Internet Explorer Hackes by und C lässt sich nicht öffnen
 

Hallo, ich bin nach der Suche zu der lösung des Problems nicht weitergekommen, währe super nett von euch, wenn mir jemand helfen könnte!!

Problem: als erstes Stand oben in der titelleiste des IE: Hacked by: CAS-2D3ubozysxg. Nun kann ich Laufwerk C: im Arbeitsplatz mit einem Doppelcklick nicht öffnen, Fehlermeldung Die Skriptdatei :C:/ CAS-2d3ubozysxg.vbs wurde nicht gefunden, falls jemand einer Idee hat, bitte für einen Leien erklaären, schon mal 1000 Dank im voraus, Gruß Melanie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:24:19, on 11.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ESI\U46\u46pan.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Dokumente und Einstellungen\Wagner\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.sascha-kloeber.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by CAS-2D3UB0ZYSXG
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Hercules DJ Series] C:\Programme\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe /boot
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: U46 Control Panel.lnk = C:\Programme\ESI\U46\u46pan.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0564ED56-8647-4318-8098-A22080B1F193}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{0564ED56-8647-4318-8098-A22080B1F193}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4818 bytes

hat niemand eine idee, damit ich heute abend noch was ausprobieren kann?? sorry das ich so nerve aber ich brauch den rechner so dringend, danke!!

Halli hallo.

folgende Vorgehensweise hat sich bewährt:

1. Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen.

2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

* Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
* Geschützte Systemdateien ausblenden -> Haken weg
* Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
* Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen


3. Taskmanager: alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden.

4. Die schon erkannte VBS-Datei löschen.

5. Deine Festplatten nach Dateien mit dem Namen autorun.inf absuchen. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen.

6. In HiJackThis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:

7. Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran. Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun. Zusätzlich kannst Du auch vorher in system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows.

8. Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen beachten.

Poste mal wie es danach aussieht.

Hallo,

danke für die ANTWORT!!

Was meinst du hiermit:

4. Die schon erkannte VBS-Datei löschen.

Wo ist die erkannt und wie lösche ich diese?? Gruß!!

Einfach wie in meiner Signatur beschrieben wird nach *.vbs Dateien suchen und diese löschen. Sollten so ähnlich aussehen:
Du kannst auch Kaspersky mal drüber gucken lassen.


AVP-Tool

• Downloade dir das Tool: Kaspersky Virus Removal Tool Download
• Installiere es wie vorgeschlagen.
• Räume mit dem cCleaner auf. Punkte 1&2
• Starte das AVP-Tool.
• Setze unter Automatic Scan alle verfügbaren Häkchen so dass dein gesammter Computer untersucht wird.
• Klicke im Hauptfenster unter Settings auf "Security Level".
• Klicke unter Security Level auf den "Customize..."-Button.
  • General:
    • File types: Scan all files.
    • Productivity: Keine Häkchen setzen.
    • Compound files: Alle Häkchen setzen:
      • Scan All archives.
      • Scan All emdedded OLE objects.
      • Parse e-mail formats.
      • Scan passwort protected archives. (Das wird dazu führen, dass du während des Scans nach den Passwörtern für die Archive gefragt wirst. Weisst du diese grade nicht mehr kannst du die Untersuchung des Archives einfach überspringen.
  • Heuritic analyzer: Alle drei Häkchen setzen und den Schieberegler ganz nach rechts auf "High" stellen.
    • Rootkit Search:
      • Enable rootkits search
      • Enable deep rootkits search
    • Use heuristic analizer:
      • Häkchen setzen
      • Schieberegler ganz nach rechts auf "High" stellen.

• Übernehme alle Einstellungen durch Klicken des "OK"-Buttons.
• Stelle im Hauptfenster noch einmal sicher, dass dein gesammter PC untersucht wird und starte den Scan durch Klicken des "Scan"-Buttons.

Der Scan beginnt in einem neuen Fenster.
Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern.
Nach Abschluss des Scans wirst du über gefundene Objekte informiert.
Folge den empfohlenen Maßnahmen!
Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren.
Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen.
In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen.
Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht.
Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden!