Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Plage in C:\WINXP\system32\drivers\etc\hosts

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.12.2009, 11:15   #1
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Hallo Gemeinde

werde einen Trojaner nicht los . Hijack + Spybot erkennen Ihn , entfernen
aber nicht dauerhaft . Die Hosts.txt habe ich editiert und alles außer lokalhost gelöscht. siehe logfile Q1
Nach hijack fix ist Q1 wieder da

Hat jemand einen Lösung

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:47, on 05.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Razer\Krait\razerhid.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\GIGABYTE\GEST\GEST.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Razer\Krait\razerofa.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe ykda.sxo ukqbtms
O1 - Hosts: 74.125.45.100 4-open-davinci.com
O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 - Hosts: 74.125.45.100 privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getavplusnow.com
O1 - Hosts: 74.125.45.100 safebrowsing-cache.google.com
O1 - Hosts: 74.125.45.100 urs.microsoft.com
O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com
O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com
O1 - Hosts: 74.125.45.100 paysoftbillsolution.com
O1 - Hosts: 74.125.45.100 protected.maxisoftwaremart.com
O1 - Hosts: 89.248.168.187 google.ae
O1 - Hosts: 89.248.168.187 google.as
O1 - Hosts: 89.248.168.187 google.at
O1 - Hosts: 89.248.168.187 google.az
O1 - Hosts: 89.248.168.187 google.ba
O1 - Hosts: 89.248.168.187 google.be
O1 - Hosts: 89.248.168.187 google.bg
O1 - Hosts: 89.248.168.187 google.bs
O1 - Hosts: 89.248.168.187 google.ca
O1 - Hosts: 89.248.168.187 google.cd
O1 - Hosts: 89.248.168.187 google.com.gh
O1 - Hosts: 89.248.168.187 google.com.hk
O1 - Hosts: 89.248.168.187 google.com.jm
O1 - Hosts: 89.248.168.187 google.com.mx
O1 - Hosts: 89.248.168.187 google.com.my
O1 - Hosts: 89.248.168.187 google.com.na
O1 - Hosts: 89.248.168.187 google.com.nf
O1 - Hosts: 89.248.168.187 google.com.ng
O1 - Hosts: 89.248.168.187 google.ch
O1 - Hosts: 89.248.168.187 google.com.np
O1 - Hosts: 89.248.168.187 google.com.pr
O1 - Hosts: 89.248.168.187 google.com.qa
O1 - Hosts: 89.248.168.187 google.com.sg
O1 - Hosts: 89.248.168.187 google.com.tj
O1 - Hosts: 89.248.168.187 google.com.tw
O1 - Hosts: 89.248.168.187 google.dj
O1 - Hosts: 89.248.168.187 google.de
O1 - Hosts: 89.248.168.187 google.dk
O1 - Hosts: 89.248.168.187 google.dm
O1 - Hosts: 89.248.168.187 google.ee
O1 - Hosts: 89.248.168.187 google.fi
O1 - Hosts: 89.248.168.187 google.fm
O1 - Hosts: 89.248.168.187 google.fr
O1 - Hosts: 89.248.168.187 google.ge
O1 - Hosts: 89.248.168.187 google.gg
O1 - Hosts: 89.248.168.187 google.gm
O1 - Hosts: 89.248.168.187 google.gr
O1 - Hosts: 89.248.168.187 google.ht
O1 - Hosts: 89.248.168.187 google.ie
O1 - Hosts: 89.248.168.187 google.im
O1 - Hosts: 89.248.168.187 google.in
O1 - Hosts: 89.248.168.187 google.it
O1 - Hosts: 89.248.168.187 google.ki
O1 - Hosts: 89.248.168.187 google.la
O1 - Hosts: 89.248.168.187 google.li
O1 - Hosts: 89.248.168.187 google.lv
O1 - Hosts: 89.248.168.187 google.ma
O1 - Hosts: 89.248.168.187 google.ms
O1 - Hosts: 89.248.168.187 google.mu
O1 - Hosts: 89.248.168.187 google.mw
O1 - Hosts: 89.248.168.187 google.nl
O1 - Hosts: 89.248.168.187 google.no
O1 - Hosts: 89.248.168.187 google.nr
O1 - Hosts: 89.248.168.187 google.nu
O1 - Hosts: 89.248.168.187 google.pl
O1 - Hosts: 89.248.168.187 google.pn
O1 - Hosts: 89.248.168.187 google.pt
O1 - Hosts: 89.248.168.187 google.ro
O1 - Hosts: 89.248.168.187 google.ru
O1 - Hosts: 89.248.168.187 google.rw
O1 - Hosts: 89.248.168.187 google.sc
O1 - Hosts: 89.248.168.187 google.se
O1 - Hosts: 89.248.168.187 google.sh
O1 - Hosts: 89.248.168.187 google.si
O1 - Hosts: 89.248.168.187 google.sm
O1 - Hosts: 89.248.168.187 google.sn
O1 - Hosts: 89.248.168.187 google.st
O1 - Hosts: 89.248.168.187 google.tl
O1 - Hosts: 89.248.168.187 google.tm
O1 - Hosts: 89.248.168.187 google.tt
O1 - Hosts: 89.248.168.187 google.us
O1 - Hosts: 89.248.168.187 google.vu
O1 - Hosts: 89.248.168.187 google.ws
O1 - Hosts: 89.248.168.187 google.co.ck
O1 - Hosts: 89.248.168.187 google.co.id
O1 - Hosts: 89.248.168.187 google.co.il
O1 - Hosts: 89.248.168.187 google.co.in
O1 - Hosts: 89.248.168.187 google.co.jp
O1 - Hosts: 89.248.168.187 google.co.kr
O1 - Hosts: 89.248.168.187 google.co.ls
O1 - Hosts: 89.248.168.187 google.co.ma
O1 - Hosts: 89.248.168.187 google.co.nz
O1 - Hosts: 89.248.168.187 google.co.tz
O1 - Hosts: 89.248.168.187 google.co.ug
O1 - Hosts: 89.248.168.187 google.co.uk
O1 - Hosts: 89.248.168.187 google.co.za
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 10756 bytes

Alt 05.12.2009, 14:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 05.12.2009, 14:51   #3
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Erstmal Danke für deine Hilfe. Log Dateien sind geladen.

http://www.file-upload.net/download-2058382/Log-Dateien.rar.html
__________________

Alt 05.12.2009, 14:59   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:
Code:
ATTFilter
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6ecdb66\WS6ecd.exe
C:\Dokumente und Einstellungen\Mattes\.COMMgr\complmgr.exe
         
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.12.2009, 15:17   #5
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



http://www.virustotal.com/de/analisi...1b9-1259789437

http://www.virustotal.com/de/analisi...5d3-1259782059

Das sind die Links, beide Dateien noch vorhanden


http://www.file-upload.net/download-...t--2-.txt.html


Geändert von Kati86 (05.12.2009 um 15:26 Uhr)

Alt 05.12.2009, 15:33   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Lade beide Dateien bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Danach bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\COM+ Manager

registry values to delete:
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list |  C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6ecdb66\WS6ecd.exe

folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6ecdb66
C:\Dokumente und Einstellungen\Mattes\.COMMgr
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
--> Plage in C:\WINXP\system32\drivers\etc\hosts

Alt 05.12.2009, 15:56   #7
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6ecdb66\WS6ecd.exe" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6ecdb66" deleted successfully.
Folder "C:\Dokumente und Einstellungen\Mattes\.COMMgr" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\COM+ Manager" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 06.12.2009, 19:02   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Bitte nun Combofix anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.12.2009, 13:54   #9
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Hallo Arne

werde ich Mittwoch ausführen .da z Zt beruflich unterwegs.
Werde mich wieder melden
MfG Kati

Alt 07.12.2009, 16:53   #10
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Zum Glück gibt den Teamviewer .
Habe die cofi_log.txt erstellt

File-Upload.net - cofi.txt

Alt 07.12.2009, 20:07   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:
Code:
ATTFilter
c:\winxp\DCEBoot.exe
c:\winxp\gdrv.sys
c:\winxp\system32\DRIVERS\TMPassthru.sys
         
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.12.2009, 16:11   #12
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Sorry , hat ein wenig länger gedauert, habe ständigen Firefox Absturz und konnte nicht auf den Rechner zugreifen .Internet Explorer geht noch


http://www.file-upload.net/download-2067427/logDatei-09_12_2009.txt.html

MfG Kati86

Alt 10.12.2009, 09:26   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
c:\winxp\DCEBoot.exe
c:\winxp\gdrv.sys
c:\winxp\system32\DRIVERS\TMPassthru.sys
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.12.2009, 13:43   #14
Kati86
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Hallo Cosinus

Ich bewundere Deine Einsatz und Nervenstärke in Deiner Freizeit unterbelichteten Usern wie mir zu helfen und das noch so langeund zeitaufwendig.
Leider habe ich keine Hemmungen mein nächstes log zu posten.
LG Kati86


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\winxp\DCEBoot.exe" deleted successfully.
File "c:\winxp\gdrv.sys" deleted successfully.

Error: file "c:\winxp\system32\DRIVERS\TMPassthru.sys" not found!
Deletion of file "c:\winxp\system32\DRIVERS\TMPassthru.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Alt 10.12.2009, 14:27   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Plage in C:\WINXP\system32\drivers\etc\hosts - Standard

Plage in C:\WINXP\system32\drivers\etc\hosts



Wie ist es nun um Deinen Rechner bestellt bzgl. dem Ursprungsproblem?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Plage in C:\WINXP\system32\drivers\etc\hosts
adobe, antivir, avg, avira, bho, control center, desktop, dll, excel, explorer, gigabyte, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logfile, malwarebytes' anti-malware, nvidia, object, programme, rundll, software, system, trojaner, windows, windows xp, wlan



Ähnliche Themen: Plage in C:\WINXP\system32\drivers\etc\hosts


  1. C:\Windows\System32\Drivers\spxi.sys
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (2)
  2. Hijackthis erkennt ein problem in C:\Windows\System32\drivers\etc\hosts .
    Log-Analyse und Auswertung - 16.01.2011 (1)
  3. TR/Rootkit.Gen in C:\Windows\System32\drivers\ghldywj.sys
    Plagegeister aller Art und deren Bekämpfung - 25.12.2010 (9)
  4. Trojan.Dropper in ...System32/autorun/Drivers/...
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (4)
  5. TR/Rootkit.GEN in system32/drivers/cygigsb.sys
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (28)
  6. TR/Crypt.ZPACK.Gen - in system32/drivers
    Plagegeister aller Art und deren Bekämpfung - 23.06.2010 (3)
  7. Rootkit.Agent../System32/Drivers/
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (46)
  8. TR/Agent.ruo in C:\WINDOWS\system32\drivers\ntnvf.sys
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (8)
  9. .ruo.4 in \\system32\d3dsdmd.dll & .ruo.6 in \\drivers\wineue.sys
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (2)
  10. svchost.exe in system32/drivers, Virusproblem?
    Plagegeister aller Art und deren Bekämpfung - 01.02.2010 (2)
  11. Dropper.gen in system32/drivers/ip6fw.sys | eingefangen!!
    Plagegeister aller Art und deren Bekämpfung - 08.12.2009 (25)
  12. TR/AntiHosts.Gen in C:\WINDOWS\system32\drivers\etc\hosts
    Plagegeister aller Art und deren Bekämpfung - 12.09.2009 (15)
  13. c:\winnt\system32\drivers\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (2)
  14. c:\winnt\system32\drivers\svchost.exe
    Mülltonne - 17.09.2008 (0)
  15. Problem mit "C:\WINDOWS\system32\drivers\etc\hosts"
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (5)
  16. Hosts Datei in windows/system32/drivers
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (3)
  17. System32\Drivers\Ntfs.sys
    Alles rund um Windows - 25.11.2004 (2)

Zum Thema Plage in C:\WINXP\system32\drivers\etc\hosts - Hallo Gemeinde werde einen Trojaner nicht los . Hijack + Spybot erkennen Ihn , entfernen aber nicht dauerhaft . Die Hosts.txt habe ich editiert und alles außer lokalhost gelöscht. siehe - Plage in C:\WINXP\system32\drivers\etc\hosts...
Archiv
Du betrachtest: Plage in C:\WINXP\system32\drivers\etc\hosts auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.