Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner in Host Datei (https://www.trojaner-board.de/10770-trojaner-host-datei.html)

Bolzplatz 14.12.2004 21:54
Trojaner in Host Datei
 
Hallo Leute,

ich hoffe Ihr wißt rat, denn ich weiß nicht mehr weiter und auf format c hab ich einfach keinen bock!

Ich habe mir vor zwei Tagen einen Trojaner(oder auch mehrere) eingefangen und bekomme sie einfach nicht wieder los!
Trotz Spybot, Spysweeper und einer Menge anderer Tool, die zwar die Sachen erkennen, ist es nicht möglich diese auch zu löschen.( auch im abgesicherten Modus)

Mein Host File sieht so aus:

127.0.0.1 localhost
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch

Und auch mit hijacker im abgesicherten Modus konnte ich einige Sachen nicht löschen.

Der Log File sieht so aus:
Logfile of HijackThis v1.97.7
Scan saved at 21:46:50, on 14.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
K:\WINDOWS\System32\smss.exe
K:\WINDOWS\system32\winlogon.exe
K:\WINDOWS\system32\services.exe
K:\WINDOWS\system32\lsass.exe
K:\WINDOWS\system32\svchost.exe
K:\WINDOWS\System32\svchost.exe
G:\Sygate\SPF\smc.exe
K:\WINDOWS\system32\spoolsv.exe
K:\WINDOWS\Explorer.EXE
G:\Programme\Antivir\AVGUARD.EXE
G:\Programme\Antivir\AVWUPSRV.EXE
G:\Programme\Bluetooth adapter\bin\btwdins.exe
K:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\Programme\matlab\webserver\bin\win32\matlabserver.exe
K:\WINDOWS\System32\nvsvc32.exe
K:\WINDOWS\System32\svchost.exe
G:\Programme\D-Tools\daemon.exe
K:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
K:\WINDOWS\Mixer.exe
K:\WINDOWS\System32\qttask.exe
K:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
K:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
K:\WINDOWS\system32\rundll32.exe
K:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
G:\Programme\dursicht desktop\DurchSicht2003.exe
G:\Programme\Antivir\AVGNT.EXE
D:\Programme\Winamp\Winampa.exe
K:\WINDOWS\StartupMonitor.exe
G:\Programme\Restore Desktop\RestoreDesktop.exe
K:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
G:\Programme\Adobe\Distillr\AcroTray.exe
K:\WINDOWS\system32\NOTEPAD.EXE
K:\Programme\Trojancheck 6\tcguard.exe
K:\Programme\Internet Explorer\iexplore.exe
K:\Dokumente und Einstellungen\admin\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\winxp\system32\blank.htm
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - K:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - k:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE K:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] G:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Nokia Tray Application] K:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Remote Selector] K:\PROGRA~1\infra\REMSEL~1.EXE startup
O4 - HKLM\..\Run: [QuickTime Task] "K:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TerraTec Remote Control] "K:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] K:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [start] G:\Programme\dursicht desktop\DurchSicht2003.exe
O4 - HKLM\..\Run: [SpybotSnD] "K:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKCU\..\Run: [RestoreDesktop] G:\Programme\Restore Desktop\RestoreDesktop.exe
O4 - HKCU\..\Run: [SpySweeper] "K:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Acrobat Assistant.lnk = G:\Programme\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = K:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://k:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://k:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://K:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - G:\Programme\Bluetooth adapter\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://k:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://k:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Die Sachen unter 01 gehen einfach nicht raus!

Hat irgendwer eine Ahnung was zu machen ist!
Vielen Dank!
Der Bolzplatz

Passat2002 14.12.2004 22:26
http://www.cheesebuerger.de/smiliege...lage/79/30.png und http://www.cheesebuerger.de/smiliege...lage/79/29.png

Bolzplatz 14.12.2004 23:02
Danke für die schnelle Antwort.
Es geht aber auch anders!

Sobald man die Systemwiederherstellung für alle Festpaltten deaktiviert, konnte man im abgesicherten Modus, auch mit dem alten Hijacker die, entsprechenden Sachen fixen.
Und siehe da alle Einträge sind aus der host Datei weg und der Rechner ist sauber!

Gruß
Der Bolzplatz

Passat2002 14.12.2004 23:16
sicher geht es auch anders, da gebe ich dir vollkommen recht :rolleyes:
du wolltest eine auskunft, und ich habe dir eine gegeben, die zu deinem system gepasst hat. übrigens heute ist patchday bei windows ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55