffindbar; Falschmeldung oder befallen?
    Plagegeister aller Art und deren Bekämpfung - 23.04.2014 (5)
  3. DealPly / Infiziert durch Bundle-Software / Über 1000 Einträge in der Hosts Datei / Arbeitsspeicher füllt sich
    Log-Analyse und Auswertung - 24.12.2013 (14)
  4. Trojan Agent AZYH Outlook.PST Datei befallen G Data Antivirus Fund
    Plagegeister aller Art und deren Bekämpfung - 31.07.2013 (7)
  5. Hosts Datei Veränderung durch Antivir geblockt
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (8)
  6. TR/RogueericKD.932997 in zip Datei befallen?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (3)
  7. Microsoft-Virenscanner ändern HOSTS-Datei eigenständig
    Nachrichten - 20.08.2012 (0)
  8. WinXP Host Datei befallen // Antivir startet nicht // viele unbekannte Prozesse
    Log-Analyse und Auswertung - 29.09.2011 (5)
  9. HILFE! WISO Mein Geld meldet kritische Veränderungen in der Datei "Hosts" !!! Was tun?!?
    Log-Analyse und Auswertung - 25.03.2011 (1)
  10. system tools virus und hosts-datei frage
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (2)
  11. EXE Datei von Trojaner befallen
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)
  12. Firefox und die hosts Datei unter Windows XP
    Alles rund um Windows - 16.01.2010 (8)
  13. Steam Datei befallen? Was tun?
    Plagegeister aller Art und deren Bekämpfung - 28.05.2009 (0)
  14. spybot 1.52 schreibt in hosts datei!
    Antiviren-, Firewall- und andere Schutzprogramme - 28.04.2008 (3)
  15. Hosts Datei in windows/system32/drivers
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (3)
  16. Hosts Datei
    Log-Analyse und Auswertung - 22.11.2005 (1)
  17. ad-destroyer, popups, hosts datei?
    Plagegeister aller Art und deren Bekämpfung - 09.12.2004 (3)

Zum Thema Hosts Datei befallen? - Ach, ich schon wieder Diesmal gehts um meinen privaten Rechner. Das alles ist passiert, nachdem ich auf SP3 für XP upgedatet hab. Mein Avast zeigte mir folgendes an: Nach ein - Hosts Datei befallen?...
Archiv
Du betrachtest: Hosts Datei befallen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.