| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: winupd.exe und wintime.exe von Hijacker befallenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.05.2004, 18:26
| #1 |
| |  winupd.exe und wintime.exe von Hijacker befallen Hallo, ich habe mir dummerweise einen Webseiten- Hijacker eingefangen und zwar mit der nicht wegzubekommenden Startseite http://213.159.117.132/index.php in meinem Internetexplorer. Die Logfile von Hijack This und ein Virusscanning bei Kaspersky ergab, dass zwei Dateien wie folgt verseucht sind: -> winupd.exe infiziert: TrojanSpy.Win32.Banker.af -> wintime.exe infiziert: TrojanDropper.Win32.Small.hh Die Ursache müsste ich somit haben. Nun meine Frage: Wie bekomme ich die beiden Dateien am Besten wieder "sauber"? Bin leider in solchen technischen Fragen nicht sonderlich bewandert und will mich an dieser Stelle schonmal für eine mögliche Hilfe bedanken. Schöne Woche, tuckminister |
|
31.05.2004, 18:55
| #2 |
 | winupd.exe und wintime.exe von Hijacker befallen Hi,
__________________die Dateien kannst & musst du nicht sauber bekommen, da sie nur den bösen Trojaner enthalten.. -> Einfach löschen, ggfs. im abgesicherten Modus (F8-Boot) und dies mal abarbeiten: http://www.trojaner-info.de/hijacker/index.shtml -> Schon Ad-Aware, SPYBOT & CWSHREDDER probiert ? |
|
31.05.2004, 19:47
| #3 |
| | winupd.exe und wintime.exe von Hijacker befallen Danke erstmal für deine Antwort. Habe die genannten Programme alle erfolglos ausprobiert. Es scheinen auch noch ein paar Dateien mehr befallen zu sein. Aber Anhand des Datums und der Uhrzeit kann man die ganz gut ausfindig machen, hoffe ich.
__________________ |
|
01.06.2004, 10:18
| #4 |
| |  winupd.exe und wintime.exe von Hijacker befallen So, ich hab nun alle gefundenen infizierten Anwendungdateien (4 * mtask[Zahl].exe und system.exe) gelöscht, bin den Trojaner aber immer noch nicht los. Hier der Inhalt meines aktuellen HijackThis- Logs: "Logfile of HijackThis v1.97.7 Scan saved at 11:12:13, on 01.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AOL 8.0\WAOL.EXE C:\PROGRAMME\AOL 8.0\SHELLMON.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net" Vielleicht weiß noch jemand einen Rat!? MfG, tuckminister |
|
01.06.2004, 19:51
| #5 |
| | *schieb* |
|
01.06.2004, 20:10
| #6 |
  | winupd.exe und wintime.exe von Hijacker befallen Eine wirkliche Lösung habe ich noch nicht... Lade dir hier bitte mal das pv.zip herunter. Anschließend entpacke es in einen eigenen Ordner. Anschließend starte runme9x.bat und dann die Auswahl 1 (ExplorerDLLs). Die erstellte Log-Datei poste bitte hier. Vielleicht sehen wir dann mehr...
__________________ --> winupd.exe und wintime.exe von Hijacker befallen |
|
02.06.2004, 09:34
| #7 |
| |  winupd.exe und wintime.exe von Hijacker befallen Danke erstmal. Hier ist die erstellte Logdatei des Programms: " Module information for 'EXPLORER.EXE' MODULE BASE SIZE PATH WFSHELEX.DLL 7380000 81920 C:\PROGRAMME\NORTON UTILITIES\WFSHELEX.DLL 15.0.0.20 Norton Shared Component ARCEXT.DLL 39f0000 204800 C:\PROGRAMME\WINACE\ARCEXT.DLL 2.5.0.1 WinAce-Archiver Shell Extension ACEV2.DLL 3a30000 897024 C:\PROGRAMME\WINACE\ACEV2.DLL 2.5.0.0 WinAce ACE Dynamic Link Library MSRATING.DLL 784a0000 176128 C:\WINDOWS\SYSTEM\MSRATING.DLL 5.50.4134.100 Bibliothekdatei für Internetfilter und Verwaltung lokaler Benutzer IEPEERS.DLL 7b710000 245760 C:\WINDOWS\SYSTEM\IEPEERS.DLL 5.50.4134.100 Internet Explorer Peer-Objekte DOCPROP2.DLL 7cb10000 331776 C:\WINDOWS\SYSTEM\DOCPROP2.DLL 5.00.2136.1 DocProp2 AVIFIL32.DLL 7e410000 98304 C:\WINDOWS\SYSTEM\AVIFIL32.DLL 4.90.3000 Microsoft Bibliothek zur Unterstützung von AVI-Dateien MSACM32.DLL 79e90000 102400 C:\WINDOWS\SYSTEM\MSACM32.DLL 4.90.3000 Microsoft Audiokomprimierungs-Manager CRTDLL.DLL 7fb20000 180224 C:\WINDOWS\SYSTEM\CRTDLL.DLL 3.50 Microsoft C Runtime Library MSVFW32.DLL 77b70000 147456 C:\WINDOWS\SYSTEM\MSVFW32.DLL 4.90.3000 Microsoft Video für Windows-DLL WOW32.DLL bfdc0000 20480 C:\WINDOWS\SYSTEM\WOW32.DLL 4.90.3000 Win32 WOW32 core component DCIMAN32.DLL 7d130000 24576 C:\WINDOWS\SYSTEM\DCIMAN32.DLL 4.90.3000 DCI Manager 1.00 MSHTMLED.DLL 796f0000 417792 C:\WINDOWS\SYSTEM\MSHTMLED.DLL 5.50.4134.100 Microsoft (R) HTML Editing Component MSLS31.DLL 78d00000 163840 C:\WINDOWS\SYSTEM\MSLS31.DLL 3.10.337.0 Microsoft Line Services library file JSCRIPT.DLL 7aca0000 552960 C:\WINDOWS\SYSTEM\JSCRIPT.DLL 5.5.0.5207 Microsoft (r) JScript IMM32.DLL bfe00000 16384 C:\WINDOWS\SYSTEM\IMM32.DLL 4.90.3000 Win32 IMM32 core component MSHTML.DLL 7f380000 2756608 C:\WINDOWS\SYSTEM\MSHTML.DLL 5.50.4134.100 Microsoft (R) HTML Viewer RNR20.DLL 76330000 57344 C:\WINDOWS\SYSTEM\RNR20.DLL 4.90.3000 Windows Socket2 NameSpace DLL MSAFD.DLL 79c60000 40960 C:\WINDOWS\SYSTEM\MSAFD.DLL 4.90.3000 Microsoft Windows Sockets 2.0 Dienstanbieter MLANG.DLL 7a510000 557056 C:\WINDOWS\SYSTEM\MLANG.DLL 5.50.4134.100 Multi Language Support DLL XX2GR.DLL 23b0000 253952 C:\PROGRAMME\GETRIGHT\XX2GR.DLL 4.5d IE/NS Click Monitoring for GetRight. www.getright.com WINSPOOL.DRV 7fe40000 36864 C:\WINDOWS\SYSTEM\WINSPOOL.DRV 4.90.3000 Win32 WINSPOOL core component WINMM.DLL bfdd0000 65536 C:\WINDOWS\SYSTEM\WINMM.DLL 4.90.3000 System APIs for Multimedia URLMON.DLL 74d40000 466944 C:\WINDOWS\SYSTEM\URLMON.DLL 5.50.4134.100 OLE32-Erweiterung für Win32 VERSION.DLL bfe50000 24576 C:\WINDOWS\SYSTEM\VERSION.DLL 4.90.3000 Win32 VERSION core component ACROIEHELPER.DLL 1e30000 45056 C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL 6.0.0.2003051500 Adobe Acrobat IE Helper Version 6.0 for ActivieX MYDOCS.DLL 77810000 81920 C:\WINDOWS\SYSTEM\MYDOCS.DLL 5.50.4134.100 Benutzeroberfläche des Verzeichnisses "Eigene Dateien" BROWSELC.DLL 7e0a0000 49152 C:\WINDOWS\SYSTEM\BROWSELC.DLL 5.50.4134.100 Shell Browser UI-Bbibliothek WININET.DLL 73db0000 495616 C:\WINDOWS\SYSTEM\WININET.DLL 5.50.4134.100 Interneterweiterungen für Win32 SHDOCLC.DLL 75cc0000 417792 C:\WINDOWS\SYSTEM\SHDOCLC.DLL 5.50.4134.100 Bibliothek für Shell-Dokumente und -Steuerelemente IDLEPROC.DLL 67f00000 28672 C:\PROGRAMME\AOL 8.0\IDLEPROC.DLL 8.00.000 IDLEPROC DLL WSOCK32.DLL 73250000 36864 C:\WINDOWS\SYSTEM\WSOCK32.DLL 4.90.3000 BSD Socket API für Windows MSWSOCK.DLL 77a00000 81920 C:\WINDOWS\SYSTEM\MSWSOCK.DLL 4.90.3000 Microsoft WinSock Extension APIs WS2_32.DLL 73290000 69632 C:\WINDOWS\SYSTEM\WS2_32.DLL 4.90.3000 Windows Socket 2.0 32-Bit DLL RASAPI32.DLL 7f780000 258048 C:\WINDOWS\SYSTEM\RASAPI32.DLL 4.90.3000 DFÜ-Netzwerk-DLL SECUR32.DLL 7f760000 69632 C:\WINDOWS\SYSTEM\SECUR32.DLL 4.90.3000 Microsoft Win32 Security Services (Export Version) SVRAPI.DLL 7f860000 32768 C:\WINDOWS\SYSTEM\SVRAPI.DLL 4.90.3000 32-bit common Server API library MSNET32.DLL 7fa30000 77824 C:\WINDOWS\SYSTEM\MSNET32.DLL 4.90.3000 Microsoft 32-Bit Netzwerk-API-Bibliothek MSPWL32.DLL 7fa70000 40960 C:\WINDOWS\SYSTEM\MSPWL32.DLL 4.90.3000 Password list management library TAPI32.DLL 7f870000 122880 C:\WINDOWS\SYSTEM\TAPI32.DLL 4.90.3000 Microsoft® Windows(R) Telephony API Client DLL NETAPI32.DLL 7f8a0000 20480 C:\WINDOWS\SYSTEM\NETAPI32.DLL 4.90.3000 32-bit network API DLL NETBIOS.DLL 7f730000 32768 C:\WINDOWS\SYSTEM\NETBIOS.DLL WS2HELP.DLL 73280000 20480 C:\WINDOWS\SYSTEM\WS2HELP.DLL 4.90.3000 Windows Socket 2.0 Helper for Windows 98 ES.DLL 7c2d0000 114688 C:\WINDOWS\SYSTEM\ES.DLL 1998.09.1003.0 COM+ EventSystem Library SENS.DLL 75e50000 90112 C:\WINDOWS\SYSTEM\SENS.DLL 5.50.4134.100 System Event Notification Service (SENS) ESTIER2.DLL 7c280000 61440 C:\WINDOWS\SYSTEM\ESTIER2.DLL 1998.09.1003.0 COM+ EventSystem Service Library ESSHARED.DLL 7c2b0000 65536 C:\WINDOWS\SYSTEM\ESSHARED.DLL 1998.09.1003.0 COM+ EventSystem Shared Utilities OLEAUT32.DLL 7fe80000 610304 C:\WINDOWS\SYSTEM\OLEAUT32.DLL 2.40.4515 LINKINFO.DLL 7faa0000 36864 C:\WINDOWS\SYSTEM\LINKINFO.DLL 4.90.3000 Windows Volume Tracking SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL COMDLG32.DLL 7fe00000 212992 C:\WINDOWS\SYSTEM\COMDLG32.DLL 5.50.4134.100 Common Dialog-DLL AUHOOK.DLL 7f160000 36864 C:\WINDOWS\SYSTEM\AUHOOK.DLL 5.4.1083.9 Microsoft AutoUpdate WEBCHECK.DLL 740b0000 274432 C:\WINDOWS\SYSTEM\WEBCHECK.DLL 5.50.4134.100 Web Site Monitor ACTXPRXY.DLL 7f090000 94208 C:\WINDOWS\SYSTEM\ACTXPRXY.DLL 5.50.4134.100 ActiveX Interface Marshaling Library MSI.DLL cb0000 2015232 C:\WINDOWS\SYSTEM\MSI.DLL 2.0.2600.2 Windows Installer RPCRT4.DLL 7fab0000 344064 C:\WINDOWS\SYSTEM\RPCRT4.DLL 4.71.3335 Remote Procedure Call DLL MPR.DLL 7f120000 57344 C:\WINDOWS\SYSTEM\MPR.DLL 4.90.3000 WIN32-DLL für die Netzwerkschnittstelle BROWSEUI.DLL 7f630000 823296 C:\WINDOWS\SYSTEM\BROWSEUI.DLL 5.50.4134.100 Shell Browser UI-Bibliothek SHDOCVW.DLL 75ba0000 1150976 C:\WINDOWS\SYSTEM\SHDOCVW.DLL 5.50.4134.100 Bibliothek für Shell-Dokumente und -Steuerelemente OLE32.DLL 7ff20000 794624 C:\WINDOWS\SYSTEM\OLE32.DLL 4.71.3328 Microsoft OLE for Windows and Windows NT SHELL32.DLL 7fbd0000 2285568 C:\WINDOWS\SYSTEM\SHELL32.DLL 5.50.4134.100 Windows Shell Common Dll MSVCRT.DLL 78000000 286720 C:\WINDOWS\SYSTEM\MSVCRT.DLL 6.10.8637.0 Microsoft (R) C Runtime Library EXPLORER.EXE 400000 225280 C:\WINDOWS\EXPLORER.EXE 5.50.4134.100 Windows Explorer COMCTL32.DLL bfe80000 581632 C:\WINDOWS\SYSTEM\COMCTL32.DLL 5.81 Common Controls Library SHLWAPI.DLL 70bd0000 311296 C:\WINDOWS\SYSTEM\SHLWAPI.DLL 5.50.4134.100 Shell Light-weight Utility Library USER32.DLL bff40000 69632 C:\WINDOWS\SYSTEM\USER32.DLL 4.90.3000 Win32 USER32 core component GDI32.DLL bff10000 172032 C:\WINDOWS\SYSTEM\GDI32.DLL 4.90.3000 Win32 GDI core component ADVAPI32.DLL bfe60000 65536 C:\WINDOWS\SYSTEM\ADVAPI32.DLL 4.90.3000 Win32 ADVAPI32 core component KERNEL32.DLL bff60000 552960 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.90.3000 " |
|
02.06.2004, 09:53
| #8 |
 |  winupd.exe und wintime.exe von Hijacker befallen Ich glaube, ich habe ihn... </font><blockquote>Zitat:</font><hr /> SYSTEM32.DLL 10000000 32768 C:\WINDOWS\SYSTEM32\SYSTEM32.DLL </font>[/QUOTE]Starte Deinen Rechner im abgesicherten Modus und lösche diese Datei: C:\WINDOWS\SYSTEM32\SYSTEM32.DLL Anschließend mit HijackThis die bekannten Einträge fixen. Starte das System im normalen Modus neu... Es kann sich noch eine system.exe auf Deinem Rechner befinden. Such diese auch einmal, aber bitte noch nicht löschen, sondern zunächst online bei Kaspersky überprüfen. Und teil uns das Prüfergebnis mit. Der nächste Schritt: Suche auf Deinem Rechner die Datei HOSTS ohne '.Endung'. Evtl gibt es diese mehrfach. Poste bitte den Inhalt/die Inhalte. Zum Schluß müssen wir noch die Registry bereinigen. Ich denke aber, dass können wir 'später' machen. Arbeite diese Schritte bitte einmal ab... Gruß, Lutz
__________________ 'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a> |
|
02.06.2004, 16:51
| #9 |
| | winupd.exe und wintime.exe von Hijacker befallen So, habe die 'system32.dll' gelöscht, die "R-Einträge" bei HijackThis gefixt und nun wieder die von mir gewählte Startseite im IE. Eine weitere Datei 'system.exe' befindet sich nicht auf der Festplatte. Dafür fand sich eine Datei 'hosts' ohne Endung auf dem Rechner und zwar im Windows-Verzeichnis. Zum Inhalt hatte diese eine Auflistung von wohl zweifelhaften Links und zwar folgenden: 127.0.0.1 ruworld.com 127.0.0.1 maxxxhosters.com 127.0.0.1 therealsearch.com 127.0.0.1 thumbest-traffic.com 127.0.0.1 600pics.com 127.0.0.1 tonser.4-counter.com 127.0.0.1 free.sinpussy.com 127.0.0.1 hightcalldialer.com 127.0.0.1 bestpornnews.com 127.0.0.1 thumberland.com 127.0.0.1 greg-search.com 127.0.0.1 connect.online-dialer.com 127.0.0.1 0190-dialer.com 127.0.0.1 approvedlinks.com 127.0.0.1 install.xxxtoolbar.com 127.0.0.1 download.buxomatic.com 127.0.0.1 dia.4-counter.com 127.0.0.1 vse-moe.biz 127.0.0.1 crue.global-counter.com 127.0.0.1 line-plus.com 127.0.0.1 porno-links.biz 127.0.0.1 download.tntdialer.com 127.0.0.1 freelivesex.org 127.0.0.1 free3xmatures.com 127.0.0.1 bestpics.net 127.0.0.1 dikai.com 127.0.0.1 world-search.biz 127.0.0.1 1-se.com 127.0.0.1 58q.com 127.0.0.1 aifind.cc 127.0.0.1 aifind.info 127.0.0.1 allneedsearch.com 127.0.0.1 auto.ie.searchforge.com 127.0.0.1 awebfind.biz 127.0.0.1 best.royalsearch.net 127.0.0.1 cracks.am 127.0.0.1 default-homepage-network.com 127.0.0.1 find.microgirls.com 127.0.0.1 find4u.net 127.0.0.1 freshvideogals.com 127.0.0.1 i-lookup.com 127.0.0.1 ie-search.com 127.0.0.1 in.webcounter.cc 127.0.0.1 itseasy.us 127.0.0.1 just.find-itnow.com 127.0.0.1 link.startmake.com 127.0.0.1 mysearchnow.com 127.0.0.1 nativehardcore.com 127.0.0.1 qwertysearch123.biz 127.0.0.1 search.ieplugin.com 127.0.0.1 search.psn.cn 127.0.0.1 searchbar.findthewebsiteyouneed.com 127.0.0.1 searchcentrix.com 127.0.0.1 searchmyrequest.com 127.0.0.1 super-spider.com 127.0.0.1 t.rack.cc 127.0.0.1 teen-biz.com 127.0.0.1 teenhqpics.com 127.0.0.1 tits.hardcore4ever.net 127.0.0.1 webcoolsearch.com 127.0.0.1 wmmse.com 127.0.0.1 008i.com 127.0.0.1 2fastsearch.net 127.0.0.1 8095.com 127.0.0.1 alfa-search.com 127.0.0.1 boredlife.com 127.0.0.1 couldnotfind.com 127.0.0.1 cracks.am 127.0.0.1 daum.net 127.0.0.1 dreamwiz.com 127.0.0.1 find-itnow.com 127.0.0.1 find4u.net 127.0.0.1 firstbookmark.com 127.0.0.1 gajai.com 127.0.0.1 hand-book.com 127.0.0.1 hao123.com 127.0.0.1 hotsearchbox.com 127.0.0.1 hotwebsearch.com 127.0.0.1 hugesearch.net 127.0.0.1 iquicksearch.com 127.0.0.1 lookfor.cc 127.0.0.1 naver.com 127.0.0.1 nkvd.us 127.0.0.1 novafuck.com 127.0.0.1 ohcorea.com 127.0.0.1 omega-search.com 127.0.0.1 onet.pl 127.0.0.1 power-search.info 127.0.0.1 rightfinder.net 127.0.0.1 search-1.net 127.0.0.1 search-and-go.com 127.0.0.1 search-dot.com 127.0.0.1 search-space.com 127.0.0.1 searchforge.com 127.0.0.1 searching-the-net.com 127.0.0.1 searchv.com 127.0.0.1 searchxl.com 127.0.0.1 seznam.cz 127.0.0.1 slotch.com 127.0.0.1 spidersearch.com 127.0.0.1 startium.com 127.0.0.1 ttjj.com 127.0.0.1 viewpornkey.com 127.0.0.1 wazzupnet.com 127.0.0.1 websearch.com 127.0.0.1 windowws.cc 127.0.0.1 xgmm.com 127.0.0.1 xwebsearch.biz 127.0.0.1 yourbookmarks.ws 127.0.0.1 collections.inhost.info 127.0.0.1 collections.inhost2.info 127.0.0.1 www.ruworld.com 127.0.0.1 www.maxxxhosters.com 127.0.0.1 www.therealsearch.com 127.0.0.1 www.thumbest-traffic.com 127.0.0.1 www.600pics.com 127.0.0.1 www.hightcalldialer.com 127.0.0.1 www.bestpornnews.com 127.0.0.1 www.thumberland.com 127.0.0.1 www.greg-search.com 127.0.0.1 www.0190-dialer.com 127.0.0.1 www.approvedlinks.com 127.0.0.1 www.vse-moe.biz 127.0.0.1 www.line-plus.com 127.0.0.1 www.porno-links.biz 127.0.0.1 www.freelivesex.org 127.0.0.1 www.free3xmatures.com 127.0.0.1 www.bestpics.net 127.0.0.1 www.dikai.com 127.0.0.1 www.world-search.biz 127.0.0.1 www.1-se.com 127.0.0.1 www.58q.com 127.0.0.1 www.aifind.cc 127.0.0.1 www.aifind.info 127.0.0.1 www.allneedsearch.com 127.0.0.1 www.awebfind.biz 127.0.0.1 www.cracks.am 127.0.0.1 www.default-homepage-network.com 127.0.0.1 www.find4u.net 127.0.0.1 www.freshvideogals.com 127.0.0.1 www.i-lookup.com 127.0.0.1 www.ie-search.com 127.0.0.1 www.itseasy.us 127.0.0.1 www.mysearchnow.com 127.0.0.1 www.nativehardcore.com 127.0.0.1 www.qwertysearch123.biz 127.0.0.1 www.searchcentrix.com 127.0.0.1 www.searchmyrequest.com 127.0.0.1 www.super-spider.com 127.0.0.1 www.teen-biz.com 127.0.0.1 www.teenhqpics.com 127.0.0.1 www.webcoolsearch.com 127.0.0.1 www.wmmse.com 127.0.0.1 www.008i.com 127.0.0.1 www.2fastsearch.net 127.0.0.1 www.8095.com 127.0.0.1 www.alfa-search.com 127.0.0.1 www.boredlife.com 127.0.0.1 www.couldnotfind.com 127.0.0.1 www.cracks.am 127.0.0.1 www.daum.net 127.0.0.1 www.dreamwiz.com 127.0.0.1 www.find-itnow.com 127.0.0.1 www.find4u.net 127.0.0.1 www.firstbookmark.com 127.0.0.1 www.gajai.com 127.0.0.1 www.hand-book.com 127.0.0.1 www.hao123.com 127.0.0.1 www.hotsearchbox.com 127.0.0.1 www.hotwebsearch.com 127.0.0.1 www.hugesearch.net 127.0.0.1 www.iquicksearch.com 127.0.0.1 www.lookfor.cc 127.0.0.1 www.naver.com 127.0.0.1 www.nkvd.us 127.0.0.1 www.novafuck.com 127.0.0.1 www.ohcorea.com 127.0.0.1 www.omega-search.com 127.0.0.1 www.onet.pl 127.0.0.1 www.power-search.info 127.0.0.1 www.rightfinder.net 127.0.0.1 www.search-1.net 127.0.0.1 www.search-and-go.com 127.0.0.1 www.search-dot.com 127.0.0.1 www.search-space.com 127.0.0.1 www.searchforge.com 127.0.0.1 www.searching-the-net.com 127.0.0.1 www.searchv.com 127.0.0.1 www.searchxl.com 127.0.0.1 www.seznam.cz 127.0.0.1 www.slotch.com 127.0.0.1 www.spidersearch.com 127.0.0.1 www.startium.com 127.0.0.1 www.ttjj.com 127.0.0.1 www.viewpornkey.com 127.0.0.1 www.wazzupnet.com 127.0.0.1 www.websearch.com 127.0.0.1 www.windowws.cc 127.0.0.1 www.xgmm.com 127.0.0.1 www.xwebsearch.biz 127.0.0.1 www.yourbookmarks.ws Ich hoffe, ich bin das Ding nun los und muss nur doch meine Registry säubern. Vielen Dank schonmal bis hier hin, alleine hätte ich das nie hinbekommen. MfG, tuckminister |
|
02.06.2004, 17:05
| #10 |
| | winupd.exe und wintime.exe von Hijacker befallen Hallo, </font><blockquote>Zitat:</font><hr />Zum Inhalt hatte diese eine Auflistung von wohl zweifelhaften Links und zwar folgenden: </font>[/QUOTE]Ja, genau. Aber so herum ist es nicht schlimm. Bedeutet es nur, dass Anfragen auf eine der gelisteten Seiten nicht 'raus' gehen, sondern lokal auf Deinem Rechner gesucht werden. Du kannst das so lassen oder auch alle löschen und nur dieses hier eintragen: 127.0.0.1 localhost Das ist der Standardeintrag einer solchen HOSTS-Datei. Diese Vielzahl von Einträgen deuten daraufhin, dass Du eines der div. Scripte, die es im Internet gibt ausgeführt hast, die eine so umfangreiche HOSTS anlegen. Kannst Du Dich erinnern, soetwas mal ausgeführt zu haben? Wie gesagt ist nichts schlimmes, nur darauf verlassen, dass nichts passiert kannst Du Dich nicht, da so eine HOSTS immer nur einen Bruchteil der potentiell 'gefährlichen' Seiten abdecken kann. Zu der Registry: Durchsuche mal die komplette Registry nach Verweisen auf die Datei C:\WINDOWS\SYSTEM32\SYSTEM32.DLL und lösche diese Verweise. Vorsichtshalber solltest Du vorher eine Sicherung der kompletten Registry machen, falls Du versehentlich einen Eintrag zu viel löscht. Außerdem empfehle ich Dir, diesen Scanner noch im abgesicherten Modus über Deinen Rechner zu 'jagen' -> http://www.mwti.net/antivirus/free_utilities.asp (Free eScan Antivirus Toolkit Utility) Nach einem anschließenden Neustart poste noch ein (hoffentlich!) letztes Log von HijackThis...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
02.06.2004, 21:59
| #11 |
| | winupd.exe und wintime.exe von Hijacker befallen Die Registry habe ich wie oben beschrieben gesäubert. Wenn ich den Virenscanner über die Datei mwavscan.com starte, bekomme ich folgende Meldung: "Virus Database ist older than 30-days! We recommend that you download the latest toolkit from http://www.mwti.net." Danach startet das Programm nicht. Habe das Programm unter dem oben genannten Link heruntergeladen. Die aktuelle HijackThis- Logdatei liest sich wie folgt: ogfile of HijackThis v1.97.7 Scan saved at 22:56:23, on 02.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\AOL 8.0\WAOL.EXE C:\PROGRAMME\AOL 8.0\SHELLMON.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE O1 - Hosts: 1127.0.0.1 localhost O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net MfG, tuckminister |
|
03.06.2004, 10:53
| #12 |
| | winupd.exe und wintime.exe von Hijacker befallen Hi, </font><blockquote>Zitat:</font><hr />Wenn ich den Virenscanner über die Datei mwavscan.com starte, bekomme ich folgende Meldung: "Virus Database ist older than 30-days! We recommend that you download the latest toolkit from http://www.mwti.net." Danach startet das Programm nicht. Habe das Programm unter dem oben genannten Link heruntergeladen.</font>[/QUOTE]Komisch, bei mir hat das sowohl gestern Abend zu Hause, als auch eben im Büro geklappt, aber egal. Hat das Toolkit denn noch etwas bei Dir gefunden? </font><blockquote>Zitat:</font><hr />Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) </font>[/QUOTE]Zumindest der InternetExplorer ist veraltet. Du solltest schleunigst mal ein Windowsupdate machen. </font><blockquote>Zitat:</font><hr />O1 - Hosts: 1127.0.0.1 localhost </font>[/QUOTE]Korrigiere bitte die HOSTS. Richtig muss es heißen 127.0.0.1 Folgendes noch fixen: </font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file) </font>[/QUOTE]Gruß, Lutz
__________________ 'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a> |
|
03.06.2004, 11:24
| #13 |
| |  winupd.exe und wintime.exe von Hijacker befallen </font><blockquote>Zitat:</font><hr />Original erstellt von Lutz@Work: Hat das Toolkit denn noch etwas bei Dir gefunden?</font>[/QUOTE]Das kann ich nicht sagen, weil das frisch heruntergeladene Programm nach der Meldung gar nicht erst startet. Ansonsten vielen Dank für deine Hilfe, meinen IE werde ich schleunigst aufmotzen, der Rest ist soweit korrigiert. MfG, tuckminister |
|
| Themen zu winupd.exe und wintime.exe von Hijacker befallen |
| beste, besten, dateien, eingefangen, frage, fragen, gen, hijack this, hijacker, hilfe, infiziert, interne, kaspersky, logfile, meinem, mögliche, nicht, sauber, schonmal, startseite, stelle, technische, this, upd.exe, verseucht, virusscan, webseite, winupd.exe, woche |
Linear-Darstellung
