Lex1th 10 Geschrieben 2. Juni 2004 Melden Teilen Geschrieben 2. Juni 2004 Habe bei einem bekannten ein Problem: Er hat ein paar Trojaner auf seinem PC (WIN2k). Symantec und Kaspersky drüberlaufen lassen und der PC war sauber. Jedoch ändert sich jedesmal die Startseite des IE mit irgendwelchen Pornos. Ad-Aware, Spybot, CWShredder habe einiges gefunden aber haben es nicht gelöst. Die hosts -Datei ist aber voll mit 127.0.0.1 und irgendwelchen urls. (ca. 200 Stück) Habe sie aus der Hosts gelöscht aber sofort sind die Einträge wieder drin. Weiß ja jemand etwas mehr drüber oder hatte ähnliche Erfahrungen? Habe alle Prozesse die nicht notwendig sind, geschlossen. Aber die Hosts füllt sich dennoch jedesmal neu. 1. Kann ich die TCP/IP Einstellungen deinstallieren und neu installieren um komplett neue Hosts zu generieren? 2.Gibt es eine Möglichkeit in der Registry zu sehen was alles gestartet wird ? Sehe ich dort mehr als in msconfig? Zitieren Link zu diesem Kommentar
saracs 10 Geschrieben 2. Juni 2004 Melden Teilen Geschrieben 2. Juni 2004 hi! hast du evtl die systemwiederherstellung vergessen zu deaktivieren? dann ist jeder löschversuch für die katz :( hangel dich mal an dieser anleitung entlang dann sollte sich das problem lösen ;) http://www.mcseboard.de/showthread.php?s=&threadid=30691 gruss saracs ps: falls du mit hijackthis nicht klar kommst poste einfach das log-file. ich schaus mir dann mal an ;) Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 3. Juni 2004 Melden Teilen Geschrieben 3. Juni 2004 Servus, guck doch mal ob die eine Datei Namens winupd.exe auf deinem Rechner hast ? Wenn ja, kannste löschen, bei mir da das Ding ein Trojaner (nein, hat nix mit dem MS-Update-Service zu tun), und wurde über die Autostart-Reg-Einträge gestartet. mfg motzel Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 3. Juni 2004 Melden Teilen Geschrieben 3. Juni 2004 Na Lex, was ist mit dem HiJack-Log? Da steht (wenn vorhanden) auch die winupd.exe (der Tip von motzel) bestimmt drin, oder? Grüße Olaf Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 3. Juni 2004 Melden Teilen Geschrieben 3. Juni 2004 ...Oder die Einträge in der Host manuell löschen, und anschliessend die Datei sofort mit Schreibschutz versehen. Oder wenns nicht klappen sollte die Datei zu schützen bevor die Einträge geschrieben werden, einfach ´ne Kopie machen, säubern, schützen, und anschliessend die alte löschen und die neue umbennen. :wink2: Zitieren Link zu diesem Kommentar
Lex1th 10 Geschrieben 4. Juni 2004 Autor Melden Teilen Geschrieben 4. Juni 2004 Vielen Dank für die Hinweise. Ich habe heute abend den PC zu Hause und dann werde ich das HiJack posten und eure Tips befolgen. Ihr könnt ja heute Abend hier mal reinschauen. Hoffe das ich um 22 Uhr soweit bin... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 4. Juni 2004 Melden Teilen Geschrieben 4. Juni 2004 Hi Lex, nur so am Rande - willst du den PC wirklich weiter laufen lassen? Wenn das Teil so sehr von Viren und Würmern durchsetz war würde ich liebe ne Datensicherung erstellen und das System neu aufsetzen. Die vorgenannten Tools sind zwar echt leistungsfähig und können bei einem entsprechenden Problem sehr schnell Abhilfe schaffen. Ich habe das jedoch immer nur als Übergangslösung verwendet bis ich den Rechner mal 1 Tag bei mir hatte und habe ihn dann neu aufgesetzt. Vertrauen kannst du so einem System nämlich nicht mehr. Diese Tools gehen so tief ins System, wer weiss wo die überall ihre Spuren hinterlassen haben... Gruß Zitieren Link zu diesem Kommentar
Lex1th 10 Geschrieben 4. Juni 2004 Autor Melden Teilen Geschrieben 4. Juni 2004 Den Rechner kann ich nicht einfach "mal so" neu einspielen weil da doch offenbar einige Banking Sachen drauf sind. Die winupd.exe ist leider nicht dabei. Hier ist der Log: Logfile of HijackThis v1.97.7 Scan saved at 18:38:36, on 04.06.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\TUN\COMMON\ESLCBCST.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\Programme\Norton SystemWorks\Norton Speed Disk\nopdb.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\cmd.exe C:\WINNT\explorer.exe C:\Dokumente und Einstellungen\administrator.NICOLAY\Desktop\Neuer Ordner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir1.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir1.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir1.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir1.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir1.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = , R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O8 - Extra context menu item: &iSearch The Web - res://C:\WINNT\System32\toolbar.dll/SEARCH.HTML O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nicolay.local O17 - HKLM\System\CCS\Services\Tcpip\..\{98163C7C-AF4A-4E0D-917F-3074392D2905}: NameServer = 192.168.100.254,212.185.253.136,217.237.159.193,192.168.100.2,194.25.0.69,194.25.0.70,217.5.99.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{DFE5BBA7-36B4-4A0A-AB8F-A2DE0F946E81}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nicolay.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nicolay.local Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 4. Juni 2004 Melden Teilen Geschrieben 4. Juni 2004 Autsch, du hast deinen PC nicht gepatcht!!! Du hast erst SP2 und alle weiteren Anti-Wurm-Patches laufen AFAIK nicht damit. Alle Viren und Würmer haben somit freien Zutritt. Ich weiss wirklich nicht, ob sich das lohnt, dir da zu helfen. Und Banking-SW kann ebenfalls gesichert und restauriert werden. Ich hätte übrigens eine Höllenangst, dass mir der neue Wurm (der übrigens von deinem Rechner auch "unterstützt" werden würde) alle Kontodaten und Passwörter ausspioniert. Du weist ja nicht genau, welche Trojaner/Würmer jetzt noch drauf sind... OK, trotzdem mal der Versuch, ich kopier die Log-Zeile hier mit Kommentar hin (bitte nur mit Backupfuntion von HiJackthis löschen, falls der Versuch fehlschlägt!): Ist das alles, was von Norton Security läuft? Ich dachte immer, das Teil besteht aus 2-3 Programmteilen, die als Tasks alle gleichzeitig laufen? (Könnte das jemand bestätigen oder dementieren?) C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe Was genau ist das folgende Prog? C:\TUN\COMMON\ESLCBCST.EXE Folgende Zeilen *alle* rauslöschen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir1.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir1.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir1.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir1.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir1.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = , R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) Ebenfalls raus (bei Bedarf wieder nachinstallieren) O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx Weg auch damit: O8 - Extra context menu item: &iSearch The Web - res://C:\WINNT\System32\toolbar.dll/SEARCH.HTML Und wenn du keinen DNS-Server hast (wovon ich ausgehe), auch dieses alles raus: O17 - HKLM\System\CCS\Services\Tcpip\..\{98163C7C-AF4A-4E0D-917F-3074392D2905}: NameServer = 192.168.100.254,212.185.253.136,217.237.159.193,192.168.100.2,194.25.0.69,194.25.0.70,217.5.99.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{DFE5BBA7-36B4-4A0A-AB8F-A2DE0F946E81}: NameServer = 192.168.120.252,192.168.120.253 Anschließend mit einem absolut aktuellen Virenscanner (aktualisieren!) nochmal drübergehen. Bei f-prot kannst du dir den DOS-Scanner mit neuester Signatur runterladen, in den Norton hätte ich bei dem gehackten System erstmal überhaupt kein Vertrauen mehr. Grüße Olaf Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 4. Juni 2004 Melden Teilen Geschrieben 4. Juni 2004 Ach so, bevor ich es vergesse, lies noch folgenden Thread und lass das Prog auch nochmal drüberlaufen, poste dann das Log auch. http://www.mcseboard.de/showthread.php?s=&threadid=34233 Zitieren Link zu diesem Kommentar
Lex1th 10 Geschrieben 4. Juni 2004 Autor Melden Teilen Geschrieben 4. Juni 2004 Original geschrieben von edv-olaf Autsch, du hast deinen PC nicht gepatcht!!! Du hast erst SP2 und alle weiteren Anti-Wurm-Patches laufen AFAIK nicht damit. Alle Viren und Würmer haben somit freien Zutritt. Ich weiss wirklich nicht, ob sich das lohnt, dir da zu helfen. Vielen Dank für Deine Tips. Einige Fragen aber habe ich noch zuvor. Soll ich das ServicePack 4 draufspielen? Vor oder nach dem Löschen der Zeilen? Was genau ist das folgende Prog? C:\TUN\COMMON\ESLCBCST.EXE Das ist eine Verwaltungssoftware die dort auf dem Server läuft. Deshalb auch der DNS Server Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 4. Juni 2004 Melden Teilen Geschrieben 4. Juni 2004 Original geschrieben von Lex1th Soll ich das ServicePack 4 draufspielen? Vor oder nach dem Löschen der Zeilen? Ich würde folgende Reihenfolge durchführen: - erst die Zeilen löschen, - schauen, ob der PC nach einem Neustart noch läuft, - dann nochmal scannen und hoffen, dass die Zeilen nicht wieder auftauchen, (sonst wird es langsam hoffnungslos) - wenn der PC sauber ist, SP4 installieren, - dann Firewall anschmeißen, - Update Virenscanner (vorsichtshalber), - komplett alle Platten nach Viren durchsuchen lassen, - dann windowsupdate.microsoft.com aufrufen und alle fehlenden Sicherheitspatches noch draufspielen. Grüße und viel Glück Olaf Zitieren Link zu diesem Kommentar
Lex1th 10 Geschrieben 5. Juni 2004 Autor Melden Teilen Geschrieben 5. Juni 2004 Hier ist das neue Log nach dem Löschen der Zeilen. So richtig hat es mich nicht weitergebracht. Das UrProblem ist das die hosts-Datei sich jedesmal neu füllt mit neuen Einträgen. Bringt es mir etwas wenn ich den Browser und die TCP/IP Einstellungen deinstalliere und neu installiere? Logfile of HijackThis v1.97.7 Scan saved at 10:06:49, on 05.06.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\TUN\COMMON\ESLCBCST.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\Programme\Norton SystemWorks\Norton Speed Disk\nopdb.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Dokumente und Einstellungen\administrator.NICOLAY\Desktop\Neuer Ordner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php'>http://213.159.117.132/redir1.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir1.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir1.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir1.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir1.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir1.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nicolay.local O17 - HKLM\System\CCS\Services\Tcpip\..\{98163C7C-AF4A-4E0D-917F-3074392D2905}: NameServer = 192.168.100.254,212.185.253.136,217.237.159.193,192.168.100.2,194.25.0.69,194.25.0.70,217.5.99.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{DFE5BBA7-36B4-4A0A-AB8F-A2DE0F946E81}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nicolay.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nicolay.local Zitieren Link zu diesem Kommentar
Lex1th 10 Geschrieben 5. Juni 2004 Autor Melden Teilen Geschrieben 5. Juni 2004 So habe das Problem mittlerweile gelöst. Dank AntiVir und deren Forum. AntiVir war der einzige Scanner der den Trojaner gefunden hat(TR/StartPage.IG.1). Mit Autostart und Prozessen war leider nichts weil man dazu absolut nichts finden konnte. Die Lösung: die Datei c:\winnt\system32\system32.dll musste im Abgesicherten Modus entfernt werden. Wie gesagt, Symantec, Kaspersky und alle!!! Adaware Progs haben nichts gefunden. Zitieren Link zu diesem Kommentar
jumbomaster 10 Geschrieben 19. Juni 2004 Melden Teilen Geschrieben 19. Juni 2004 Na wunderbar Habe heute genau das gleiche Problem gehabt und werde es nach der Anleitung lösen sollte auch auf einem 98me so funktionieren Danke Jumbomaster Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.