Google-Links öffnen andere Seiten als ursprünglich verlinkt

Thema ist geschlossen!
Thema ist geschlossen!
#0
04.08.2006, 13:49
...neu hier

Beiträge: 4
#1 Hallo,

auch nachdem ich mehrmals einen Virenscanner und verschiedene Anti-Spyware-Programme hab durchlaufen lassen und mit der automatischen Hijackthis-Auswertung gefixt habe hat sich nichts geändert:

Wenn ich in Google einen Suchtreffer anklicke, öffnet sich immer wieder eine andere Seite als die verlinkte.

Statt
http://www.taucher.net/redaktion/45/mp3_Unterwasser___7.html
öffnet sich
http://www.mediaonline.de/shop/category_5000_5000_-3_5000.13504.11001

oder statt
http://www.katze-und-du.de/nahr1001.htm
öffnet sich
http://www.shop4pets.de/?OVRAW=vegetarische%20Katzennahrung&OVKEY=katzennahrung&OVMTC=advanced

auffallend ist, dass die falsch geöffneten Seiten häufig Shop- oder ebay-Seiten sind.

Immer wieder mal beobachte ich, dass mein ZoneAlarm nach dem Hochfahren des Rechners eine Verbindung des InternetExplorers blockt, der sich ins Netz einwählen will. Leider finde ich keinen Hinweis darauf, welches Programm diese Verbindung herstellen will.

Einen Eintrag
O4 - HKLM\..\Run: [dmyye.exe] C:\WINDOWS\system32\dmyye.exe
im Hijackthislog hatte ich noch nicht gefixt, weil ich keine weiteren Infos dazu bekam.
Virusscan.Jotti.org antwortete "The file you uploaded is 0 bytes...". Über die Schaltfläche [Durchsuchen...] fand ich die Datei 'dmyye.exe'. Über den WindowsExplorer oder die Suchen-Funktion blieb sie verschwunden.

In einen erneuten HijackThis-Scan ist dieser Eintrag verschwunden und auch nach zwei Neustarts habe ich plötzlich keinen Zugriff mehr auf den system32-Ordner ("Keine Rückmeldung"). Auch die [Durchsuchen...]-Schaltflächen in Formularen funktionieren nun nicht mehr.

Nachfolgend poste ich den aktuellsten HijackThis-Scan.
Kann man daraus ersehen, was mit meinem System nicht stimmt?


Logfile of HijackThis v1.99.1
Scan saved at 13:46:38, on 04.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\AVGFRE~1\avgcc.exe
C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Im Zeichen der Zeit stehen ... http://noninWeb.de/sign
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.165.130.93:80
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\default\prefs.js)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: CLOCK.lnk = C:\Programme\CLOCK.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115450147203
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
04.08.2006, 15:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 aldero

0.
poste das log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

1.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

2.
CleanUp anwenden
http://virus-protect.org/cleanup.html

3.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

4.
poste das log
http://virus-protect.org/silentrunner.html

5.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2006, 17:37
...neu hier

Themenstarter

Beiträge: 4
#3 Hi Sabina,

Also:
0. blacklight hat diverse Virenwarnungen ausgelöst (Virus Detected! While opening file: C:\Windows\system32\{5BB59898-39D4-4237-A5D0--CD62454C6BC1}.exe ...
Trojan horse Clicker.FR
Trojan horse Generic.XFV
Trojan horse Generic.XKS
Diese Dateien konnte AVG Antivir weder löschen noch verschieben.) und blieb dann im system32-Ordner hängen. Hier das blacklight-Log bis dahin:
#
08/04/06 16:54:04 [Info]: BlackLight Engine 1.0.42 initialized
08/04/06 16:54:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/04/06 16:54:04 [Note]: 7019 4
08/04/06 16:54:04 [Note]: 7005 0
08/04/06 16:54:06 [Note]: 7006 0
08/04/06 16:54:06 [Note]: 7011 1392
08/04/06 16:54:06 [Note]: 7026 0
08/04/06 16:54:06 [Note]: 7026 0
08/04/06 16:54:15 [Note]: FSRAW library version 1.7.1019
08/04/06 16:58:20 [Info]: Hidden file: c:\WINDOWS\system32\dmtce.exe
08/04/06 16:58:20 [Note]: 7002 32
08/04/06 16:58:20 [Note]: 7003 1
08/04/06 16:58:20 [Note]: 10002 1
08/04/06 16:58:24 [Info]: Hidden file: c:\WINDOWS\system32\cslnv.exe
08/04/06 16:58:24 [Note]: 7002 32
08/04/06 16:58:24 [Note]: 7003 1
08/04/06 16:58:24 [Note]: 10002 1
08/04/06 16:58:25 [Info]: Hidden file: c:\WINDOWS\system32\{5BB59595-39D4-4237-A5D0-CD62454C6BC1}.exe
08/04/06 16:58:25 [Note]: 7002 5
08/04/06 16:58:25 [Note]: 7003 1
08/04/06 16:58:25 [Note]: 10002 1
08/04/06 16:58:29 [Info]: Hidden file: c:\WINDOWS\system32\{33BCE62A-3DBB-4FBB-B5CA-104BCC86A354}.exe
08/04/06 16:58:29 [Note]: 7002 5
08/04/06 16:58:29 [Note]: 7003 1
08/04/06 16:58:29 [Note]: 10002 1
08/04/06 16:58:29 [Info]: Hidden file: c:\WINDOWS\system32\{34856F18-AD0B-4152-96C8-56C3D89EB088}.exe
08/04/06 16:58:29 [Note]: 10002 1
08/04/06 16:58:31 [Info]: Hidden file: c:\WINDOWS\system32\{B43CAC12-46CE-4F7D-9581-15EBBB0B6E41}.exe
08/04/06 16:58:31 [Note]: 7002 5
08/04/06 16:58:31 [Note]: 7003 1
08/04/06 16:58:31 [Note]: 10002 1
08/04/06 16:58:31 [Info]: Hidden file: c:\WINDOWS\system32\{E5C62ACC-3418-4369-956B-FD2A9A2CC880}.exe
08/04/06 16:58:31 [Note]: 7002 5
08/04/06 16:58:31 [Note]: 7003 1
08/04/06 16:58:31 [Note]: 10002 1
08/04/06 16:58:31 [Info]: Hidden file: c:\WINDOWS\system32\{FB5092C7-8CF5-4E1A-8F39-C3FE3F7107C9}.exe
08/04/06 16:58:31 [Note]: 10002 1
/#

1. Bei Hoster habe ich "Restore Microsoft's Original Hosts File" angecklickt und
2. CleanUp! einmal komplett durchlaufen lassen mit Systemneustart.

3. Combofix blieb während "Preparing Log Report" hängen.

4. Silent Runners.vbs gab die Fehlermeldung 'Windows Script Host' aus: "Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administator, um weitere Details in Erfahrung zu bringen" ('für diesem' mit 'm').
Wenn es darum ging in Erfahrung zu bringen, welche Programme automatisch starten empfehle ich die Freeware "Startup Manager".
Keine verdächtigen Autostart-Programme in Sicht.

5. datFind.bat legt die Datei C:\system32.txt mit dem Eintrag "Verzeichnis von C:\WINDOWS\system32" an und bleibt hängen.


Wahrscheinlich werden die Blockaden also von den Viren/Trojanern
Trojan horse Clicker.FR
Trojan horse Generic.XFV
Trojan horse Generic.XKS
ausgelöst. AVG Antivir erkennt diese Trojaner zwar (allerdings auch nicht immer - beim kompletten Systemscan wurde nichts entdeckt.), kann das System jedoch nicht säubern. Was kann ich tun?

Grüße,
aldero
Seitenanfang Seitenende
04.08.2006, 17:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 *
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten - scan --> next none auf rename ändern

*
wo sind all die anderen logs ? ERSTELLE SIE IM ABGESICHERTEN MODUS ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2006, 19:40
...neu hier

Themenstarter

Beiträge: 4
#5 Danke für Deine Hypothesen - hätte ja sein können ...

Nun hab ich zwei neue Fehlermeldungen:
"F-Secure BlackLight cannot be used in Safe Mode. Please restart your computer in Normal Mode"
und
"Combofix cannot run in Safe Mode"

Auch im Abgesicherten Modus ist der Zugriff auf den system32-Ordner nicht möglich.
DatFind.bat bleibt immer noch hängen und Silent Runners.vbs meldet wieder die selbe Fehlermeldung. Also keine Logs!

Wie oben beschrieben bleibt Blacklight im system32-Ordner hängen! Somit ist mit diesem Programm auch kein Umbenennen möglich.


Lass mich noch einmal zusammenfassen:

1. Folgende Trojaner wurden entdeckt, konnten jedoch nicht gelöscht werden:
Trojan horse Clicker.FR
Trojan horse Generic.XFV
Trojan horse Generic.XKS

2. Suchergebnisse von Google werden nach dem Anklicken auf andere Seiten (meist Online-Shops etc.) umgeleitet.

3. Manueller Zugriff auf den Windows/System32-Ordner ist nicht möglich; Systemscanner bleiben dort hängen.

_(._.)_.o(Vielleicht sollte ich ein neues Thema anfangen, mit der Bezeichnung "Trojanerbefall: Clicker.FR, Generic.XFV, Generic.XKS" um auf gezielte Antworten hoffen zu können.)


__________________________________________________
__________________________________________________

20:42 Uhr
---------

Nun habe ich wieder Zugriff auf den System32-Ordner - ich habe folgendes getan:

1. Fixwareout.exe downloaden: http://downloads.subratam.org/Fixwareout.exe
* Run Fixwareout:
Doubleclick on the Fixwareout.exe file to run it.
Click Next, then Install, then make sure "Run fixit" is checked and click Finish.
The fix will begin. Follow the prompts.
You will be asked to reboot your computer, please do so.
Your system may take longer than usual to load, this is normal.
When your system reboots, a text file will open called report.txt.

2. Killbox downloaden & starten http://www.downloads.subratam.org/KillBox.exe

3. Nun habe ich die sechs Trojaner-Files (Directory of C:\WINDOWS\system32) mit Killbox gelöscht und dadurch wieder Zugriff auf den System32-Ordner.



Nachfolgend das Logfile vom Programm Fixwareout. Die Dateien '{33BCE62A-3DBB-4FBB-B5CA-104BCC86A354}.exe', etc. habe ich also schon gelöscht. Was ist mit den Dateien CSEWR.EXE, CSSHH.EXE, CSEWR.EXE, CSSHH.EXE, DMFTV.EXE und DMJJO.EXE - soll ich die auch löschen?

#

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4F2F79AEA92C-447B-69F4-0FC9-4A8ECEF1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\vtfmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSEWR.EXE
* csr.exe C:\WINDOWS\System32\CSSHH.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSEWR.EXE 51.247 2006-07-05
C:\WINDOWS\SYSTEM32\CSSHH.EXE 51.215 2006-07-14
C:\WINDOWS\SYSTEM32\DMFTV.EXE 61.962 2004-08-04
C:\WINDOWS\SYSTEM32\DMJJO.EXE 44.087 2004-08-04
Other suspects
Directory of C:\WINDOWS\system32
{33BCE62A-3DBB-4FBB-B5CA-104BCC86A354}.exe
{34856F18-AD0B-4152-96C8-56C3D89EB088}.exe
{5BB59595-39D4-4237-A5D0-CD62454C6BC1}.exe
{FB5092C7-8CF5-4E1A-8F39-C3FE3F7107C9}.exe
{E5C62ACC-3418-4369-956B-FD2A9A2CC880}.exe
{B43CAC12-46CE-4F7D-9581-15EBBB0B6E41}.exe

/#
Dieser Beitrag wurde am 04.08.2006 um 20:42 Uhr von aldero editiert.
Seitenanfang Seitenende
04.08.2006, 20:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\{33BCE62A-3DBB-4FBB-B5CA-104BCC86A354}.exe
C:\WINDOWS\system32\{34856F18-AD0B-4152-96C8-56C3D89EB088}.exe
C:\WINDOWS\system32\{5BB59595-39D4-4237-A5D0-CD62454C6BC1}.exe
C:\WINDOWS\system32\{FB5092C7-8CF5-4E1A-8F39-C3FE3F7107C9}.exe
C:\WINDOWS\system32\{E5C62ACC-3418-4369-956B-FD2A9A2CC880}.exe
C:\WINDOWS\system32\{B43CAC12-46CE-4F7D-9581-15EBBB0B6E41}.exe
C:\WINDOWS\system32\dmtce.exe
C:\WINDOWS\system32\cslnv.exe
C:\WINDOWS\System32\CSEWR.EXE
C:\WINDOWS\System32\CSSHH.EXE
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2006, 00:04
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Sabina, Dankeschon :-)

Gemeinsam scheinen wir's geschafft zu haben.

Wie man auch in anderen Threads erkennen kann bist Du eine sehr fleißige Forum-Moderatorin, deshalb kann man mal davon absehen, dass Du einzelne Postings mitunter nicht so ganz genau durchliest und entsprechend antwortest.

Die beiden Dateien csshh.exe und csewr.exe waren mir auch suspekt. Die hatte ich schon umbenannt und nun also endgültig gelöscht. Die EXE-Dateien in den geschweiften Klammern hatte ich - wie gepostet - schon gelöscht (danach war der Zugriff auf System32 wieder möglich) und die anderen "files to delete" befanden sich gar nicht auf meiner Festplatte.

Bei 'Hoster' habe ich nun also noch einmal "Restore Microsoft's Original Hosts File" angecklickt.

Blacklight und combofix.exe liefen nun auch durch und haben jedoch nichts gefunden.

Beim Virenscan wurde noch eine Datei C:\WINDOWS\SYSTEM32\RZSPY.EXE als W32/Agent.IZL (virus) enttarnt. Eine andere Datei SYSTEM32\DMLZU.EXE wurde übersprungen. Beim Systemneustart war diese Datei verschwunden und beim erneuten Scan wurde nun eine Datei SYSTEM32\DMAYX.EXE übersprungen (welche sich vor dem Neustart noch nicht in dem Ordner befand und sich weder löschen noch umbenennen ließ). DMAYX.EXE war nach einem weiteren Neustart immer noch vorhanden und ließ sich nun umbenennen. Ein weiterer Virenscan brachte keine Entdeckungen mehr, so dass ich annehme, dass das System nun sauber ist.

Noch einmal Danke & alles Gute,
Aldero
Seitenanfang Seitenende