Trojaner-Board - Virus??? IE zeigt "hacked by" an

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus??? IE zeigt "hacked by" an (https://www.trojaner-board.de/49349-virus-ie-zeigt-hacked-by.html)

:confused: Wenn ich einfach auf löschen gehe, kommen die in den anderen Laufwerken wieder ???

Ansonsten schonmal einen riesen Dank!!!! Bei meienr Freundin hat es mit Killbox super funkioniert (Avenger ging da auch nciht) und ich konnte alles zurück stellen.

Bei mir ist noch das Problem, dass sich die Laufwerke immer mit der Ordneransicht links öffnen.
Wie kann ich dsa noch weg kriegen?

Herzlichen Dank!:Boogie::Boogie::Boogie::Boogie::Boogie:
Rockengein

leute macht euch nich so en stress!!
es handelt sich hier weder um einen virus, noch um einen trojaner!

es ist lediglich en VOLLKOMMEN HARMLOSER wurm der einen eintrag in die registry schreibt der eben diese wörter in den internetexplorer schreibt :)

er verbreitet sich übrigens über externe massenspeichergeräte!!

lg YeeeStar

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Ja,

ich bin mir zu 100% sicher!! (bin selber programmierer ;))

aber was mich grad noch interressieren würde: was soll das sein was du da mit rein gestellt hast?!?
also was es ist weiss ich schon, nur den sinn versteh ich net^^ =P

lg YeeeStar

Wenn man keine Ahnung hat einfach mal die --- halten.

Nur weil du offensichtlich nur die *.vbs Datei angeschaut hast und dich um weitere gedroppte Dateien oder um sontstige Einträge in der autorun.inf oder der Registry nicht weiter bemüht hast, meinst du, dass die Infektion insgesamt vollkommen harmlos ist.
Schön für dich, aber wiege bitte nicht andere in dem Irrglauben, dass ihr Rechner sicher sei.

Wenn du keine Ahnung hast was dir da "angehängt" wurde, empfehle ich dir die Hijackthis Anleitung (Überraschung, das Programm heißt ja Hijackthis) und die weiterführenden Links.

Du als Programmierer solltest ja schnell wissen welcher Eintrag zu welchem Registrykey gehört.

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 357072)

Wenn man keine Ahnung hat einfach mal die --- halten.

Wie wärs wenn du das gleich einmal anwendest?!?!?!

Nein, ich habe mir nicht nur die vb datei angeschaut, sondern ALLE dateien die dazu gehören. auch die autorun.

Die datei kopieren sich zwar automatisch auf jeden flashspeicher weiter, aber diese registry einträge sind und bleiben völlig harmlos. Es sei denn du findest "hacked by xy" als bedrohung?!?

lg YeeeStar

ich habe nun das gleiche Problem, und folgendes gefunden:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:07:47, on 13.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\FlashEnc\FlashEnc.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by KLEINE-DD871862
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KLEINE-DD871862] C:\WINDOWS\SYSTEM32\KLEINE-DD871862.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C49134CC-B5EF-458C-A442-E8DFE7B4645F} (YYGInstantPlay Control) - http://www.yoyogames.com/downloads/activex/YoYo.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4278 bytes

Dabei allerdings nichts ungewöhliches gefunden ... außer natürlich das IE Title = Hacked...

Zitat:

Zitat von Capfly (Beitrag 456046)

ich habe nun das gleiche Problem, und folgendes gefunden:

Und wo ist nun dein oben problem ?? :uglyhammer:
Was möchtest du nun von uns gelöst haben??

LG
YeeeStar

Ich kann den Virus nicht ausfindig machen, möchte ihn aber eliminieren.
Es ist auch so einer, wo oben steht: [...] - Internet Explorer - Hacked By [...]

Zitat:

Zitat von Capfly (Beitrag 456093)

Ich kann den Virus nicht ausfindig machen, möchte ihn aber eliminieren.
Es ist auch so einer, wo oben steht: [...] - Internet Explorer - Hacked By [...]

Also nochmal, es ist kein Virus =P

Geh folgendermaßen vor:
1. Geh in den Taskmanager/Prozesse und sortier nach Name. Da sollte dann irgend was kommen von wegen script oder vb script oder code. Den Prozess beenden.
2. Durchsuche deine Root verzeichnisse von der Festplatte, als auch von deinen Wechseldatenträger nach Versteckten Dateien die die endung vb oder so haben (natürlich die versteckten Dateien zuerst anzeigen lassen)

3. Wiederhole Schritt 1 !!!!!!!!

4. Geh in die Registry in das Verzeichniss
HKEY_Current_User/Software/Microsoft/Internet Explorer/Main
Hier sollte ein Eintrag mit Namens Titel sein, mit dem Wert "Hacked by ....". Einfach den kompletten Eintrag löschen

5. Grinsen + Spaßhaben + Das nächste mal besser aufpassen!!

Das sollte es dann eigentlich auch schon gewesen sein :daumenhoc

LG
YeeeStar

Zitat:

Zitat von YeeeStar (Beitrag 456099)

Das mit dem Registry Eintrag habe ich zu erst probiert, jetzt gings...

Aber wodurch ändert sich der Titel denn?
Wer hat das gemacht?

Sry, habe nur die ersten 3 Seiten gelesen:rolleyes:

Zitat:

Zitat von Capfly (Beitrag 456101)

Das mit dem Registry Eintrag habe ich zu erst probiert, jetzt gings...

Aber wodurch ändert sich der Titel denn?
Wer hat das gemacht?

Sry, habe nur die ersten 3 Seiten gelesen:rolleyes:

prinzipiell durch Schritt 4

xD

Ja :uglyhammer:

Sag bloß^^

Ich meinte, i-was muss das ja geändert haben, da keiner außer mir hier dran war und ich das nicht selbst war^^

???

Das kommt von Schritt 2.

mann, nu les hald mal die beiträge du fauler sa*k xD
:snyper:

Du hast nen infizierten USB-Stick an deinen Rechner angeschlossen, das vbs-Skript, das auf dem Stick lag wurde automatisch ausgeführt (Danke Windows!) und konnte so die Veränderungen vornehmen um sich selbst immer neuzustarten und deine Titelleiste zu ändern.

Deaktiviere den automatischen Autostart von externen Medien: http://support.microsoft.com/kb/967715

und, wenn du auf Nummer sicher gehen willst, dann "impfe" deine USB-Sticks zb mit Flash_Disinfector, damit derartige Malware nicht mehr automatisch von deinen Sticks aus ausgeführt werden können.

lg myrtille