|
Hosts Hi, vielleicht kann mir jmd helfen: Mein "Secretmaker" bringt immer eine Meldung: A new SERVICE named mchlnjDrv attempts to install on your PC Path:..... Ich drücke auf RENAME und lasse den Scanner drüberlaufen. AntiVir erkennt keinen Virus, Bitdefender erkennt diesen als Virus (C: WINDOWS \ system32 \ drivers \ etc \ hosts ist infiziert mit Trojan.Bambo.Hosts.A Da ich nicht so der Crack bin, hab ich echt ein Problem diesen mit einem der Porgramme von meinem Rechner zu bekommen. Nachdem ich diesen mit Bitdefender gelöscht habe, kommt von Secretmaker (watchdog) wieder ein Hinweis: A HOSTS file change attempt has been watched on your computer. Und schon ist er wieder drauf. Wie gesagt: Bitdefender erkennt ihn, AntiVir nicht... Ich flipp noch aus: :snyper: Danke und Grüsse, Marco |
Hallo MTH, da behindern sich zwei Programme und dein Englisch scheint auch nicht eine Stärke von dir zu sein,oder ?:) Btw. warum bin ich sicher, das bei dir ein Filesharing-Programm am Werkeln ist ? Mach mal ein Hijack-Log. Anleitung und Download auf der Startseite unter "Anleitungen,FAQ,Links" Irrlicht |
Hallo Irrlicht, ich glaube nicht, dass es am Englisch liegt (Englisch-LK gehabt:) ), sondern eher an meinen PC-Kenntnissen. Da hätte ich wirklich Unterricht nötig. Die HJ-log-Datei hab ich gemacht: Ich sag´s Dir ganz ehrlich, das zu lesen, ist wie einen chinesischen Roman in den Händen zu halten. Logfile of HijackThis v1.99.1 Scan saved at 22:30:31, on 15.05.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE c:\progra~1\0190wa~1\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\soundman.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\bhv\Bewerbungs Trainer\Reminder.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Secretmaker\secretmaker.exe C:\Programme\Opera\Opera.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Marco Thomas\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.saturn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\System32\smiehlp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [soundmanager] soundman.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Bewerbungs Organizer] C:\Programme\bhv\Bewerbungs Trainer\Reminder.exe O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\Secretmaker\secretmaker.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - h**p://w*w.medionshop.de/ (file missing) (HKCU) O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://h**p: // us.dl1.yimg.com/down...st20040510.cab O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://h**p: // scan.safety.live.com...scbase7617.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p: // acs.pandasoftware.co...ree/asinst.cab O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://h**p: // w*w.stopzilla.com/_d...ler/dwnldr.cab O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Und vielen Dank für die Hilfe im Voraus. Grüsse, Marco |
*editiere bitte alle aktiven LINKS* z.B. so: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ |
ich hoffe, es passt so, oder?! |
noch nicht ganz! Mach aus www. - w*w! Dann passt es :daumenhoc |
@Sunny vielen Dank :o |
lass diese Dateien bei Virustotal untersuchen: C:\WINDOWS\system32\drivers\etc\hosts C:\WINDOWS\System32\mspd.exe und poste das Ergebnis! Außerdem lege ich dir Nahe das Service Pack 2 zu isnatllieren sowie ein Update deiner Software! (C:\Programme\Adobe\Acrobat 5.0\ ? (es gibt mitlerweile Ver.7.0!) Gruß Daniel |
C:\WINDOWS\System32\mspd.exe ergab keinen Virus. C:\WINDOWS\system32\drivers\etc\hosts ergab: Antivirus Version Update Result AntiVir 6.34.1.27 05.15.2006 no virus found Avast 4.6.695.0 05.15.2006 no virus found AVG 386 05.15.2006 no virus found BitDefender 7.2 05.15.2006 Trojan.Bambo.Hosts.A CAT-QuickHeal 8.00 05.15.2006 no virus found ClamAV devel-20060426 05.15.2006 no virus found DrWeb 4.33 05.15.2006 no virus found eTrust-InoculateIT 23.72.8 05.14.2006 Win32/Bambo!HOSTS!Trojan eTrust-Vet 12.4.2209 05.15.2006 no virus found Ewido 3.5 05.15.2006 no virus found Fortinet 2.76.0.0 05.15.2006 no virus found F-Prot 3.16c 05.15.2006 no virus found Ikarus 0.2.65.0 05.15.2006 Trojan.Win32.Qhost.DA Kaspersky 4.0.2.24 05.15.2006 no virus found McAfee 4762 05.15.2006 no virus found Microsoft 1.1372 05.13.2006 no virus found NOD32v2 1.1539 05.15.2006 no virus found Norman 5.90.17 05.15.2006 no virus found Panda 9.0.0.4 05.15.2006 Bck/Dumador.CU Sophos 4.05.0 05.15.2006 no virus found Symantec 8.0 05.15.2006 no virus found TheHacker 5.9.7.143 05.15.2006 no virus found UNA 1.83 05.15.2006 no virus found VBA32 3.11.0 05.15.2006 no virus found |
wie ich es schon vermutet habe hast du diesen Trojaner im System: Bck/Dumador.CU - dieser modifiziert die HOST Datein.. öffne mal mit einem Editor diese "hosts" datei und poste das Ergebnis! Sollte sie zu groß sein häng sie einfach mit dran! Ich kann dir in diesem Fall nur zum Neuaufsetzen raten: Besorg dir aber bitte im Vorfeld das Service Pack 2 wie ebend in der PN schon beschrieben! Warum, wird dir folgnder LINK erklären! Neuinstallation Gruß Daniel |
öffne mal mit einem Editor diese "hosts" datei und poste das Ergebnis! Sollte sie zu groß sein häng sie einfach mit dran! oh shit. was ist ein editor? Ich kann dir in diesem Fall nur zum Neuaufsetzen raten: Besorg dir aber bitte im Vorfeld das Service Pack 2 wie ebend in der PN schon beschrieben! Warum, wird dir folgnder LINK erklären! Neuinstallation oh gott, ich ahne übles... |
also, suche das Verzeichnis: C:\WINDOWS\system32\drivers\etc\ suche die datei "hosts" -->mit zweiter Maustaste anklicken, öffnen mit.., EDITOR! Sollte EDITOR nicht dastehen, nimmst du PROGRAMM AUSWÄHLEN und suchst dann EDITOR Solltest Du noch Probleme haben melde dich hier nochmal.. |
Mach ein Klick auf Start, Ausführen. Kopier folgende Zeile hinein: Code: notepad %windir%\system32\drivers\etc\hostsEdit: Hi Sunny, diesmal warst Du schneller. :) |
Zitat:
|
@Sunny hast echt n Bierchen verdient... ich kann den Anhang nicht hinzufügen, da etwas zu gross...:heulen: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board