Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   winupd.exe und wintime.exe von Hijacker befallen (https://www.trojaner-board.de/1828-winupd-exe-wintime-exe-hijacker-befallen.html)

tuckminister 31.05.2004 18:26
Hallo,

ich habe mir dummerweise einen Webseiten- Hijacker eingefangen und zwar mit der nicht wegzubekommenden Startseite http://213.159.117.132/index.php in meinem Internetexplorer.

Die Logfile von Hijack This und ein Virusscanning bei Kaspersky ergab, dass zwei Dateien wie folgt verseucht sind:

-> winupd.exe infiziert: TrojanSpy.Win32.Banker.af

-> wintime.exe infiziert: TrojanDropper.Win32.Small.hh

Die Ursache müsste ich somit haben. Nun meine Frage: Wie bekomme ich die beiden Dateien am Besten wieder "sauber"? Bin leider in solchen technischen Fragen nicht sonderlich bewandert und will mich an dieser Stelle schonmal für eine mögliche Hilfe bedanken.

Schöne Woche,
tuckminister

Who Cares 31.05.2004 18:55
Hi,

die Dateien kannst & musst du nicht sauber bekommen, da sie nur den bösen Trojaner enthalten..
-> Einfach löschen, ggfs. im abgesicherten Modus (F8-Boot)

und dies mal abarbeiten:
http://www.trojaner-info.de/hijacker/index.shtml

-> Schon Ad-Aware, SPYBOT & CWSHREDDER probiert ?

tuckminister 31.05.2004 19:47
Danke erstmal für deine Antwort. Habe die genannten Programme alle erfolglos ausprobiert. Es scheinen auch noch ein paar Dateien mehr befallen zu sein. Aber Anhand des Datums und der Uhrzeit kann man die ganz gut ausfindig machen, hoffe ich.

tuckminister 01.06.2004 10:18
So, ich hab nun alle gefundenen infizierten Anwendungdateien (4 * mtask[Zahl].exe und system.exe) gelöscht, bin den Trojaner aber immer noch nicht los.

Hier der Inhalt meines aktuellen HijackThis- Logs:

"Logfile of HijackThis v1.97.7
Scan saved at 11:12:13, on 01.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net"

Vielleicht weiß noch jemand einen Rat!?

MfG,
tuckminister

tuckminister 01.06.2004 19:51
*schieb*

Lutz 01.06.2004 20:10
Eine wirkliche Lösung habe ich noch nicht...
Lade dir hier bitte mal das pv.zip herunter. Anschließend entpacke es in einen eigenen Ordner. Anschließend starte runme9x.bat und dann die Auswahl 1 (ExplorerDLLs). Die erstellte Log-Datei poste bitte hier. Vielleicht sehen wir dann mehr...

tuckminister 02.06.2004 09:34
Danke erstmal. Hier ist die erstellte Logdatei des Programms:

" Module information for 'EXPLORER.EXE'
MODULE BASE SIZE PATH
WFSHELEX.DLL 7380000 81920 C:\PROGRAMME\NORTON UTILITIES\WFSHELEX.DLL 15.0.0.20 Norton Shared Component
ARCEXT.DLL 39f0000 204800 C:\PROGRAMME\WINACE\ARCEXT.DLL 2.5.0.1 WinAce-Archiver Shell Extension
ACEV2.DLL 3a30000 897024 C:\PROGRAMME\WINACE\ACEV2.DLL 2.5.0.0 WinAce ACE Dynamic Link Library
MSRATING.DLL 784a0000 176128 C:\WINDOWS\SYSTEM\MSRATING.DLL 5.50.4134.100 Bibliothekdatei für Internetfilter und Verwaltung lokaler Benutzer
IEPEERS.DLL 7b710000 245760 C:\WINDOWS\SYSTEM\IEPEERS.DLL 5.50.4134.100 Internet Explorer Peer-Objekte
DOCPROP2.DLL 7cb10000 331776 C:\WINDOWS\SYSTEM\DOCPROP2.DLL 5.00.2136.1 DocProp2
AVIFIL32.DLL 7e410000 98304 C:\WINDOWS\SYSTEM\AVIFIL32.DLL 4.90.3000 Microsoft Bibliothek zur Unterstützung von AVI-Dateien
MSACM32.DLL 79e90000 102400 C:\WINDOWS\SYSTEM\MSACM32.DLL 4.90.3000 Microsoft Audiokomprimierungs-Manager
CRTDLL.DLL 7fb20000 180224 C:\WINDOWS\SYSTEM\CRTDLL.DLL 3.50 Microsoft C Runtime Library
MSVFW32.DLL 77b70000 147456 C:\WINDOWS\SYSTEM\MSVFW32.DLL 4.90.3000 Microsoft Video für Windows-DLL
WOW32.DLL bfdc0000 20480 C:\WINDOWS\SYSTEM\WOW32.DLL 4.90.3000 Win32 WOW32 core component
DCIMAN32.DLL 7d130000 24576 C:\WINDOWS\SYSTEM\DCIMAN32.DLL 4.90.3000 DCI Manager 1.00
MSHTMLED.DLL 796f0000 417792 C:\WINDOWS\SYSTEM\MSHTMLED.DLL 5.50.4134.100 Microsoft (R) HTML Editing Component
MSLS31.DLL 78d00000 163840 C:\WINDOWS\SYSTEM\MSLS31.DLL 3.10.337.0 Microsoft Line Services library file
JSCRIPT.DLL 7aca0000 552960 C:\WINDOWS\SYSTEM\JSCRIPT.DLL 5.5.0.5207 Microsoft (r) JScript
IMM32.DLL bfe00000 16384 C:\WINDOWS\SYSTEM\IMM32.DLL 4.90.3000 Win32 IMM32 core component
MSHTML.DLL 7f380000 2756608 C:\WINDOWS\SYSTEM\MSHTML.DLL 5.50.4134.100 Microsoft (R) HTML Viewer
RNR20.DLL 76330000 57344 C:\WINDOWS\SYSTEM\RNR20.DLL 4.90.3000 Windows Socket2 NameSpace DLL
MSAFD.DLL 79c60000 40960 C:\WINDOWS\SYSTEM\MSAFD.DLL 4.90.3000 Microsoft Windows Sockets 2.0 Dienstanbieter
MLANG.DLL 7a510000 557056 C:\WINDOWS\SYSTEM\MLANG.DLL 5.50.4134.100 Multi Language Support DLL
XX2GR.DLL 23b0000 253952 C:\PROGRAMME\GETRIGHT\XX2GR.DLL 4.5d IE/NS Click Monitoring for GetRight. www.getright.com
WINSPOOL.DRV 7fe40000 36864 C:\WINDOWS\SYSTEM\WINSPOOL.DRV 4.90.3000 Win32 WINSPOOL core component
WINMM.DLL bfdd0000 65536 C:\WINDOWS\SYSTEM\WINMM.DLL 4.90.3000 System APIs for Multimedia
URLMON.DLL 74d40000 466944 C:\WINDOWS\SYSTEM\URLMON.DLL 5.50.4134.100 OLE32-Erweiterung für Win32
VERSION.DLL bfe50000 24576 C:\WINDOWS\SYSTEM\VERSION.DLL 4.90.3000 Win32 VERSION core component
ACROIEHELPER.DLL 1e30000 45056 C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL 6.0.0.2003051500 Adobe Acrobat IE Helper Version 6.0 for ActivieX
MYDOCS.DLL 77810000 81920 C:\WINDOWS\SYSTEM\MYDOCS.DLL 5.50.4134.100 Benutzeroberfläche des Verzeichnisses "Eigene Dateien"
BROWSELC.DLL 7e0a0000 49152 C:\WINDOWS\SYSTEM\BROWSELC.DLL 5.50.4134.100 Shell Browser UI-Bbibliothek
WININET.DLL 73db0000 495616 C:\WINDOWS\SYSTEM\WININET.DLL 5.50.4134.100 Interneterweiterungen für Win32
SHDOCLC.DLL 75cc0000 417792 C:\WINDOWS\SYSTEM\SHDOCLC.DLL 5.50.4134.100 Bibliothek für Shell-Dokumente und -Steuerelemente
IDLEPROC.DLL 67f00000 28672 C:\PROGRAMME\AOL 8.0\IDLEPROC.DLL 8.00.000 IDLEPROC DLL
WSOCK32.DLL 73250000 36864 C:\WINDOWS\SYSTEM\WSOCK32.DLL 4.90.3000 BSD Socket API für Windows
MSWSOCK.DLL 77a00000 81920 C:\WINDOWS\SYSTEM\MSWSOCK.DLL 4.90.3000 Microsoft WinSock Extension APIs
WS2_32.DLL 73290000 69632 C:\WINDOWS\SYSTEM\WS2_32.DLL 4.90.3000 Windows Socket 2.0 32-Bit DLL
RASAPI32.DLL 7f780000 258048 C:\WINDOWS\SYSTEM\RASAPI32.DLL 4.90.3000 DFÜ-Netzwerk-DLL
SECUR32.DLL 7f760000 69632 C:\WINDOWS\SYSTEM\SECUR32.DLL 4.90.3000 Microsoft Win32 Security Services (Export Version)
SVRAPI.DLL 7f860000 32768 C:\WINDOWS\SYSTEM\SVRAPI.DLL 4.90.3000 32-bit common Server API library
MSNET32.DLL 7fa30000 77824 C:\WINDOWS\SYSTEM\MSNET32.DLL 4.90.3000 Microsoft 32-Bit Netzwerk-API-Bibliothek
MSPWL32.DLL 7fa70000 40960 C:\WINDOWS\SYSTEM\MSPWL32.DLL 4.90.3000 Password list management library
TAPI32.DLL 7f870000 122880 C:\WINDOWS\SYSTEM\TAPI32.DLL 4.90.3000 Microsoft® Windows(R) Telephony API Client DLL
NETAPI32.DLL 7f8a0000 20480 C:\WINDOWS\SYSTEM\NETAPI32.DLL 4.90.3000 32-bit network API DLL
NETBIOS.DLL 7f730000 32768 C:\WINDOWS\SYSTEM\NETBIOS.DLL
WS2HELP.DLL 73280000 20480 C:\WINDOWS\SYSTEM\WS2HELP.DLL 4.90.3000 Windows Socket 2.0 Helper for Windows 98
ES.DLL 7c2d0000 114688 C:\WINDOWS\SYSTEM\ES.DLL 1998.09.1003.0 COM+ EventSystem Library
SENS.DLL 75e50000 90112 C:\WINDOWS\SYSTEM\SENS.DLL 5.50.4134.100 System Event Notification Service (SENS)
ESTIER2.DLL 7c280000 61440 C:\WINDOWS\SYSTEM\ESTIER2.DLL 1998.09.1003.0 COM+ EventSystem Service Library
ESSHARED.DLL 7c2b0000 65536 C:\WINDOWS\SYSTEM\ESSHARED.DLL 1998.09.1003.0 COM+ EventSystem Shared Utilities
OLEAUT32.DLL 7fe80000 610304 C:\WINDOWS\SYSTEM\OLEAUT32.DLL 2.40.4515
LINKINFO.DLL 7faa0000 36864 C:\WINDOWS\SYSTEM\LINKINFO.DLL 4.90.3000 Windows Volume Tracking
SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
COMDLG32.DLL 7fe00000 212992 C:\WINDOWS\SYSTEM\COMDLG32.DLL 5.50.4134.100 Common Dialog-DLL
AUHOOK.DLL 7f160000 36864 C:\WINDOWS\SYSTEM\AUHOOK.DLL 5.4.1083.9 Microsoft AutoUpdate
WEBCHECK.DLL 740b0000 274432 C:\WINDOWS\SYSTEM\WEBCHECK.DLL 5.50.4134.100 Web Site Monitor
ACTXPRXY.DLL 7f090000 94208 C:\WINDOWS\SYSTEM\ACTXPRXY.DLL 5.50.4134.100 ActiveX Interface Marshaling Library
MSI.DLL cb0000 2015232 C:\WINDOWS\SYSTEM\MSI.DLL 2.0.2600.2 Windows Installer
RPCRT4.DLL 7fab0000 344064 C:\WINDOWS\SYSTEM\RPCRT4.DLL 4.71.3335 Remote Procedure Call DLL
MPR.DLL 7f120000 57344 C:\WINDOWS\SYSTEM\MPR.DLL 4.90.3000 WIN32-DLL für die Netzwerkschnittstelle
BROWSEUI.DLL 7f630000 823296 C:\WINDOWS\SYSTEM\BROWSEUI.DLL 5.50.4134.100 Shell Browser UI-Bibliothek
SHDOCVW.DLL 75ba0000 1150976 C:\WINDOWS\SYSTEM\SHDOCVW.DLL 5.50.4134.100 Bibliothek für Shell-Dokumente und -Steuerelemente
OLE32.DLL 7ff20000 794624 C:\WINDOWS\SYSTEM\OLE32.DLL 4.71.3328 Microsoft OLE for Windows and Windows NT
SHELL32.DLL 7fbd0000 2285568 C:\WINDOWS\SYSTEM\SHELL32.DLL 5.50.4134.100 Windows Shell Common Dll
MSVCRT.DLL 78000000 286720 C:\WINDOWS\SYSTEM\MSVCRT.DLL 6.10.8637.0 Microsoft (R) C Runtime Library
EXPLORER.EXE 400000 225280 C:\WINDOWS\EXPLORER.EXE 5.50.4134.100 Windows Explorer
COMCTL32.DLL bfe80000 581632 C:\WINDOWS\SYSTEM\COMCTL32.DLL 5.81 Common Controls Library
SHLWAPI.DLL 70bd0000 311296 C:\WINDOWS\SYSTEM\SHLWAPI.DLL 5.50.4134.100 Shell Light-weight Utility Library
USER32.DLL bff40000 69632 C:\WINDOWS\SYSTEM\USER32.DLL 4.90.3000 Win32 USER32 core component
GDI32.DLL bff10000 172032 C:\WINDOWS\SYSTEM\GDI32.DLL 4.90.3000 Win32 GDI core component
ADVAPI32.DLL bfe60000 65536 C:\WINDOWS\SYSTEM\ADVAPI32.DLL 4.90.3000 Win32 ADVAPI32 core component
KERNEL32.DLL bff60000 552960 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.90.3000 "

Lutz@Work 02.06.2004 09:53
Ich glaube, ich habe ihn...

</font><blockquote>Zitat:</font><hr /> SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
</font>[/QUOTE]Starte Deinen Rechner im abgesicherten Modus und lösche diese Datei: C:\WINDOWS\SYSTEM32\SYSTEM32.DLL
Anschließend mit HijackThis die bekannten Einträge fixen.

Starte das System im normalen Modus neu...

Es kann sich noch eine system.exe auf Deinem Rechner befinden. Such diese auch einmal, aber bitte noch nicht löschen, sondern zunächst online bei Kaspersky überprüfen. Und teil uns das Prüfergebnis mit.

Der nächste Schritt:
Suche auf Deinem Rechner die Datei HOSTS ohne '.Endung'. Evtl gibt es diese mehrfach. Poste bitte den Inhalt/die Inhalte.

Zum Schluß müssen wir noch die Registry bereinigen. Ich denke aber, dass können wir 'später' machen.

Arbeite diese Schritte bitte einmal ab...

Gruß,
Lutz

tuckminister 02.06.2004 16:51
So, habe die 'system32.dll' gelöscht, die "R-Einträge" bei HijackThis gefixt und nun wieder die von mir gewählte Startseite im IE.

Eine weitere Datei 'system.exe' befindet sich nicht auf der Festplatte.

Dafür fand sich eine Datei 'hosts' ohne Endung auf dem Rechner und zwar im Windows-Verzeichnis. Zum Inhalt hatte diese eine Auflistung von wohl zweifelhaften Links und zwar folgenden:

127.0.0.1 ruworld.com
127.0.0.1 maxxxhosters.com
127.0.0.1 therealsearch.com
127.0.0.1 thumbest-traffic.com
127.0.0.1 600pics.com
127.0.0.1 tonser.4-counter.com
127.0.0.1 free.sinpussy.com
127.0.0.1 hightcalldialer.com
127.0.0.1 bestpornnews.com
127.0.0.1 thumberland.com
127.0.0.1 greg-search.com
127.0.0.1 connect.online-dialer.com
127.0.0.1 0190-dialer.com
127.0.0.1 approvedlinks.com
127.0.0.1 install.xxxtoolbar.com
127.0.0.1 download.buxomatic.com
127.0.0.1 dia.4-counter.com
127.0.0.1 vse-moe.biz
127.0.0.1 crue.global-counter.com
127.0.0.1 line-plus.com
127.0.0.1 porno-links.biz
127.0.0.1 download.tntdialer.com
127.0.0.1 freelivesex.org
127.0.0.1 free3xmatures.com
127.0.0.1 bestpics.net
127.0.0.1 dikai.com
127.0.0.1 world-search.biz
127.0.0.1 1-se.com
127.0.0.1 58q.com
127.0.0.1 aifind.cc
127.0.0.1 aifind.info
127.0.0.1 allneedsearch.com
127.0.0.1 auto.ie.searchforge.com
127.0.0.1 awebfind.biz
127.0.0.1 best.royalsearch.net
127.0.0.1 cracks.am
127.0.0.1 default-homepage-network.com
127.0.0.1 find.microgirls.com
127.0.0.1 find4u.net
127.0.0.1 freshvideogals.com
127.0.0.1 i-lookup.com
127.0.0.1 ie-search.com
127.0.0.1 in.webcounter.cc
127.0.0.1 itseasy.us
127.0.0.1 just.find-itnow.com
127.0.0.1 link.startmake.com
127.0.0.1 mysearchnow.com
127.0.0.1 nativehardcore.com
127.0.0.1 qwertysearch123.biz
127.0.0.1 search.ieplugin.com
127.0.0.1 search.psn.cn
127.0.0.1 searchbar.findthewebsiteyouneed.com
127.0.0.1 searchcentrix.com
127.0.0.1 searchmyrequest.com
127.0.0.1 super-spider.com
127.0.0.1 t.rack.cc
127.0.0.1 teen-biz.com
127.0.0.1 teenhqpics.com
127.0.0.1 tits.hardcore4ever.net
127.0.0.1 webcoolsearch.com
127.0.0.1 wmmse.com
127.0.0.1 008i.com
127.0.0.1 2fastsearch.net
127.0.0.1 8095.com
127.0.0.1 alfa-search.com
127.0.0.1 boredlife.com
127.0.0.1 couldnotfind.com
127.0.0.1 cracks.am
127.0.0.1 daum.net
127.0.0.1 dreamwiz.com
127.0.0.1 find-itnow.com
127.0.0.1 find4u.net
127.0.0.1 firstbookmark.com
127.0.0.1 gajai.com
127.0.0.1 hand-book.com
127.0.0.1 hao123.com
127.0.0.1 hotsearchbox.com
127.0.0.1 hotwebsearch.com
127.0.0.1 hugesearch.net
127.0.0.1 iquicksearch.com
127.0.0.1 lookfor.cc
127.0.0.1 naver.com
127.0.0.1 nkvd.us
127.0.0.1 novafuck.com
127.0.0.1 ohcorea.com
127.0.0.1 omega-search.com
127.0.0.1 onet.pl
127.0.0.1 power-search.info
127.0.0.1 rightfinder.net
127.0.0.1 search-1.net
127.0.0.1 search-and-go.com
127.0.0.1 search-dot.com
127.0.0.1 search-space.com
127.0.0.1 searchforge.com
127.0.0.1 searching-the-net.com
127.0.0.1 searchv.com
127.0.0.1 searchxl.com
127.0.0.1 seznam.cz
127.0.0.1 slotch.com
127.0.0.1 spidersearch.com
127.0.0.1 startium.com
127.0.0.1 ttjj.com
127.0.0.1 viewpornkey.com
127.0.0.1 wazzupnet.com
127.0.0.1 websearch.com
127.0.0.1 windowws.cc
127.0.0.1 xgmm.com
127.0.0.1 xwebsearch.biz
127.0.0.1 yourbookmarks.ws
127.0.0.1 collections.inhost.info
127.0.0.1 collections.inhost2.info
127.0.0.1 www.ruworld.com
127.0.0.1 www.maxxxhosters.com
127.0.0.1 www.therealsearch.com
127.0.0.1 www.thumbest-traffic.com
127.0.0.1 www.600pics.com
127.0.0.1 www.hightcalldialer.com
127.0.0.1 www.bestpornnews.com
127.0.0.1 www.thumberland.com
127.0.0.1 www.greg-search.com
127.0.0.1 www.0190-dialer.com
127.0.0.1 www.approvedlinks.com
127.0.0.1 www.vse-moe.biz
127.0.0.1 www.line-plus.com
127.0.0.1 www.porno-links.biz
127.0.0.1 www.freelivesex.org
127.0.0.1 www.free3xmatures.com
127.0.0.1 www.bestpics.net
127.0.0.1 www.dikai.com
127.0.0.1 www.world-search.biz
127.0.0.1 www.1-se.com
127.0.0.1 www.58q.com
127.0.0.1 www.aifind.cc
127.0.0.1 www.aifind.info
127.0.0.1 www.allneedsearch.com
127.0.0.1 www.awebfind.biz
127.0.0.1 www.cracks.am
127.0.0.1 www.default-homepage-network.com
127.0.0.1 www.find4u.net
127.0.0.1 www.freshvideogals.com
127.0.0.1 www.i-lookup.com
127.0.0.1 www.ie-search.com
127.0.0.1 www.itseasy.us
127.0.0.1 www.mysearchnow.com
127.0.0.1 www.nativehardcore.com
127.0.0.1 www.qwertysearch123.biz
127.0.0.1 www.searchcentrix.com
127.0.0.1 www.searchmyrequest.com
127.0.0.1 www.super-spider.com
127.0.0.1 www.teen-biz.com
127.0.0.1 www.teenhqpics.com
127.0.0.1 www.webcoolsearch.com
127.0.0.1 www.wmmse.com
127.0.0.1 www.008i.com
127.0.0.1 www.2fastsearch.net
127.0.0.1 www.8095.com
127.0.0.1 www.alfa-search.com
127.0.0.1 www.boredlife.com
127.0.0.1 www.couldnotfind.com
127.0.0.1 www.cracks.am
127.0.0.1 www.daum.net
127.0.0.1 www.dreamwiz.com
127.0.0.1 www.find-itnow.com
127.0.0.1 www.find4u.net
127.0.0.1 www.firstbookmark.com
127.0.0.1 www.gajai.com
127.0.0.1 www.hand-book.com
127.0.0.1 www.hao123.com
127.0.0.1 www.hotsearchbox.com
127.0.0.1 www.hotwebsearch.com
127.0.0.1 www.hugesearch.net
127.0.0.1 www.iquicksearch.com
127.0.0.1 www.lookfor.cc
127.0.0.1 www.naver.com
127.0.0.1 www.nkvd.us
127.0.0.1 www.novafuck.com
127.0.0.1 www.ohcorea.com
127.0.0.1 www.omega-search.com
127.0.0.1 www.onet.pl
127.0.0.1 www.power-search.info
127.0.0.1 www.rightfinder.net
127.0.0.1 www.search-1.net
127.0.0.1 www.search-and-go.com
127.0.0.1 www.search-dot.com
127.0.0.1 www.search-space.com
127.0.0.1 www.searchforge.com
127.0.0.1 www.searching-the-net.com
127.0.0.1 www.searchv.com
127.0.0.1 www.searchxl.com
127.0.0.1 www.seznam.cz
127.0.0.1 www.slotch.com
127.0.0.1 www.spidersearch.com
127.0.0.1 www.startium.com
127.0.0.1 www.ttjj.com
127.0.0.1 www.viewpornkey.com
127.0.0.1 www.wazzupnet.com
127.0.0.1 www.websearch.com
127.0.0.1 www.windowws.cc
127.0.0.1 www.xgmm.com
127.0.0.1 www.xwebsearch.biz
127.0.0.1 www.yourbookmarks.ws

Ich hoffe, ich bin das Ding nun los und muss nur doch meine Registry säubern. Vielen Dank schonmal bis hier hin, alleine hätte ich das nie hinbekommen.

MfG,
tuckminister

Lutz 02.06.2004 17:05
Hallo,

</font><blockquote>Zitat:</font><hr />Zum Inhalt hatte diese eine Auflistung von wohl zweifelhaften Links und zwar folgenden:
</font>[/QUOTE]Ja, genau. Aber so herum ist es nicht schlimm. Bedeutet es nur, dass Anfragen auf eine der gelisteten Seiten nicht 'raus' gehen, sondern lokal auf Deinem Rechner gesucht werden. Du kannst das so lassen oder auch alle löschen und nur dieses hier eintragen:
127.0.0.1 localhost
Das ist der Standardeintrag einer solchen HOSTS-Datei.

Diese Vielzahl von Einträgen deuten daraufhin, dass Du eines der div. Scripte, die es im Internet gibt ausgeführt hast, die eine so umfangreiche HOSTS anlegen. Kannst Du Dich erinnern, soetwas mal ausgeführt zu haben?
Wie gesagt ist nichts schlimmes, nur darauf verlassen, dass nichts passiert kannst Du Dich nicht, da so eine HOSTS immer nur einen Bruchteil der potentiell 'gefährlichen' Seiten abdecken kann.

Zu der Registry:
Durchsuche mal die komplette Registry nach Verweisen auf die Datei C:\WINDOWS\SYSTEM32\SYSTEM32.DLL und lösche diese Verweise.
Vorsichtshalber solltest Du vorher eine Sicherung der kompletten Registry machen, falls Du versehentlich einen Eintrag zu viel löscht.

Außerdem empfehle ich Dir, diesen Scanner noch im abgesicherten Modus über Deinen Rechner zu 'jagen' -&gt; http://www.mwti.net/antivirus/free_utilities.asp
(Free eScan Antivirus Toolkit Utility)

Nach einem anschließenden Neustart poste noch ein (hoffentlich!) letztes Log von HijackThis...

tuckminister 02.06.2004 21:59
Die Registry habe ich wie oben beschrieben gesäubert.
Wenn ich den Virenscanner über die Datei mwavscan.com starte, bekomme ich folgende Meldung:

"Virus Database ist older than 30-days! We recommend that you download the latest toolkit from http://www.mwti.net."

Danach startet das Programm nicht. Habe das Programm unter dem oben genannten Link heruntergeladen.

Die aktuelle HijackThis- Logdatei liest sich wie folgt:

ogfile of HijackThis v1.97.7
Scan saved at 22:56:23, on 02.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

O1 - Hosts: 1127.0.0.1 localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

MfG,
tuckminister

Lutz@Work 03.06.2004 10:53
Hi,

</font><blockquote>Zitat:</font><hr />Wenn ich den Virenscanner über die Datei mwavscan.com starte, bekomme ich folgende Meldung:
"Virus Database ist older than 30-days! We recommend that you download the latest toolkit from http://www.mwti.net."
Danach startet das Programm nicht. Habe das Programm unter dem oben genannten Link heruntergeladen.</font>[/QUOTE]Komisch, bei mir hat das sowohl gestern Abend zu Hause, als auch eben im Büro geklappt, aber egal. Hat das Toolkit denn noch etwas bei Dir gefunden?

</font><blockquote>Zitat:</font><hr />Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
</font>[/QUOTE]Zumindest der InternetExplorer ist veraltet. Du solltest schleunigst mal ein Windowsupdate machen.

</font><blockquote>Zitat:</font><hr />O1 - Hosts: 1127.0.0.1 localhost
</font>[/QUOTE]Korrigiere bitte die HOSTS. Richtig muss es heißen 127.0.0.1

Folgendes noch fixen:
</font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
</font>[/QUOTE]Gruß,
Lutz

tuckminister 03.06.2004 11:24
</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz@Work:
Hat das Toolkit denn noch etwas bei Dir gefunden?</font>[/QUOTE]Das kann ich nicht sagen, weil das frisch heruntergeladene Programm nach der Meldung gar nicht erst startet.

Ansonsten vielen Dank für deine Hilfe, meinen IE werde ich schleunigst aufmotzen, der Rest ist soweit korrigiert.

MfG,
tuckminister


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131