http://69.20.56.3/yyy6.html bekomme ich nicht weg!!! |
||
---|---|---|
#0
| ||
07.12.2004, 09:38
...neu hier
Beiträge: 5 |
||
|
||
07.12.2004, 12:28
Moderator
Beiträge: 7805 |
#2
Das ist eine relativ neue und extrem laewstige look2me Variante. Nutz mal Escan um herauszufinden, welche Datei als look2me erkannt wird. Dann gehe in dein System32 Ordner, lasse alles nach Datum sortieren und schaue, was fuer ein DAteum die Datei hat. in der naehe muss noch eine weitere Datei ( Dateiname koennte mit lv beginnen). Du kannst ja mal versuchen, ob du die Datei mit Killbox und der option "delete on reboot" loeschen kannst.
Weiss du zufaellig,wo du dir das Eingefangen hast? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2004, 15:09
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@Sven P
Schritt: Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 LADE:und alles auf dem Desktop (Arbeitsplatz) lassen , ohne zu scannen, das machst du dann erst im abgesicherten Modus (!) #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html #AboutBuster--> updaten www.malwarebytes.biz/AboutBuster.zip <"cwsfix.reg" --> nicht öffnen (im abgesicherten Modus dann durch "yes" der Registry beifuegen von hier laden: http://d21c.com/Tom41/?D=A #cwsserviceremove lade:: http://d21c.com/Tom41/cwsserviceremove oder von hier: http://d21c.com/Tom41/?D=A #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 #KillBox http://www.bleepingcomputer.com/files/killbox.php #AdAware (free) http://www.lavasoft.de/support/download/ #Lade:Attached File(s) swap.zip ( 45.7k ) http://forums.skads.org/index.php?showtopic=81&st=0&p=187entry187 klicke auf: swap.bat PC neustarten suche: c:\swap.txt und c:\log.txt und poste den Text _________________________________________________________________ Schritt: #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com Schritt: PC neustarten <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Schritt: Loesche:komplett: C:\Programme\Gemeinsame Dateien\WinTools\ Schritt: Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche die kompletten Schluessel von: *.frame.crazywinnings.com *.static.topconverting.com Schritt: Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Schritt: Fuehre alle Programme , die du vorher geladen hast nach Anleitung aus. Schritt: und arbeite das ab. #eScan-Erkennungstool du wirst dann einige dll angezeigt bekommen, die du mit der Killbox loeschen solltest, aber vorher suche sie und fixiere das Datum der Infektion . Schritt: #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Schritt: gib in die Suchfunktion von Windows ein: dll und loesche alles dll, die dem Zeitpunkt der Infektion entsprechen. Schritt. #öffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost Schritt: #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein.... 1) lade rem.zip herunter http://derbilk.de/rem.zip (direkter download-link). 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. 4) starte die datei rem.bat, scannen lassen. 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. und poste das Log noch mal (und die txt-Texte) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.12.2004 um 16:15 Uhr von Sabina editiert.
|
|
|
||
07.12.2004, 19:08
...neu hier
Themenstarter Beiträge: 5 |
#4
Danke für Eure Hilfe, habe aber bereits beim ersten Schritt Probleme mit der Deaktivierung der Systemwiederherstellung, da ich Windows 2000 verwende. Wie geht das? Die einzelnen Dateien habe ich jetzt erst einmal geladen ohne diese auszuführen. Habe lediglich AboutBuster upgedatet. Musste außerdem festellen, dass oben genannter Link nicht funktioniert: http://derbilk.de/rem.zip
Das wird heute bestimmt noch eine Nachschicht für mich, aber wenn das hinhaut bin ich froh und zu tausend Dank verpflichtet. Danke |
|
|
||
07.12.2004, 22:24
Member
Beiträge: 40 |
#5
hi
win2000 hat keine systemwiederherstellung, also kannst du sie auch nicht deaktivieren , vergiss das, und mach dahinter weiter, ok. du wirst kaum eine bessere anleitung serviert bekommen. rem -> http://www.hijackthis.de/downloads/rem.zip und -> http://forums.skads.org/index.php?s=236f4de185a22e166ec9563d5c536267&act=Attach&type=post&id=46 http://forums.skads.org/index.php?act=Attach&type=post&id=46 __________ lg Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links Dieser Beitrag wurde am 07.12.2004 um 23:03 Uhr von Speedyweb editiert.
|
|
|
||
07.12.2004, 23:51
...neu hier
Themenstarter Beiträge: 5 |
#6
Hi
es ist jetzt 23:45 und immer noch kein Ende in Sicht. In der swap.txt ist kein Eintrag, in der log.txt steht folgendes: "The batch is run from.." C:\Dokumente und Einstellungen\sjabusch\Desktop Ich werde jetzt mit dem Löschen evtl. infizierter DLL´s weitermachen und dann nochmal den Inhalt der log.txt senden nach Ausführen von rem.bat Gute Nacht an alle Hilfeleistende |
|
|
||
07.12.2004, 23:56
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@Sven P
Entschuldige meine Unachtsamkeit...ich habe nicht darauf geachtet..dass du Win2000 und damit keine Wiederherstellung hast. wenn das mit der rem nicht funktioniert...lasse es. und arbeite die anderen Punkte ab. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2004, 01:08
...neu hier
Themenstarter Beiträge: 5 |
#8
Hab jetzt das Problem das ich die unteren Einträge aus der hosts-Datei nicht deleten kann:
# 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 127.0.0.1 www.igetnet.com 127.0.0.1 code.ignphrases.com 127.0.0.1 clear-search.com 127.0.0.1 r1.clrsch.com 127.0.0.1 sds.clrsch.com 127.0.0.1 status.clrsch.com 127.0.0.1 www.clrsch.com 127.0.0.1 clr-sch.com 127.0.0.1 sds-qckads.com 127.0.0.1 status.qckads.com 69.20.16.183 auto.search.msn.com 69.20.16.183 search.netscape.com 69.20.16.183 ieautosearch Weder mit Delete Line oder direkt beim Öffnen mit Notepad taucht der Sch... immer wieder auf. Auch das löschen der Datei schlug fehl. Übrigens mein IE hat sich immer noch nicht beruhigt. Sogar im abgesicherten Modus öffnet immer noch diese Adresse. Was tun? Merci |
|
|
||
08.12.2004, 01:47
...neu hier
Themenstarter Beiträge: 5 |
#9
Nach ausführen der rem.bat hat log.txt folgenden Inhalt:
Microsoft Windows 2000 [Version 5.00.2195] C:\WINNT\system32 "Files found" --------------------------------------------------------------------- Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- "Files Not Deleted" --------------------------------------------------------------------- Checking for version 2 files.......... Files Found ------------------------------------------------------------ Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- Files Not deleted ------------------------------------------------------------ Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- ----------------------------------------------------------------- Done So ich hab jetzt für heute Nacht die Schn... voll. Ich weiss nicht ob jemand etwas mit meinen Angaben anfangen kann, ich jedenfalls nicht. Danke vorerst an alle die mir bis hierher geholfen haben. Sven |
|
|
||
08.12.2004, 03:56
Moderator
Beiträge: 7805 |
#10
Wie oben geschrieben, das geht so nicht. Derzeit wird es wohl nur so kompliziert gehen, wie ich geschrieben habe. Ich weiss nicht einmal, ob das mit Killbox funktioniert.
Wie gesagt, mit Escan die eine Datei identifizieren und die andere dann durch Datumssuche ausfiondig machen. http://www.rokop-security.de/board/index.php?showtopic=3867 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.12.2004, 11:52
Ehrenmitglied
Beiträge: 29434 |
#11
Genau:
Schritt: und arbeite das ab. #eScan-Erkennungstool du wirst dann einige dll angezeigt bekommen, die du mit der Killbox loeschen solltest, aber vorher suche sie und fixiere das Datum der Infektion . zum Beispiel : AdWare.Look2Me.r C:\WINDOWS\System32\r48slel71hq.dll C:\WINDOWS\System32\rQsauto.dll "Trojan-Downloader.Win32.Lookme.g" C:\WINDOWS\System32\VT00.exe "TrojanDownloader.Win32.Agent.br" C:\WINDOWS\system32\aklsp.dll C:\WINDOWS\system32\akupd.dll "TrojanDownloader.Win32.Agent.bt" C:\WINDOWS\system32\akrules.dll C:\WINDOWS\system32\winupdak.dll C:\WINDOWS\system32\winrulesak.dll #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Schritt: gib in die Suchfunktion von Windows ein: dll und loesche alles dll, die dem Zeitpunkt der Infektion entsprechen. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.12.2004 um 11:53 Uhr von Sabina editiert.
|
|
|
||
08.12.2004, 12:21
Moderator
Beiträge: 7805 |
#12
Das sind die Problematischen DAteien:
C:\WINDOWS\System32\r48slel71hq.dll C:\WINDOWS\System32\rQsauto.dll Im Windowsordner gibt es noch eine Guard.tmp, die muss auch noch geloescht werden. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.12.2004, 12:58
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@raman
in mehreren Logs tauchte die : C:\WINDOWS\system32\aklsp.dll und akrules.dll auf. der "TrojanDownloader.Win32.Agent.br" und "TrojanDownloader.Win32.Agent.bt" ist immer dabei. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2004, 15:07
Moderator
Beiträge: 7805 |
#14
Ja, je nachdem, wo man sich "infiziert" sind diese Dabei, aber man sie einfacher loeschen, als Die Dateien, die ich nannte
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.12.2004, 16:00
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@raman
C:\WINDOWS\System32\r48slel71hq.dll C:\WINDOWS\System32\rQsauto.dll die sind immer dabei , nur die Guard.tmp ist mir neu . und die TrojanDownloader sind in verschiedenen dlls. auch immer dabei und eine VT00.exe ("Trojan-Downloader.Win32.Lookme.g") und die Wiederherstellung MUSS deaktiviert werden, sowie eine Datentraegerbereinigung vorgenommen werden. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.12.2004 um 16:01 Uhr von Sabina editiert.
|
|
|
||
hier das aktuelle (gekürzte) Logfile
Logfile of HijackThis v1.98.2
Scan saved at 09:15:09, on 07.12.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\ati2evxx.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\HPCOMPAN\hpjbtrck.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\LTSMMSG.exe
C:\WINNT\System32\Atiptaxx.exe
C:\WINNT\System32\Promon.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\HPCOMPAN\HPLJCN32.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
D:\Programme\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe
D:\Programme\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe
D:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
D:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
D:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINNT\system32\rundll32.exe
D:\Programme\Hijackthis\HijackThis.exe
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com