Virus??? IE zeigt "hacked by" an
 

Hallo,

ich habe ein Problem.
Seit einer Weile zeigt mein IE immer "hacked by" und dann mein PC-Name an.
Hab auch schon raus gefunden, dass es ein Wirus ist obwohl AntiVir ihn nicht erkannt hat.

Ich hab auch schon eine vbs-Datei ausfindig gemacht.
Aber wie krieg ich ihn weg???

Hier der Inhalt der Datei:

'Mutation of Trojan virus.
***



Bitte Hilfe!!!
Ich verzweifel, denn auch die Laufwerke öffnen nicht mehr mit Doppellick, trotz dass Auto Play fett geschrieben ist.

Halli hallo.

Wann wurde die Datei erstellt?

Suche dann bitte alle Dateien heraus die am gleichen Tag im
C:\WINDOWS\SYSTEM32\ Ordner erstellt wurden.
Poste die Liste hier.

Dann suche wie in meiner Signatur beschrieben nach wscript.exe.

Und poste bitte ein Hijackthis log.

Bei der Suche nach erstellten Dateien finde ich nichts.
Es sind nur geänderte dabei, aber dafür Massen.

Soll ich die posten?

Nein.. :)

Poste bitte ein Hijackthis log und suche bitte nach der wscript.exe!

Logfile of HijackThis v1.99.1
Scan saved at 21:12:01, on 11.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\temp\svchost.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\ICQ6\ICQ.exe
C:\Dokumente und Einstellungen\T Engel\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by ACER-RESI
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S877.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/photouploader/PhotoUploader.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/chuzzle/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E0CF6F8-E1C1-47AC-8DBE-83D64006BE27}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Messagcr - Unknown owner - c:\temp\svchost.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

wscript.exe hab ich gefunden in system32 und darin nochmal in dllcache.
Außerdem hab ich noch C:\WINDOWS\PREFETCH\WSCRIPT.EXE-0C5C5251.pf gefunden.

Und nu?

Habe ich das richtig verstanden? Du hast die wscript.exe 3x in folgenden Dateipfade gefunden:

" C:\WINDOWS\PREFETCH\WSCRIPT.EXE-0C5C5251.pf "

" C:\WINDOWS\system32\wscripr.exe "

" C:\WINDOWS\system32\dllcache\wscript.exe "

Ist das 100%tig richtig??



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Also, ich hab jetzt die Datei gesendet in dem Virustotal. (Ich hoffe dass meinstest du.)

Dabei kam raus:

Datei svchost.exe empfangen 2008.02.03 17:32:57 (CET)
Status: Beendet

Ergebnis: 30/32 (93.75%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.3.10 2008.02.02 Win-Trojan/Xema.variant
AntiVir 7.6.0.61 2008.02.01 TR/Dldr.Delf.BPA.2
Authentium 4.93.8 2008.02.03 Possibly a new variant of W32/NewMalware-LSU-based!Maximus
Avast 4.7.1098.0 2008.02.02 Win32:Delf-ESY
AVG 7.5.0.516 2008.02.02 SHeur.AGN
BitDefender 7.2 2008.02.03 Trojan.Downloader.Delf.ASZ
CAT-QuickHeal 9.00 2008.02.01 TrojanDownloader.Delf.asz
ClamAV 0.92 2008.02.03 Trojan.Downloader-13222
DrWeb 4.44.0.09170 2008.02.03 Trojan.TfrMad
eSafe 7.0.15.0 2008.01.28 Win32.Delf.asz
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.03 Downloader.Delf.asz
FileAdvisor 1 2008.02.03 High threat detected
Fortinet 3.14.0.0 2008.02.03 W32/Delf.ASZ!tr.dldr
F-Prot 4.4.2.54 2008.02.02 W32/NewMalware-LSU-based!Maximus
F-Secure 6.70.13260.0 2008.02.03 Trojan-Downloader.Win32.Delf.asz
Ikarus T3.1.1.20 2008.02.03 Trojan-Downloader.Banload.CDL
Kaspersky 7.0.0.125 2008.02.03 Trojan-Downloader.Win32.Delf.asz
McAfee 5221 2008.02.01 Downloader.gen.a
Microsoft 1.3204 2008.02.03 TrojanDownloader:Win32/Delfhost.B
NOD32v2 2845 2008.02.02 probably a variant of Win32/TrojanDownloader.Delf.BMZ
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.03 Trj/Downloader.MDW
Prevx1 V2 2008.02.03 Adware.Betterinternet
Rising 20.29.22.00 2008.01.30 Trojan.DL.Win32.Delf.asz
Sophos 4.26.0 2008.02.03 Mal/Generic-A
Sunbelt 2.2.907.0 2008.02.02 Trojan-Downloader.Delf.NXA
Symantec 10 2008.02.03 Downloader
TheHacker 6.2.9.206 2008.02.02 Trojan/Downloader.Delf.asz
VBA32 3.12.6.0 2008.02.03 Trojan-Downloader.Win32.Delf.asz
VirusBuster 4.3.26:9 2008.02.02 Trojan.DL.Delf.YKX
Webwasher-Gateway 6.6.2 2008.02.03 Trojan.Dldr.Delf.BPA.2
weitere Informationen
File size: 183808 bytes
MD5: 5e2eaee322c56a4a83a24be5b0baae86
SHA1: 59327065e824212d5b5e0224414b92abde0a4c59
PEiD: PECompact 2.xx --> BitSum Technologies
packers: PECompact
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=5e2eaee322c56a4a83a24be5b0baae86
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=82E5F1C400C36C58CE41020011EFC20047FA669A

Ist das richtig so? Ansonsten brauch ich nochal eine Erklärung was ich zu tun hab! :confused:
Danke!

Format C: Grund

Hä? Das verstehe ich nicht!

Brauchst du nicht; ich auch nicht.. ;)

Sind die Dateipfade so richtig?

ich verstehs auch nicht... obwohl es mich interessieren würde :confused:

Ja, die Dateipfade sind richtig, außer, dass beim 2. es "wscript" heißt und nicht "wscripr". Aber dass war sicher nur ein Tippfehler.

Und was kann ich jetzt machen?

Und wie bekommt man diesen Virus eigentlich? Hab noch ein paar Freunde die ihn haben. :headbang:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by ACER-RESI

Fixen!

Jetzt reicht es aber langsam Forum! :koch:
Ich hab dich freundlich per PN angeschrieben..
Wenn du Hilfe leisten möchtest dann tue dies bitte qualifiziert und mit Mühe.
Deine Halb"weisheiten" nützen neimandem etwas. Erst format c jetzt fixen.. was kommt als Nächstes? Stecker ziehen?

Es hat schon seine Gründe warum ich noch nicht ans fixen gegangen bin.


@ Rockenglein:

ist da vielleicht ein verseuchte USB Stick im Umlauf?

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.


Führe danach bitte einen eScan durch. Anleitung gibts in meiner Sigantur.

Und poste ein frisches HJT logFile.

Hallo

ich habe das "Script" mal bei Avira hochgeladen und zur Verbreitung hab ich dies erhalten

MFG

Danke! Habe mal dein Beitrag gemeldet. Mit Format C: war Prevx schuld. Die haben eine falsche Datei beschrieben. Wenn er dieses "Hacked by" weg haben will, soll er diesen Eintrag einfach fixen. Dies löscht ja aber nicht den Virus.

L :D L

Ja, das hab' ich auch schon bemerkt... :rolleyes:

Nein, DU warst Schuld! Nicht sie haben die falsche Datei beschrieben sondern du hast Tomaten auf den Augen.

Eben! Und warum empfhielst du es dann?? :confused:

Und jetzt Schluss mit Off-Topic Blase bitte..

Hi,

jetzt mische ich mich auch mal ein:

Oben in der Avenger-Anleitung die folgenden beiden Dateien weglassen, also nicht löschen:
Sie sind Teil von Windows Script Host, der Interpreter, der VBS-Scripte ausführt, also Teile von Windows. Nur weil ein schädliches Skript ausgeführt wurde, muss man die ja nicht löschen. Sebst wenn Du meinst, ihn nicht zu brauchen: Eine Menge Werkzeuge, die man bei Computerproblemen einsetzt, setzen ihn voraus.

Gruß, Karl

Btw: Prevx hat zwar ein paar brauchbare Tools programmiert, ihre Dateibeschreibungen sind aber schlecht, ich finde dort oft korrekte Dateien, die als schlecht beschrieben werden. Auf einer Prevx-Beschreibung alleine würde ich nie was aufbauen.

Nabend Karl.

Ich hätte die für den Moment gelöscht und danch wieder aufgespielt aber wenn du meinst das dieser Schritt nicht notwendig ist dann lassen wir ihn weg..

Also, soll ich nur die anderen beiden Dateien entfernen?
Ok, mach ich!

Übrigens ich bin KEIN Mann!

@Forum: Das mit dem fixen hatte ich auch schon mal probiert, aber beim nächsten hochfahren war es wieder da.

LG

soll ich hinter systemherstellung wieder aktivieren?:confused:

Kleines Problemchen: :balla::balla::balla:

Nachdem ich auf die grüne Ampel geklickt hatte, kam das:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Und nu?:heulen::heulen::heulen:

Den Fehler sehe ich in letzter Zeit häufiger.

Hast du die Anleitung ganz genau befolgt?

Du musst erst den Punkt ganz unten setzten und dann auf die Lupe drücken..

Das geht eigentlich immer.. ^^

hab ich gemacht.
auch mehrfach nachgelesen und mehrfach probiert.

geht einfach nicht.:koch:

Juhu,es ging!!!:huepp:
Ich hab defragmentiert und bei der zweiten Datei alles groß geschrieben und jetzt ging es (warum auch immer).

Ich mach jetzt nen escan.

Die txt.-Datei sagt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\byepcbio

*******************

Script file located at: \??\C:\gsqiaqgc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\temp\svchost.exe deleted successfully.
File C:\WINDOWS\PREFETCH\WSCRIPT.EXE-0C5C5251.PF deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Klingt das gut?

:) warum gebe ich wohl immer so schöne Textfelder vor? :rolleyes:

Copy and Paste sollte man immer anwenden wenn es um genaue Dateipfade geht!

das klingt sogar sehr gut. ;)

Das hab ich ja auch gemacht.

Aber bei dir war der Dateianhang auch klein geschrieben.
Das hab ich dann geändert.

Das loaden der escan-Datei dauert leider. :dummguck:

Nach'm e-scan kam:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.7.3
Sprache: German
C:\DOKUME~1\TENGEL~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\WINDOWS\DOWNLO~1\POPCAP~1.DLL markiert als "not-a-virus:Downloader.Win32.PopCap.a". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung aller Laufwerke:Aktiviert

Batchstart: 21:33:10,15
Batchende: 21:33:40,40


Und nu?:confused:

Lösche die Datei ebenfalls mit Avenger:

Das geht wieder nicht. :(
Hab auch den namen richtig eingedetzt (hoffe ich hab es rivchtig gemacht) und ddas geht auch nciht.

Kann ich die Datei auch so löschen?

:) Avenger mag dich wohl nicht.. ^^

Setzte mal den richtigen Pfad ein. Das sollte klappen..

Ja, ich dreh auch langsam durch.
Ich hab das schon richtig eingesetzt, aber es geht trotzdem nciht.

C:\WINDOWS\Downloaded Program Files\PopCapLoader Object.dll

So hab ichs eingegeben.

Übrigens hab ich in C:\ die vbs-Datei von anderen PCs und meinem auch noch gefunden.:heulen:
Und nu?

Hast du noch Probleme?

Und wo hast du die vbs gefunden? Auf dem Rechner um den es in diesem Thread geht? Alles andere gehört in einen eigen Thread mit einem Link auf diesen.

Kann ich die DLL-Datei einfach so löschen? Also in Papierkorb schieben?

Ich hab in C:\ die ACER-RESI.vbs nochmal bei den versteckten Dateien gefunden, dann eine die heißt BINESCOMPUTER.vbs
So heißt der PC von einer Freundin und dann noch eine wo Acer und ein Zahlencode steht.

Und nu?

Alles auf VT auswerten lassen.

Das ist die erste Datei: (ACER-68CBAB05B2.vbs )

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.17 VBS:Solow-C
AVG 7.5.0.516 2008.02.17 VBS/Small
BitDefender 7.2 2008.02.17 Generic.ScriptWorm.D298C707
CAT-QuickHeal None 2008.02.16 VBS/IETitle
ClamAV 0.92.1 2008.02.17 -
DrWeb 4.44.0.09170 2008.02.17 VBS.Generic.552
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5541 2008.02.15 VBS/Slogod
Ewido 4.0 2008.02.17 -
FileAdvisor 1 2008.02.17 -
Fortinet 3.14.0.0 2008.02.17 -
F-Prot 4.4.2.54 2008.02.17 -
weitere Informationen
File size: 4248 bytes
MD5: b016c4ead878a1996ecf59823e479f24
SHA1: 7bf73fb0036948a44457f179ba20c4bca4f96229
PEiD: -
packers: Unicode
packers: Unicode

Alles mit Avenger löschen.. =)

Wie alles?

Die VBS-Dateien?
Geht nicht. Hab ich gerade probiert.

Im abgesicherten Modus???

Spuckt er wenigstens eine Fehlermeldung aus?

im abgesicherten nciht.

kommt aber wieder die fehlermeldung. :-(
die von vorher mit error: 0 und so.

:/

Probierst du es die ganze Zeit aus dem normalen Modus heraus?

Ja, wie mach ich den abgesicherten/ was muss ich da machen?

Abgesicherter Modus (alle Windows Versionen)

So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

Dort versuche es bitt nocheinmal. Ansonsten versuche es mit Killbox - Pocket KillBox im abgesicherten.

im abgesicherten gings auch nicht. :(
versuche es jetzt mit killbox

übrignes öffnete sich statt dessen:

'EDIT: Schädlicher Code

Hallo Rockenglein,

habe den Code entfernt, da er ein potentielles Sicherheitsrisiko darstellt und es unser Credo ist, die Verbreitung genau solcher Risiken zu bekämpfen.
Bitte beachte dies in Zukunft.

schneipi

Ok, sorry, dass wusste ich nicht.

@undoreal:

irgendwie scheint sich derwurm zu verbreiten.
jetzt zeigt bitdefender:

//-----------------------------------------------------------------
//
// ProductBitDefender Antivirus Plus v10
// Product10.2
//
// Created on: 18/02/2008 07:08:35
//
//-----------------------------------------------------------------


Virus Statistics

Scan path : C:\
D:\
Folders : 7007
Files : 49819
Memory processes scanned : 40
Archives : 4
Runtime packers : 5392
Identified viruses : 6
Infected files : 24
Memory processes infected : 0
Suspect files : 0
Warnings : 0
Disinfected files : 0
Deleted files : 0
Moved files : 24
I/O errors : 8
Scan time : 00:34:12
Scan speed (files/sec) : 24

Spyware Statistics

Registry keys scanned : 360
Registry keys infected : 0
Cookies scanned : 521
Cookies infected : 0
Spyware files infected : 0
Spyware threats detected : 0


Virus definitions : 980652
Scan plugins : 16
Archive plugins : 41
Unpack plugins : 7
Mail plugins : 6
System plugins : 5

Virus scan options

Detection
[X] Scan boot sectors
[X] Memory Processes
[ ] Scan archives
[X] Scan runtime packers
[X] Scan email

File mask
[X] Programs
[ ] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Move to quarantine
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[X] Move to quarantine
[ ] Prompt user

Virus scan options
[X] Enable warnings
[ ] Enable heuristics
[ ] Show all files in log
[X] Report file: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitdefender\Desktop\Profiles\Logs\full_scan\1203314914.log

Spyware scan options

[X] Scan for riskware
[ ] Skip dial and applications from scan
[X] Registry keys
[X] Cookies


Summary:

C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000014.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000014.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000014.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000015.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000015.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000015.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000019.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000019.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000019.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000034.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000034.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000034.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000035.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000035.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000035.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000044.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000044.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000044.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000045.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000045.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000045.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000060.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000060.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000060.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000076.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000076.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000076.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000077.vbs Infected: Generic.ScriptWorm.B814EDD6
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000077.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000077.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000097.vbs Infected: Generic.ScriptWorm.49C23199
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000097.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000097.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000098.vbs Infected: Generic.ScriptWorm.B814EDD6
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000098.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000098.vbs Moved
C:\!KillBox\ACER-68CBAB05B2.vbs Infected: Generic.ScriptWorm.D298C707
C:\!KillBox\ACER-68CBAB05B2.vbs Disinfection failed
C:\!KillBox\ACER-68CBAB05B2.vbs Moved
C:\!KillBox\ACER-RESI.vbs Infected: Generic.ScriptWorm.D298C707
C:\!KillBox\ACER-RESI.vbs Disinfection failed
C:\!KillBox\ACER-RESI.vbs Moved
C:\!KillBox\BINESCOMPUTER.vbs Infected: Generic.ScriptWorm.D298C707
C:\!KillBox\BINESCOMPUTER.vbs Disinfection failed
C:\!KillBox\BINESCOMPUTER.vbs Moved
C:\!KillBox\HEIDEMARIE.vbs Infected: Generic.ScriptWorm.B814EDD6
C:\!KillBox\HEIDEMARIE.vbs Disinfection failed
C:\!KillBox\HEIDEMARIE.vbs Moved
C:\!KillBox\PC1.vbs Infected: Generic.ScriptWorm.49C23199
C:\!KillBox\PC1.vbs Disinfection failed
C:\!KillBox\PC1.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000017.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000017.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000017.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000037.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000037.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000037.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000080.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000080.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000080.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000085.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000085.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000085.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000086.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000086.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000086.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000087.vbs Infected: Generic.ScriptWorm.B814EDD6
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000087.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000087.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000088.vbs Infected: Generic.ScriptWorm.49C23199
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000088.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000088.vbs Moved

und ich bekomme immer solche ansagen wie ich im bild eingefügt habe.:heulen::heulen::heulen::heulen::heulen::heulen:

Halli hallo.

Konfiguriere deinen Bitdefender bitte aggressiver.

Dort sollte "All Files" aktiviert sein.

Und hier sollte bei "Enable heuristics" ebenfalls ein Haken sein.


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Danach wechsel in den abgesicherten Modus und mache dort einen Vollscan mit Bitdefender. Verschiebe alles was gefunden wird in die Quarantäne.

Poste bitte danach wieder das log und suche wieder manuell nach der vbs.

Hallöchen,

ich hab noch ein paar Sachen probiert und unter anderem die autrun dateien mit inf hinten dran entfernt.
und jetzt findet bitdefender nix mehr.

Ich weiß auch nicht, wie ich das im Bitdefender verändere und im abgesicherten Modus ließ er sich nicht öffnen.

Ich hoffe, dass ich den Virus/Trojaner trotzdem los bin.
Zumindest geht es wieder, die Laufwerke mit Doppelklick zu öffnen.
Wenn ich Arbeitsplatz öffne kommt aber noch immer die Ansicht, dass links die Ordner aufgelistet sind und ich weiß nciht wie es weg geht. Und die Laufwerke werden dann in einem neuen Fenster geöffnet.
Außerdem steht im IE immernoch das hacked by.

Kann ich das weg kriegen?

Hab gerade gesehen, dass ich die Datei pubprn.vbs noch drauf hab.
Und zwar in beiden Festplatten im Ordner "recycled" und in c: wieder in diesen Systemordnern:
windows\system32 und windows\system32\dllcache

ist die auch gefährlich?

Danke, Rockenglein!

Hab nocht eine Frage:
Kannst du mir noch was empfehen, wie ich nachgucken kann, ob ich virenfrei bin?

ich hab bisher antivir, spybot search&destroy und bitdefender.

Danke schonmal!:party:

AntiVir musst du auf jeden Fall deinstallieren!!! Bitdefender ist imho besser und zwei AntiVirenProgramme behindern sich gegenseitig sehr!
Bei Spybot muss der TeaTimer Resident abgeschaltet sein!

Du könntest noch einen eScan machen und das log hier posten. Anleitung in meiner Sigantur.

Aber von Bitdefender hab ich keine Vollversion.
Das läuft nur noch 20 Tage.

Geht Antivir nicht auch?

Wie stell ich das bei Spybot ein?

Was ist mit denFragen davor?

:) Na dann schmeiß BD runter und konfiguriere AntiVir aggressiv.

Spybot öffnen:

Modus->erweiterter Modus.

Werkzeuge->Resident->Haken beim TeaTimer raus.

Welche Fragen hast du noch?

Wenn ich Arbeitsplatz öffne kommt aber noch immer die Ansicht, dass links die Ordner aufgelistet sind und ich weiß nciht wie es weg geht. Und die Laufwerke werden dann in einem neuen Fenster geöffnet.
Außerdem steht im IE immernoch das hacked by.

Kann ich das weg kriegen?

Hab gerade gesehen, dass ich die Datei pubprn.vbs noch drauf hab.
Und zwar in beiden Festplatten im Ordner "recycled" und in c: wieder in diesen Systemordnern:
windows\system32 und windows\system32\dllcache

ist die auch gefährlich?

IE: How to Change the Internet Explorer Window Title

pubprn.vbs online auswerten lassen.

Vt hat kein ergebnis gebracht.


escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.7.3
Sprache: German
C:\DOKUME~1\TENGEL~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Maßnahme ergriffen.
System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Maßnahme ergriffen.
System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Maßnahme ergriffen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung aller Laufwerke:Aktiviert

Batchstart: 21:51:54,08
Batchende: 21:52:53,64

übrigens steht in der registrierung "windows internet explorer" aber wenn ich ie öffne steht oben hacked by.

und nu?

Evtl liegt der Wert in der Registry auch hier:
lg myrtille

EDIT:
pubprn.vbs scheint zu Windows zu gehören: windows-how to use pubprn.vbs

Also, in HKCU funktioniert es gut, zumindest bei ner Freundin, die das selbe Problem hatte.
Mit Killbox konnte ich bei ihr die ganzen vbs-Dateien entfernen.

Ich probier es später bei mir auch.

Die vbs-Dateien werden jetzt bei mir noch in c:\killbox angezeigt. Ist das OK? Kann ich Killbox löschen oder sollte das drauf bleiben? Muss ich die Dateien aus Killbox auch noch entfernen?

Killbox kann drauf bleiben. Die Dateien kannst du komplett löschen. Es handelt sich nur um die Backups.

:confused: Wenn ich einfach auf löschen gehe, kommen die in den anderen Laufwerken wieder ???


Ansonsten schonmal einen riesen Dank!!!! Bei meienr Freundin hat es mit Killbox super funkioniert (Avenger ging da auch nciht) und ich konnte alles zurück stellen.

Bei mir ist noch das Problem, dass sich die Laufwerke immer mit der Ordneransicht links öffnen.
Wie kann ich dsa noch weg kriegen?

Herzlichen Dank!:Boogie::Boogie::Boogie::Boogie::Boogie:
Rockengein

leute macht euch nich so en stress!!
es handelt sich hier weder um einen virus, noch um einen trojaner!

es ist lediglich en VOLLKOMMEN HARMLOSER wurm der einen eintrag in die registry schreibt der eben diese wörter in den internetexplorer schreibt :)

er verbreitet sich übrigens über externe massenspeichergeräte!!

lg YeeeStar

Ja,

ich bin mir zu 100% sicher!! (bin selber programmierer ;))

aber was mich grad noch interressieren würde: was soll das sein was du da mit rein gestellt hast?!?
also was es ist weiss ich schon, nur den sinn versteh ich net^^ =P

lg YeeeStar

Wenn man keine Ahnung hat einfach mal die --- halten.

Nur weil du offensichtlich nur die *.vbs Datei angeschaut hast und dich um weitere gedroppte Dateien oder um sontstige Einträge in der autorun.inf oder der Registry nicht weiter bemüht hast, meinst du, dass die Infektion insgesamt vollkommen harmlos ist.
Schön für dich, aber wiege bitte nicht andere in dem Irrglauben, dass ihr Rechner sicher sei.

Wenn du keine Ahnung hast was dir da "angehängt" wurde, empfehle ich dir die Hijackthis Anleitung (Überraschung, das Programm heißt ja Hijackthis) und die weiterführenden Links.

Du als Programmierer solltest ja schnell wissen welcher Eintrag zu welchem Registrykey gehört.

lg myrtille

Wie wärs wenn du das gleich einmal anwendest?!?!?!

Nein, ich habe mir nicht nur die vb datei angeschaut, sondern ALLE dateien die dazu gehören. auch die autorun.

Die datei kopieren sich zwar automatisch auf jeden flashspeicher weiter, aber diese registry einträge sind und bleiben völlig harmlos. Es sei denn du findest "hacked by xy" als bedrohung?!?

lg YeeeStar

ich habe nun das gleiche Problem, und folgendes gefunden:

Dabei allerdings nichts ungewöhliches gefunden ... außer natürlich das IE Title = Hacked...

Und wo ist nun dein oben problem ?? :uglyhammer:
Was möchtest du nun von uns gelöst haben??

LG
YeeeStar

Ich kann den Virus nicht ausfindig machen, möchte ihn aber eliminieren.
Es ist auch so einer, wo oben steht: [...] - Internet Explorer - Hacked By [...]

Also nochmal, es ist kein Virus =P

Geh folgendermaßen vor:
1. Geh in den Taskmanager/Prozesse und sortier nach Name. Da sollte dann irgend was kommen von wegen script oder vb script oder code. Den Prozess beenden.
2. Durchsuche deine Root verzeichnisse von der Festplatte, als auch von deinen Wechseldatenträger nach Versteckten Dateien die die endung vb oder so haben (natürlich die versteckten Dateien zuerst anzeigen lassen)

3. Wiederhole Schritt 1 !!!!!!!!

4. Geh in die Registry in das Verzeichniss
HKEY_Current_User/Software/Microsoft/Internet Explorer/Main
Hier sollte ein Eintrag mit Namens Titel sein, mit dem Wert "Hacked by ....". Einfach den kompletten Eintrag löschen

5. Grinsen + Spaßhaben + Das nächste mal besser aufpassen!!

Das sollte es dann eigentlich auch schon gewesen sein :daumenhoc

LG
YeeeStar

Das mit dem Registry Eintrag habe ich zu erst probiert, jetzt gings...

Aber wodurch ändert sich der Titel denn?
Wer hat das gemacht?

Sry, habe nur die ersten 3 Seiten gelesen:rolleyes:

prinzipiell durch Schritt 4

xD

Ja :uglyhammer:

Sag bloß^^

Ich meinte, i-was muss das ja geändert haben, da keiner außer mir hier dran war und ich das nicht selbst war^^

???

Das kommt von Schritt 2.

mann, nu les hald mal die beiträge du fauler sa*k xD
:snyper:

Du hast nen infizierten USB-Stick an deinen Rechner angeschlossen, das vbs-Skript, das auf dem Stick lag wurde automatisch ausgeführt (Danke Windows!) und konnte so die Veränderungen vornehmen um sich selbst immer neuzustarten und deine Titelleiste zu ändern.

Deaktiviere den automatischen Autostart von externen Medien: http://support.microsoft.com/kb/967715

und, wenn du auf Nummer sicher gehen willst, dann "impfe" deine USB-Sticks zb mit Flash_Disinfector, damit derartige Malware nicht mehr automatisch von deinen Sticks aus ausgeführt werden können.

lg myrtille

---das--- wird es sein!

Mir hat jemand nen USB Stick geklaut, dann "angeblich" gesagt, er hätte ihn gefunden :rolleyes:

Es waren ganz andere Dateien drauf ...

//Edit

Danke :)

ok, ich finde das vbs-skript nicht, aber immer wenn ich den PC neu starte, dann wird der Window Title wieder erstellt, d.h. es muss noch da sein...

//Edit

Ich habe das script eliminiert, aber es wird immer noch ausgeführt, wiesoooooo?

Hier nochmal die Logfile:

Das ist die Zeile die dich wiederinfiziert:
Das heißt die Datei C:\windows\system32\kleine-DD871862.vbs müsste noch vorhanden sein.

Den Eintrag kannst du mit Hijackthis fixen, dann sollte der auch weg sein.

lg myrtille