|
Virus??? IE zeigt "hacked by" an Hallo, ich habe ein Problem. Seit einer Weile zeigt mein IE immer "hacked by" und dann mein PC-Name an. Hab auch schon raus gefunden, dass es ein Wirus ist obwohl AntiVir ihn nicht erkannt hat. Ich hab auch schon eine vbs-Datei ausfindig gemacht. Aber wie krieg ich ihn weg??? Hier der Inhalt der Datei: 'Mutation of Trojan virus. *** Bitte Hilfe!!! Ich verzweifel, denn auch die Laufwerke öffnen nicht mehr mit Doppellick, trotz dass Auto Play fett geschrieben ist. |
Halli hallo. Wann wurde die Datei erstellt? Suche dann bitte alle Dateien heraus die am gleichen Tag im C:\WINDOWS\SYSTEM32\ Ordner erstellt wurden. Poste die Liste hier. Dann suche wie in meiner Signatur beschrieben nach wscript.exe. Und poste bitte ein Hijackthis log. |
Bei der Suche nach erstellten Dateien finde ich nichts. Es sind nur geänderte dabei, aber dafür Massen. Soll ich die posten? |
Nein.. :) Poste bitte ein Hijackthis log und suche bitte nach der wscript.exe! |
Logfile of HijackThis v1.99.1 Scan saved at 21:12:01, on 11.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\AVPersonal\AVWUPSRV.EXE c:\temp\svchost.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Arcade\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Programme\Avant Browser\avant.exe C:\Programme\ICQ6\ICQ.exe C:\Dokumente und Einstellungen\T Engel\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by ACER-RESI R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S877.tmp" /EF "HKLM" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/photouploader/PhotoUploader.cab O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/chuzzle/popcaploader_v6.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7E0CF6F8-E1C1-47AC-8DBE-83D64006BE27}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: Messagcr - Unknown owner - c:\temp\svchost.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) wscript.exe hab ich gefunden in system32 und darin nochmal in dllcache. Außerdem hab ich noch C:\WINDOWS\PREFETCH\WSCRIPT.EXE-0C5C5251.pf gefunden. Und nu? |
Zitat:
" C:\WINDOWS\PREFETCH\WSCRIPT.EXE-0C5C5251.pf " " C:\WINDOWS\system32\wscripr.exe " " C:\WINDOWS\system32\dllcache\wscript.exe " Ist das 100%tig richtig?? Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) |
Also, ich hab jetzt die Datei gesendet in dem Virustotal. (Ich hoffe dass meinstest du.) Dabei kam raus: Datei svchost.exe empfangen 2008.02.03 17:32:57 (CET) Status: Beendet Ergebnis: 30/32 (93.75%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.3.10 2008.02.02 Win-Trojan/Xema.variant AntiVir 7.6.0.61 2008.02.01 TR/Dldr.Delf.BPA.2 Authentium 4.93.8 2008.02.03 Possibly a new variant of W32/NewMalware-LSU-based!Maximus Avast 4.7.1098.0 2008.02.02 Win32:Delf-ESY AVG 7.5.0.516 2008.02.02 SHeur.AGN BitDefender 7.2 2008.02.03 Trojan.Downloader.Delf.ASZ CAT-QuickHeal 9.00 2008.02.01 TrojanDownloader.Delf.asz ClamAV 0.92 2008.02.03 Trojan.Downloader-13222 DrWeb 4.44.0.09170 2008.02.03 Trojan.TfrMad eSafe 7.0.15.0 2008.01.28 Win32.Delf.asz eTrust-Vet 31.3.5504 2008.02.01 - Ewido 4.0 2008.02.03 Downloader.Delf.asz FileAdvisor 1 2008.02.03 High threat detected Fortinet 3.14.0.0 2008.02.03 W32/Delf.ASZ!tr.dldr F-Prot 4.4.2.54 2008.02.02 W32/NewMalware-LSU-based!Maximus F-Secure 6.70.13260.0 2008.02.03 Trojan-Downloader.Win32.Delf.asz Ikarus T3.1.1.20 2008.02.03 Trojan-Downloader.Banload.CDL Kaspersky 7.0.0.125 2008.02.03 Trojan-Downloader.Win32.Delf.asz McAfee 5221 2008.02.01 Downloader.gen.a Microsoft 1.3204 2008.02.03 TrojanDownloader:Win32/Delfhost.B NOD32v2 2845 2008.02.02 probably a variant of Win32/TrojanDownloader.Delf.BMZ Norman 5.80.02 2008.02.01 - Panda 9.0.0.4 2008.02.03 Trj/Downloader.MDW Prevx1 V2 2008.02.03 Adware.Betterinternet Rising 20.29.22.00 2008.01.30 Trojan.DL.Win32.Delf.asz Sophos 4.26.0 2008.02.03 Mal/Generic-A Sunbelt 2.2.907.0 2008.02.02 Trojan-Downloader.Delf.NXA Symantec 10 2008.02.03 Downloader TheHacker 6.2.9.206 2008.02.02 Trojan/Downloader.Delf.asz VBA32 3.12.6.0 2008.02.03 Trojan-Downloader.Win32.Delf.asz VirusBuster 4.3.26:9 2008.02.02 Trojan.DL.Delf.YKX Webwasher-Gateway 6.6.2 2008.02.03 Trojan.Dldr.Delf.BPA.2 weitere Informationen File size: 183808 bytes MD5: 5e2eaee322c56a4a83a24be5b0baae86 SHA1: 59327065e824212d5b5e0224414b92abde0a4c59 PEiD: PECompact 2.xx --> BitSum Technologies packers: PECompact Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=5e2eaee322c56a4a83a24be5b0baae86 packers: PecBundle, PECompact packers: PE_Patch.PECompact, PecBundle, PECompact Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=82E5F1C400C36C58CE41020011EFC20047FA669A Ist das richtig so? Ansonsten brauch ich nochal eine Erklärung was ich zu tun hab! :confused: Danke! |
Format C: Grund |
Hä? Das verstehe ich nicht! |
Zitat:
Sind die Dateipfade so richtig? Zitat:
|
ich verstehs auch nicht... obwohl es mich interessieren würde :confused: |
Ja, die Dateipfade sind richtig, außer, dass beim 2. es "wscript" heißt und nicht "wscripr". Aber dass war sicher nur ein Tippfehler. Und was kann ich jetzt machen? Und wie bekommt man diesen Virus eigentlich? Hab noch ein paar Freunde die ihn haben. :headbang: |
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by ACER-RESI Fixen! |
Jetzt reicht es aber langsam Forum! :koch: Ich hab dich freundlich per PN angeschrieben.. Wenn du Hilfe leisten möchtest dann tue dies bitte qualifiziert und mit Mühe. Deine Halb"weisheiten" nützen neimandem etwas. Erst format c jetzt fixen.. was kommt als Nächstes? Stecker ziehen? Es hat schon seine Gründe warum ich noch nicht ans fixen gegangen bin. @ Rockenglein: Zitat:
Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Führe danach bitte einen eScan durch. Anleitung gibts in meiner Sigantur. Und poste ein frisches HJT logFile. |
Hallo ich habe das "Script" mal bei Avira hochgeladen und zur Verbreitung hab ich dies erhalten Zitat:
MFG |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board