|
so nun erstmal die silentrunner files zu1) "Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS] "Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."] "SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found] zu2) "Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS] "Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."] "SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ "AppInit_DLLs" = (value not set) HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoControlPanel" = (REG_DWORD) hex:0x00000001 {unrecognized setting} "NoWindowsUpdate" = (REG_DWORD) hex:0x00000001 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove links and access to Windows Update} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "DisableTaskMgr" = (REG_DWORD) hex:0x00000001 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Nicole" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "Speedport W 100 Stick WLAN Manager" -> shortcut to: "C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe" ["TECOM"] Enabled Scheduled Tasks: ------------------------ "Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Q" (unwritable string) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HOSTS file ---------- C:\WINDOWS\System32\drivers\etc\HOSTS maps: 102 domain names to IP addresses, 102 of the IP addresses are *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Spyware Doctor Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"] Spyware Doctor Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON Stylus DX5000 Series 32MonitorBE\Driver = "E_FLBBVE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2007-10-15 15:50:05) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 2896 seconds, including 7 seconds for message boxes) |
ich kann machen was ich will ich komme nicht in den abgesicherten modus F8, F5, oder im taskmanger systemprozesse beenden, kein abgesicherter modus hilfe!!! |
Abgesicherter Modus, wenn F8 nicht funktioniert: Start - Ausführen - msconfig - BOOT.INI - Hacken vor "/SAFEBOOT" Nach dieser Eintragung startet der PC im abgesicherten Modus, bis der Hacken wieder entfernt wird. |
der escan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.4.7 Sprache: German Virus-Datenbank Datum: 10/15/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.mg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\System32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\avenger\backup.zip/avenger/printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Nicole\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Nicole\Eigene Dateien\jawaline\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062835.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062836.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062837.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062843.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063854.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063868.dll markiert als "not-virus:Hoax.Win32.Renos.lq". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065856.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065857.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065862.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065863.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065988.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065990.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065991.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0066000.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\System32\process.exe Offending file found: C:\WINDOWS\System32\swreg.exe Offending file found: C:\WINDOWS\System32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in D\Shell\AutoRun\command: D:\AUTORUN\AUTORUN.EXE ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 93024 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 10 Dauer des Scans bisher: 01:49:19 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:58:28,76 Batchende: 22:58:35,75 |
Hi, wir operieren jetzt am offenen Herz, daher auf eigenes Risiko! SafeMode: Entweder wie vorgeschlagen oder wie folgt reparieren: Downloade SafeMode Repair.zip http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899 entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf. Avenger http://filepony.de/download-the_avenger/ Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten! (Wenn das nicht geht, müssen wir die Killbox nehmen!) HostFile gerade biegen: (Er leitet alle Anfragen an Antivirus-Internetseiten einschließlich virustotal etc. um)! Wenn das Internet nicht mehr funktioniert, musst Du Deinen Provider per Hand eventuelle einrichten, sichere daher das HostFile komplett (zu finden unter:C:\WINDOWS\system32\drivers\etc\hosts) vielleicht kann ich daraus die richtigen Einstellungen extrahieren) Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Neu booten und neuer Escan sowie HJ-Log posten; Zusaetzlich bitte noch Cureit nutzen Anleitung: Anleitung: DrWeb - CureIt - Anleitung Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Wenn nichts mehr gefunden wurde ausser in den _restore-Verzeichnissen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen lassen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris |
danke für die anwort. leider hab ich heute über tag keine zeit für meinen pc. bist du morgen da, oder hilft mir jemand anders weiter? danke |
Keiner merkt es:teufel1: Seht ihr das hier nicht Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:52:08, on 14.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Sp1 nicht geupdatetes System:o Erstmal das System auf den neuesten Stand bringen :dummguck: |
@Trojanerade Jo, nutz nur im Augenblick nichts... Falls alles wieder läuft oder der Rechner neu aufgesetzt werden muß, dann kann man Sp2, IE7, Firefox, Java etc. aufspielen... Chris |
eine frage, ich weiß das "es" noch auf dem pc ist, aber kann man irgendwie festellen, ob der keylogger noch aktiv istß |
Hmm, schwierig, wenn Rootkits verwendet werden dann ist es fast unmöglich festzustellen ob sie laufen. TCPView von Sysinternals listet alle Verbindungen eines Rechners auf (http://www.pcfreunde.de/download/detail-5201/tcpview.html) ... Oder Security-Taksmanager verwenden... Gruß, Chris |
steh ein wenig auf dem schlauch, sorry die beiden eingefügten absätze brauch nich nochmal für nicht eingeweihte.... sorry für die mehrarbeit ***************** HostFile gerade biegen: (Er leitet alle Anfragen an Antivirus-Internetseiten einschließlich virustotal etc. um)! Wenn das Internet nicht mehr funktioniert, musst Du Deinen Provider per Hand eventuelle einrichten, sichere daher das HostFile komplett (zu finden unter:C:\WINDOWS\system32\drivers\etc\hosts) vielleicht kann ich daraus die richtigen Einstellungen extrahieren) Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ********** Wenn nichts mehr gefunden wurde ausser in den _restore-Verzeichnissen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen lassen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: *********** |
Hi, der Trojaner hat Deine Hosts-Datei manipuliert: ... C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com ... Die Datei gibt die Zuordnung von IP-Adressen zu Hostnamen an. Wenn Du nun versuchst z. B. (wie schon probiert) auf VirusTotal - Free Online Virus and Malware Scan zu gehen, dann hat er als IP Deine eigene angegeben, d.h. diese Abfrage kommt so zusagen nie im Internet an, verlässt nie Deinen Rechner. Und das hat er für eine ganze Reihe von Webadressen gemacht... Das Programm was Du runterladen & ausführen sollst, versucht den Originalzustand wieder herzustellen (in dem es eine Sicherung einspielt). Das sollte eigentlich funktionieren. Damit hast Du wieder den kompletten Zugriff auf das Internet... Windows legt Sicherheitskopien über die Systemwiederherstellung von allen (wichtigen) Treibern etc. an (automatisch). Wenn sich nun ein Trojaner/Virus als Treiber registriert, dann wird er mitgesichert. Falls Du gezwungen bist eine Systemwiederherstellung vorzunehmen ("Letzte bekannte funktionierende Version"), dann ist er automatisch wieder da. Laut escann ist genau das passiert, er ist bereits in der Systemwiederherstellung verankert (erkennbar an dem Pfad: "C:\System Volume Information\_restore"). Daher muß die Systemwiederherstellung ausgeschaltet werden (dabei werden alle Backups gelöscht), und nach erfolgreicher Bereinigung wieder eingeschaltet werden. Das birgt ein gewisses Risiko (falls der Rechner in der Zwischenzeit nicht mehr will, lässt sich kein Stand mehr herstellen (wenn der auch wieder den Trojaner hat). Was mir aufgefallen ist, der Trojaner war nach Löschung durch Avenger gleich wieder da... d.h. er kommt entweder gleich wieder über das Internet auf Dein ungepachtes System (SP1 hat soviele Sicherheitslücken, da merkst Du nichts wenn sich einer Zugriff auf Deinen Rechner verschafft), oder es hängt noch was nicht sichtbares im Hintergurnd. Du solltest möglichst Offline Deinen Rechner auf SP2 updaten und eine Firewall (z. B. ZoneAlarm) etc. installieren..., sonst treiben wir das Spiel bis zum Sankt-Nimmerleinstag... chris |
danke, für die erklärung aber ich habe bei den beiden kopieren absetzten die vorgehensweise nicht ganz verstanden |
Hast du die Files ganz am Anfang bei VT hochgeladen? Chris, warum sagst du gleich löschen??? Wir wissen ja nicht was es ist, wenn es (worst-case) Backdoor mit Keylogger usw. ist muss man sich damit nicht weiter rumquälen:headbang: Außerdem ist nur SP1 drauf, da wäre sowieso das ratsamste neu aufzusetzen, weils schon lang nicht mehr aktuell ist. |
so, bitte jetzt nochmal ganz langsam, für verwirrte, gestresste und ohne pc arbeitslose bis zum 2. mal avenger hab ich alles getan über msconfig bin ich im safeboot ich habe norton, cureit, spydoc, dr web, nochmal durchlaufen lassen außer 2-3 tracern wurde nix gefunden. der cureit meldete 2 hacktools, diese befinden sich allerdings in der datei in der ich die hier "verordneten" downloads habe es stimmt, auf die internet seiten, auf denen es virentools gib komme ich nicht. Bemerkung am Rande: kaffeepads24 geht auch nicht, wohl wegen wegen mcaffee :) nun zu sp1 ie6 etc. ich weiß genau auf welcher internetseite ich mir den trojaner eingefangen habe. und noch eine information: morgen oder übermorgen bekomme ich eine norton vollversion auf cd kann mir die noch irgendwie helfen? und noch eine frage wie verändrt es die chancen, wenn man einen 2 pc anschließt und von da scannt? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board