|
schiebe noch ein "n" für NaNgie hinterher... sorry |
Zitat:
(auch @ Nangie) Mit http://81.176.69.79/de/remoteviruschk.html muss der Browser keine DNS-Anfrage stellen sondern geht direkt auf 81.176.69.79 und ies ist "zufällig" Kaspersky.com. Die Abfrage AUF der Seite [Button ÜBERPRÜFEN] geht aber dann wieder nach kaspersky.com (leider wurde da intern ein absoluter Pfad angegeben). Also muss der Browser wieder eine DNS-Anfrage stellen und die Malware hat dies verbogen! @Chaban: such mal nach der Hosts-Datei, ist versteckt und liegt im allgemeinen unter: c:\windows\system32\drivers\etc Der normale Inhalt: Zitat:
Hier reinposten und mit Kaspersky noch mal testen |
@ Shadow Danke - wieder was dazu gelernt :) ich geb dir 'nen Kaffee ;-D |
@Shadow: boah, Du verlangst Sachen von mir, von denen ich nichtmal geahnt hätte, dass es sie überhaupt gibt... :D Nach ein bischen suchen, hier meine Hosts-Datei: #127.0.0.1 www.symantec.com #127.0.0.1 securityresponse.symantec.com #127.0.0.1 symantec.com #127.0.0.1 www.sophos.com #127.0.0.1 sophos.com #127.0.0.1 www.mcafee.com #127.0.0.1 mcafee.com #127.0.0.1 liveupdate.symantecliveupdate.com #127.0.0.1 www.viruslist.com #127.0.0.1 viruslist.com #127.0.0.1 viruslist.com #127.0.0.1 f-secure.com #127.0.0.1 www.f-secure.com #127.0.0.1 kaspersky.com #127.0.0.1 www.avp.com #127.0.0.1 www.kaspersky.com #127.0.0.1 avp.com #127.0.0.1 www.networkassociates.com #127.0.0.1 networkassociates.com #127.0.0.1 www.ca.com #127.0.0.1 ca.com #127.0.0.1 mast.mcafee.com #127.0.0.1 my-etrust.com #127.0.0.1 www.my-etrust.com #127.0.0.1 download.mcafee.com #127.0.0.1 dispatch.mcafee.com #127.0.0.1 secure.nai.com #127.0.0.1 nai.com #127.0.0.1 www.nai.com #127.0.0.1 update.symantec.com #127.0.0.1 updates.symantec.com #127.0.0.1 us.mcafee.com #127.0.0.1 liveupdate.symantec.com #127.0.0.1 customer.symantec.com #127.0.0.1 rads.mcafee.com #127.0.0.1 trendmicro.com #127.0.0.1 www.trendmicro.com (Alles natürlich ohne #) Hilft Dir und mir das jetzt irgendwie weiter????? Liebe Grüße Claudia |
Die Zeilen einfach auskommentieren (also ein '#' davor, wie in Deinem Posting), oder gleich ganz löschen. Ansonsten sucht der Browser (oder der Updater) die Updates und Virenprogramme auf Deinem PC (=127.0.0.1). ;) Gruß :daumenhoc Yopie |
Aaaaaahhhh soooo... Mönsch, Jungs, ich bin doch blond. Da brauchen manche Sachen schonmal was länger, eh ich sie verstanden habe... *einsnickersreichtweilsmalwiederetwaslängerdauert* :D |
Juhu!! Das Auskommentieren hat geklappt! Die Kaspersky-Seite war komplett zu sehen und der Scan hat auch funktioniert. Allerdings war die Datei msvsrv32.exe ok, also ohne Befund. Um ehrlich zu sein: soll ich mich jetzt darüber freuen? Ich mein, wenn die Datei es nicht ist, welche dann?? *grübel* |
Das "Auskommentieren" diente nur dazu dass es wieder rückgängig gemacht werden kann. Da aber alles was Du da gepostet hast, "falsch" ist => alles löschen gibt rechte Maustaste => Eigenschaften => Version auf msvsrv32.exe keinen Hersteller? |
Wahrscheinlich wird die Datei von Kaspersky noch nicht erkannt. Denn unter http://www.computerhilfen.de/hilfen-17-33353-0.html sind die gleichen Symptome beschrieben im Zusammenhang mit der Datei. Versuche die Datei zur Sicherheit erstmal umzubenennen (evtl. abgesicherter Modus), und schick sie mal an virus@rokop-security mit einer kurzen Erklärung, das Kaspersky online nichts erkannt hat, Du aber davon ausgehst, das die Datei nicht koscher ist. ;) Gruß :daumenhoc Yopie |
Nochmal für Blonde ;-): kann ich den Inhalt der Hosts-Datei jetzt löschen?? *fragendguck* Zu msvsrv32.exe gibt es außer der Dateigröße keinen weiteren Hinweis. Also kein Hersteller, keine Versionsnummer o.ä. Mal ne blöde Frage: wenn ich die Datei jetzt weiter maile, richte ich damit keinen Schaden an? Wäre es vielleicht besser, erstmal vorab an virus@rokop-security (was eigentlich .com oder .de??) zu mailen? Ich mein, wenn der HighJacker bisher nicht erkannt wird...? Liebe Grüße Claudia, die wohl einen HighJack-Prototyp auf dem PC hat... ;-) |
Zitat:
Zitat:
Die Jungs (und Mädels :D ) dort können mit der Datei schon umgehen, wenn Du sie direkt hinmailst. Du kannst sie aber auch gezippt hinschicken; nur ausführen solltest Du sie erstmal nicht. :) Mehr dazu hier. Gruß :daumenhoc Yopie |
Guten Morgen! Hab gerade Antwort von Roman bekommen: Hallo Claudia, Ich habe die Datei gecheckt, sie ist nur leider sehr stark verschlüsselt, dass ich nicht richtig schlau daraus werde. Eines meiner AV Programme meldet sie als infiziert, ich habe sie deshalb zur genaueren Analyse eingeschickt. Sobald ich darüber Informationen habe, melde ich mich noch einmal. Schaun wir mal, was dabei rauskommt. Nachdem gestern abend, nachdem ich die Hosts-Datei auskommentiert hatte, alles stabil lief (bis auf mein Java-Problem *seufz*), stehe ich nämlich heute morgen wieder vor dem selben Problem: ich bin schon wieder "entführt" :heulen: Werd also gleich nochmal eScan & Co. bemühen... *seufz* Liebe Grüße Claudia |
Hallo! So, hier die "Auflösung" Hallo, scheint eine Backdoor SDBot Variante zu sein, Datei also unbedingt im abgesicherten Modus löschen (auch Registry Eintrag) Dazu eine Frage, wie und wo lösche ich einen Eintrag in der Registry? Hab sowas noch nie manuell gemacht... Und dann hab ich vorhin nochmal`s eScan laufen lassen, der in C:\Windows\System32\Drivers\etc den Trojaner "Trojan.Win32.Qhost gefunden und gelöscht hat. Gibt es dazu noch irgendetwas zu beachten? Wenn`s was hilft, könnte ich auch nochmal den aktuellen Log-File (erstellt nach eScan-Durchlauf) von HighJackThis hier einstellen. Liebe Grüße Claudia |
Mach eine sicherrung deiner Registry wenn du unsicher bist. Ansonsten: Regedit starten "einfach" den Eintrag suchen, diesne und nur diesen Eintrag anwählen/markieren und löschen :-) zu Qhost ein Online-AV-Scan mit anderem Programm kann nicht schaden (wenn Du DSL-Flat hast) schau mal nach was da (C:\Windows\System32\Drivers\etc ) alles für Dateien drin sind und poste die Namen ausser der Datei "hosts" sollten alle Dateien eigentlich vom selben alten Datum sein, ob es in allen XP-Versionen identisch ist weiß ich nicht, aber hier habe ich grad eine Kundenkiste mit Datum auf allen 5 Dateien vom 23.08.2001 14:00 |
Guten Morgen Ihr Lieben! ;) Ich wollte mich bei Euch ganz herzlich für Eure Hilfe bedanken! Es sieht nämlich tatsächlich so aus, als sei ich das Problemn los! *freu* Ich habe heute morgen noch meinen alten Virenscanner von der Platte geschmissen und Ad-Aware 6.0 installiert, der nochmal einige Fehler gefunden hat. Übrigens auch die msvsrv32.exe.... Jetzt muss ich "nur" noch schauen, wie ich diesen blöden Visual C++ Runtime-Libary-Fehler in den Griff bekomme. Dazu ist mir übrigens aufgefallen, dass a) meine T-Online-Software nicht mehr funktioniert (nutze ich zum Online-Banking) und b) seit dem Update der selben der ganze Schlammassel mit den High-Jackern und diversen anderen Fehlern erst angefangen hat. Zufall? Vielleicht hat ja hier noch jemand einen Tipp dazu? *hoff* Liebe Grüße Claudia |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board