schiebe noch ein "n" für NaNgie hinterher... sorry

Zitat:

Zitat von Chaban88

@Shadow: komme zwar auf die Seite, kann auch den Pfad der Datei eingeben, aber wenn ich auf Überprüfen klicke, kommt auch "Seite kann nicht angezeigt werden"

Dein Browser ist entführt gehighjacked/highgejacked/?? naja er ist High.
(auch @ Nangie)
Mit http://81.176.69.79/de/remoteviruschk.html muss der Browser keine DNS-Anfrage stellen sondern geht direkt auf 81.176.69.79 und ies ist "zufällig" Kaspersky.com.
Die Abfrage AUF der Seite [Button ÜBERPRÜFEN] geht aber dann wieder nach kaspersky.com (leider wurde da intern ein absoluter Pfad angegeben). Also muss der Browser wieder eine DNS-Anfrage stellen und die Malware hat dies verbogen!

@Chaban: such mal nach der Hosts-Datei, ist versteckt und liegt im allgemeinen unter: c:\windows\system32\drivers\etc

Der normale Inhalt:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# blablabla
# blablabla
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Steht hier mehr mal (ohne # davor) auskommentieren, in dem du ein Doppelkreuz # an den Zeilenanfang setzt.
Hier reinposten und mit Kaspersky noch mal testen

@ Shadow

Danke - wieder was dazu gelernt

ich geb dir 'nen Kaffee ;-D

@Shadow: boah, Du verlangst Sachen von mir, von denen ich nichtmal geahnt hätte, dass es sie überhaupt gibt...

Nach ein bischen suchen, hier meine Hosts-Datei:


#127.0.0.1 www.symantec.com
#127.0.0.1 securityresponse.symantec.com
#127.0.0.1 symantec.com
#127.0.0.1 www.sophos.com
#127.0.0.1 sophos.com
#127.0.0.1 www.mcafee.com
#127.0.0.1 mcafee.com
#127.0.0.1 liveupdate.symantecliveupdate.com
#127.0.0.1 www.viruslist.com
#127.0.0.1 viruslist.com
#127.0.0.1 viruslist.com
#127.0.0.1 f-secure.com
#127.0.0.1 www.f-secure.com
#127.0.0.1 kaspersky.com
#127.0.0.1 www.avp.com
#127.0.0.1 www.kaspersky.com
#127.0.0.1 avp.com
#127.0.0.1 www.networkassociates.com
#127.0.0.1 networkassociates.com
#127.0.0.1 www.ca.com
#127.0.0.1 ca.com
#127.0.0.1 mast.mcafee.com
#127.0.0.1 my-etrust.com
#127.0.0.1 www.my-etrust.com
#127.0.0.1 download.mcafee.com
#127.0.0.1 dispatch.mcafee.com
#127.0.0.1 secure.nai.com
#127.0.0.1 nai.com
#127.0.0.1 www.nai.com
#127.0.0.1 update.symantec.com
#127.0.0.1 updates.symantec.com
#127.0.0.1 us.mcafee.com
#127.0.0.1 liveupdate.symantec.com
#127.0.0.1 customer.symantec.com
#127.0.0.1 rads.mcafee.com
#127.0.0.1 trendmicro.com
#127.0.0.1 www.trendmicro.com

(Alles natürlich ohne #)

Hilft Dir und mir das jetzt irgendwie weiter?????

Liebe Grüße
Claudia

Die Zeilen einfach auskommentieren (also ein '#' davor, wie in Deinem Posting), oder gleich ganz löschen.

Ansonsten sucht der Browser (oder der Updater) die Updates und Virenprogramme auf Deinem PC (=127.0.0.1).

Gruß
Yopie

Aaaaaahhhh soooo... Mönsch, Jungs, ich bin doch blond. Da brauchen manche Sachen schonmal was länger, eh ich sie verstanden habe... *einsnickersreichtweilsmalwiederetwaslängerdauert*

Juhu!! Das Auskommentieren hat geklappt! Die Kaspersky-Seite war komplett zu sehen und der Scan hat auch funktioniert. Allerdings war die Datei msvsrv32.exe ok, also ohne Befund.
Um ehrlich zu sein: soll ich mich jetzt darüber freuen? Ich mein, wenn die Datei es nicht ist, welche dann?? *grübel*

Das "Auskommentieren" diente nur dazu dass es wieder rückgängig gemacht werden kann.
Da aber alles was Du da gepostet hast, "falsch" ist => alles löschen
gibt rechte Maustaste => Eigenschaften => Version auf msvsrv32.exe keinen Hersteller?

Wahrscheinlich wird die Datei von Kaspersky noch nicht erkannt.

Denn unter http://www.computerhilfen.de/hilfen-17-33353-0.html sind die gleichen Symptome beschrieben im Zusammenhang mit der Datei.

Versuche die Datei zur Sicherheit erstmal umzubenennen (evtl. abgesicherter Modus), und schick sie mal an virus@rokop-security mit einer kurzen Erklärung, das Kaspersky online nichts erkannt hat, Du aber davon ausgehst, das die Datei nicht koscher ist.

Gruß
Yopie

Nochmal für Blonde ;-): kann ich den Inhalt der Hosts-Datei jetzt löschen?? *fragendguck*

Zu msvsrv32.exe gibt es außer der Dateigröße keinen weiteren Hinweis. Also kein Hersteller, keine Versionsnummer o.ä.

Mal ne blöde Frage: wenn ich die Datei jetzt weiter maile, richte ich damit keinen Schaden an? Wäre es vielleicht besser, erstmal vorab an virus@rokop-security (was eigentlich .com oder .de??) zu mailen? Ich mein, wenn der HighJacker bisher nicht erkannt wird...?

Liebe Grüße
Claudia, die wohl einen HighJack-Prototyp auf dem PC hat... ;-)

Zitat:

Zitat von Chaban88

Nochmal für Blonde ;-): kann ich den Inhalt der Hosts-Datei jetzt löschen?? *fragendguck*

Ja, alles löschen außer den evtl. vorhandenen Eintrag " 127.0.0.1 localhost".

Zitat:

Zitat von Chaban88

Mal ne blöde Frage: wenn ich die Datei jetzt weiter maile, richte ich damit keinen Schaden an? Wäre es vielleicht besser, erstmal vorab an virus@rokop-security (was eigentlich .com oder .de??) zu mailen? Ich mein, wenn der HighJacker bisher nicht erkannt wird...?

Sorry, an virus@rokop-security.de geht die Mail.
Die Jungs (und Mädels ) dort können mit der Datei schon umgehen, wenn Du sie direkt hinmailst. Du kannst sie aber auch gezippt hinschicken; nur ausführen solltest Du sie erstmal nicht.

Mehr dazu hier.

Gruß
Yopie

Guten Morgen!

Hab gerade Antwort von Roman bekommen:

Hallo Claudia,

Ich habe die Datei gecheckt, sie ist nur leider sehr stark
verschlüsselt, dass ich nicht richtig schlau daraus werde.
Eines meiner AV Programme meldet sie als infiziert, ich habe sie
deshalb zur genaueren Analyse eingeschickt.
Sobald ich darüber Informationen habe, melde ich mich noch einmal.

Schaun wir mal, was dabei rauskommt. Nachdem gestern abend, nachdem ich die Hosts-Datei auskommentiert hatte, alles stabil lief (bis auf mein Java-Problem *seufz*), stehe ich nämlich heute morgen wieder vor dem selben Problem: ich bin schon wieder "entführt" Werd also gleich nochmal eScan & Co. bemühen... *seufz*

Liebe Grüße
Claudia

Hallo!

So, hier die "Auflösung"

Hallo,
scheint eine Backdoor SDBot Variante zu sein, Datei also unbedingt im
abgesicherten Modus löschen (auch Registry Eintrag)

Dazu eine Frage, wie und wo lösche ich einen Eintrag in der Registry? Hab sowas noch nie manuell gemacht...

Und dann hab ich vorhin nochmal`s eScan laufen lassen, der in C:\Windows\System32\Drivers\etc den Trojaner "Trojan.Win32.Qhost gefunden und gelöscht hat. Gibt es dazu noch irgendetwas zu beachten?

Wenn`s was hilft, könnte ich auch nochmal den aktuellen Log-File (erstellt nach eScan-Durchlauf) von HighJackThis hier einstellen.

Liebe Grüße
Claudia

Mach eine sicherrung deiner Registry wenn du unsicher bist.
Ansonsten:
Regedit starten
"einfach" den Eintrag suchen, diesne und nur diesen Eintrag anwählen/markieren und löschen
:-)

zu Qhost
ein Online-AV-Scan mit anderem Programm kann nicht schaden (wenn Du DSL-Flat hast)

schau mal nach was da (C:\Windows\System32\Drivers\etc ) alles für Dateien drin sind und poste die Namen
ausser der Datei "hosts" sollten alle Dateien eigentlich vom selben alten Datum sein, ob es in allen XP-Versionen identisch ist weiß ich nicht, aber hier habe ich grad eine Kundenkiste mit Datum auf allen 5 Dateien vom 23.08.2001 14:00

Guten Morgen Ihr Lieben!

Ich wollte mich bei Euch ganz herzlich für Eure Hilfe bedanken! Es sieht nämlich tatsächlich so aus, als sei ich das Problemn los! *freu*
Ich habe heute morgen noch meinen alten Virenscanner von der Platte geschmissen und Ad-Aware 6.0 installiert, der nochmal einige Fehler gefunden hat. Übrigens auch die msvsrv32.exe....

Jetzt muss ich "nur" noch schauen, wie ich diesen blöden Visual C++ Runtime-Libary-Fehler in den Griff bekomme. Dazu ist mir übrigens aufgefallen, dass a) meine T-Online-Software nicht mehr funktioniert (nutze ich zum Online-Banking) und b) seit dem Update der selben der ganze Schlammassel mit den High-Jackern und diversen anderen Fehlern erst angefangen hat. Zufall?

Vielleicht hat ja hier noch jemand einen Tipp dazu? *hoff*

Liebe Grüße
Claudia