Home » Spyware & Browser Hijacker Support Forum » http://69.20.56.3/yyy6.html bekomme ich nicht weg!!! » Themenansicht

http://69.20.56.3/yyy6.html bekomme ich nicht weg!!!
#0
08.12.2004, 17:34
raman
Moderator

Beiträge: 7805
#16 Und? Bist du die Dateien schon mal ohne Bootmedium losgeworden? ;)

Die vt100.exe macht, wie sie heisst, sie laedt eine installer.exe von look2me[dot]com herunter, die diese DLLs installiert.
Einstellungen in der Registrierung scheinen sich nach einem Neustart immer zu aendern.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 17:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 vt100.exe:

Wie kann man die loeschen (Bootmedium ????)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2004, 18:13
raman
Moderator

Beiträge: 7805
#18 Die Problemdateien kann man mit Hilfe eines Bootmediums (Linux Distribution/Livecd mit NTFS Support oder WinPE CD) einfach loeschen, bzw besser umbenennen. Nur muss man erst erkennen, welche DLLs das sind.
Das ist das Problem, einem User das zu vermitteln. Ih habe selber noch nict genau raus, wie man das am besten kann.

Wen man bei so einem infizierten Rechner ueber die Doskonsole im System32 Ordner copy *.dll nul eingibt, gibt es bei den "boesen" Dateien eine Fehlermeldung. Aber ob man das als Erkennungskreterium nehmen kann!?

Man muss sich diese Dateinamen auch merken, damit man nachher die Verweise in der Registrierung loeschen kann.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 19:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Also ich habe Neuigkeiten:

KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

nach Infektionszeit gefunden:dll in die Suchfunktion von Windows eingegeben und dann mit dem Datum der anderen dll verglichen
C:Windows\System32\SpOrder.dll
C:Windows\System32\akcore.dll

mit eScan gefunden:

<vt100.exe

<C:\WINDOWS\system32\akrules.dll
<C:\WINDOWS\system32\winupdak.dll
<C:\WINDOWS\system32\winrulesak.dll

<C:\WINDOWS\System32\r48slel71hq.dll
<C:\WINDOWS\System32\rQsauto.dll

<C:\WINDOWS\System32\Guard.tmp

#die Host-Datei
: in c:\Windows\System32\drivers\etc\hosts
127.0.0.1 localhost
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
----------------------------------------------------------------------------

Antwort vom User:
Folgender Datei wurde mir den Zugriff verweigert, daher kann ich sie leider nicht löschen :
C:\WINDOWS\System32\Guard.tmp

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

IST NICHT MEHR DA:
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

_________________________________________________________________

Wie nun das geloescht bekommen ??????????
Folgender Datei wurde mir den Zugriff verweigert, daher kann ich sie leider nicht löschen :
C:\WINDOWS\System32\Guard.tmp
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.12.2004 um 19:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.12.2004, 19:29
raman
Moderator

Beiträge: 7805
#20 Ja, ich weiss, das klappt nicht(bei allen), habe es gerade selber probiert. Bis nun habe ich es nur geschaft, wenn ich von einer CD gebootet habe und diese Dateien dann loesche. Dann noch etwas manuell nachreinigen und weg ist er.
Mal schauen, wer da als erster eine einfachere Loesung findet.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 19:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 wie geht das (von CD booten ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2004, 19:51
raman
Moderator

Beiträge: 7805
#22 Mit einer CD, mit der man den Rechner starten kann, z.B. die oben genannte Windowspe CD: http://pcfreaks.big-clan.net/bartpe/manual.shtml

oder einer Linux Live CD, wie z.B. Knoppix>=3.6: http://www.knopper.net/knoppix-mirrors/

Dann muss im Bios noch die Bootreihefolge gaendert werden, so das zu erst versucht wird, von cd zu starten.
http://www.tippscout.de/Windows-Installation-Von-CD-installieren_tipp_2030.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 20:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Gott, gibt es nicht was einfacheres ? um die
C:\WINDOWS\System32\Guard.tmp zu loeschen ?

Noch eine Frage ;)

Danach wird der Rechner neu gestartet und booted von der CD.
wird die C:\WINDOWS\System32\Guard.tmp damit automatisch geloescht oder muss man irgendwas anklicken ?

Muss bei Knoppix auch in den Bios was verstellt werden ?
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.12.2004 um 20:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.12.2004, 20:40
raman
Moderator

Beiträge: 7805
#24 Probiere es aus und erstelle ine PE Cd. Das ist mehr oder minder ein eignes Windows und auch so zu bedienen.

Im Grunde kommst du nicht darum herum, dir so ein Bootmedium anzuschaffen. Nur so hast du die Kontrolle, was sich auf deinem Rechner wirklich befindet.

So eine CD ist Pflicht, wie damals eine virenfreie Bootdiskette!

Beschaeftige dich damit, es ist den (kleinen) Aufwand definitiv wert!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 21:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 mache ich ja auch gern :p (und pflichtbewusst...nur wie erklaere ich es schnell dem (Normal-)User, der drauf wartet,dass er den Hijacker wegbekommt ????????????????

ich erklaere ihm also (mit Hilfe von dem Link) wie er eine Boots-CD erstellt und was er in Bios zu tun hat und dann ??
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.12.2004 um 21:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.12.2004, 21:42
raman
Moderator

Beiträge: 7805
#26 Ich warte eigentlich schon laenger darauf, das die Av-Firmen so langsam in die "Poette" kommen und den Hijacker komplett erkennen. Das tut zur Zeit noch keiner.

Vieleicht ist einer der "nebenberuflicher" Reinigerschreiber in der Lage etwas genauer zu Analysieren. Daran gearbeitet wird schon.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 23:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27

Zitat

raman postete
Ja, ich weiss, das klappt nicht(bei allen), habe es gerade selber probiert. Bis nun habe ich es nur geschaft, wenn ich von einer CD gebootet habe und diese Dateien dann loesche. Dann noch etwas manuell nachreinigen und weg ist er.
Mal schauen, wer da als erster eine einfachere Loesung findet.
der User hats geschafft:

Systemwiederherstellung deaktiviert, Datentraegerbereinigung gemacht +

Gehe in den abgesicherten Modus und loesche es manuell oder loesche es mit der Killbox im abgesicherten Modus:

C:\WINDOWS\VT00.exe [C:\WINDOWS\VT100.exe ]
C:\WINDOWS\System32\Guard.tmp

.........Ok hab diese Datei gelöscht !

#AboutBuster-->update !!!! (scanne im abgesicherten Modus)
www.malwarebytes.biz/AboutBuster.zip
wenn du dann die Textdatei oeffnest muesste da stehen:
AboutBuster log
Removed Data Streams:
C:\WINDOWS\VT00.exe:luwnd

mit eScan ermittelt:
C:\WINDOWS\system32\akrules.dll
C:\WINDOWS\system32\winupdak.dll
C:\WINDOWS\system32\winrulesak.dll
C:\WINDOWS\System32\r48slel71hq.dll
C:\WINDOWS\System32\rQsauto.dll

vor dem Loeschen dieser dll das Datum der Infektion hinterfragt und gefunden:-->
C:Windows\System32\SpOrder.dll
C:Windows\System32\akcore.dll

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
--------------------------------------------------------------------------------------
Ergebnis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll

Vorher:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.12.2004 um 16:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12