http://69.20.56.3/yyy6.html bekomme ich nicht weg!!!

#0
07.12.2004, 09:38
...neu hier

Beiträge: 5
#1 Habe mir beim surfen dieses komische Ding eingefangen und krieg das nicht wieder weg. Unter "O1 bis O15" habe ich nur die Sachen listen lassen, die nach der automatischen Auswertung auf www.hijackthis.de noch Probleme machen. Scheint irgendwie mit den "WinTools" zusammenzuhängen? Wenn ich die mit Hijack This fixe kommen die immer wieder. Da es sich bei meinem Computer um ein beruflich genutztes Notebook handelt, das hier im Büro auch noch in einem Firmennetzwerk hängt, wäre ich für schnelle Hilfe sehr dankbar. ;)

hier das aktuelle (gekürzte) Logfile

Logfile of HijackThis v1.98.2
Scan saved at 09:15:09, on 07.12.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\ati2evxx.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\HPCOMPAN\hpjbtrck.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\LTSMMSG.exe
C:\WINNT\System32\Atiptaxx.exe
C:\WINNT\System32\Promon.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\HPCOMPAN\HPLJCN32.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
D:\Programme\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe
D:\Programme\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe
D:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
D:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
D:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINNT\system32\rundll32.exe
D:\Programme\Hijackthis\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
Seitenanfang Seitenende
07.12.2004, 12:28
Moderator

Beiträge: 7805
#2 Das ist eine relativ neue und extrem laewstige look2me Variante. Nutz mal Escan um herauszufinden, welche Datei als look2me erkannt wird. Dann gehe in dein System32 Ordner, lasse alles nach Datum sortieren und schaue, was fuer ein DAteum die Datei hat. in der naehe muss noch eine weitere Datei ( Dateiname koennte mit lv beginnen). Du kannst ja mal versuchen, ob du die Datei mit Killbox und der option "delete on reboot" loeschen kannst.

Weiss du zufaellig,wo du dir das Eingefangen hast?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2004, 15:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@Sven P

Schritt:
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

LADE:und alles auf dem Desktop (Arbeitsplatz) lassen , ohne zu scannen, das machst du dann erst im abgesicherten Modus (!)
#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html

#AboutBuster--> updaten
www.malwarebytes.biz/AboutBuster.zip

<"cwsfix.reg" --> nicht öffnen (im abgesicherten Modus dann durch "yes" der Registry beifuegen
von hier laden:
http://d21c.com/Tom41/?D=A

#cwsserviceremove
lade:: http://d21c.com/Tom41/cwsserviceremove
oder von hier:
http://d21c.com/Tom41/?D=A

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

#KillBox
http://www.bleepingcomputer.com/files/killbox.php

#AdAware (free)
http://www.lavasoft.de/support/download/

#Lade:Attached File(s)
swap.zip ( 45.7k )
http://forums.skads.org/index.php?showtopic=81&st=0&p=187&#entry187
klicke auf: swap.bat
PC neustarten
suche: c:\swap.txt und c:\log.txt und poste den Text

_________________________________________________________________

Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com

Schritt:
PC neustarten
<gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

Schritt:
Loesche:komplett:
C:\Programme\Gemeinsame Dateien\WinTools\

Schritt:
Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche die kompletten Schluessel von:
*.frame.crazywinnings.com
*.static.topconverting.com

Schritt:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Schritt:
Fuehre alle Programme , die du vorher geladen hast nach Anleitung aus.

Schritt:
und arbeite das ab.
#eScan-Erkennungstool
du wirst dann einige dll angezeigt bekommen, die du mit der Killbox loeschen solltest, aber vorher suche sie und fixiere das Datum der Infektion .

Schritt:
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Schritt:
gib in die Suchfunktion von Windows ein: dll
und loesche alles dll, die dem Zeitpunkt der Infektion entsprechen.


Schritt.
#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Schritt:
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein....

1) lade rem.zip herunter http://derbilk.de/rem.zip (direkter download-link).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

und poste das Log noch mal (und die txt-Texte)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.12.2004 um 16:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.12.2004, 19:08
...neu hier

Themenstarter

Beiträge: 5
#4 Danke für Eure Hilfe, habe aber bereits beim ersten Schritt Probleme mit der Deaktivierung der Systemwiederherstellung, da ich Windows 2000 verwende. Wie geht das? Die einzelnen Dateien habe ich jetzt erst einmal geladen ohne diese auszuführen. Habe lediglich AboutBuster upgedatet. Musste außerdem festellen, dass oben genannter Link nicht funktioniert: http://derbilk.de/rem.zip

Das wird heute bestimmt noch eine Nachschicht für mich, aber wenn das hinhaut bin ich froh und zu tausend Dank verpflichtet.

Danke
Seitenanfang Seitenende
07.12.2004, 22:24
Member

Beiträge: 40
#5 hi

win2000 hat keine systemwiederherstellung, also kannst du sie auch nicht deaktivieren ;), vergiss das, und mach dahinter weiter, ok.
du wirst kaum eine bessere anleitung serviert bekommen.

rem -> http://www.hijackthis.de/downloads/rem.zip
und -> http://forums.skads.org/index.php?s=236f4de185a22e166ec9563d5c536267&act=Attach&type=post&id=46
http://forums.skads.org/index.php?act=Attach&type=post&id=46
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links
Dieser Beitrag wurde am 07.12.2004 um 23:03 Uhr von Speedyweb editiert.
Seitenanfang Seitenende
07.12.2004, 23:51
...neu hier

Themenstarter

Beiträge: 5
#6 Hi

es ist jetzt 23:45 und immer noch kein Ende in Sicht.

In der swap.txt ist kein Eintrag, in der log.txt steht folgendes:

"The batch is run from.." C:\Dokumente und Einstellungen\sjabusch\Desktop

Ich werde jetzt mit dem Löschen evtl. infizierter DLL´s weitermachen und dann nochmal den Inhalt der log.txt senden nach Ausführen von rem.bat

Gute Nacht an alle Hilfeleistende
Seitenanfang Seitenende
07.12.2004, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@Sven P

Entschuldige meine Unachtsamkeit...ich habe nicht darauf geachtet..dass du Win2000 und damit keine Wiederherstellung hast.

wenn das mit der rem nicht funktioniert...lasse es. und arbeite die anderen Punkte ab.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2004, 01:08
...neu hier

Themenstarter

Beiträge: 5
#8 Hab jetzt das Problem das ich die unteren Einträge aus der hosts-Datei nicht deleten kann:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch

Weder mit Delete Line oder direkt beim Öffnen mit Notepad taucht der Sch... immer wieder auf. Auch das löschen der Datei schlug fehl. Übrigens mein IE hat sich immer noch nicht beruhigt. Sogar im abgesicherten Modus öffnet immer noch diese Adresse. Was tun?

Merci ;)
Seitenanfang Seitenende
08.12.2004, 01:47
...neu hier

Themenstarter

Beiträge: 5
#9 Nach ausführen der rem.bat hat log.txt folgenden Inhalt:


Microsoft Windows 2000 [Version 5.00.2195]
C:\WINNT\system32
"Files found"
---------------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

-----------------------------------------------------------------

Done


So ich hab jetzt für heute Nacht die Schn... voll. Ich weiss nicht ob jemand etwas mit meinen Angaben anfangen kann, ich jedenfalls nicht. Danke vorerst an alle die mir bis hierher geholfen haben.

Sven
Seitenanfang Seitenende
08.12.2004, 03:56
Moderator

Beiträge: 7805
#10 Wie oben geschrieben, das geht so nicht. Derzeit wird es wohl nur so kompliziert gehen, wie ich geschrieben habe. Ich weiss nicht einmal, ob das mit Killbox funktioniert.

Wie gesagt, mit Escan die eine Datei identifizieren und die andere dann durch Datumssuche ausfiondig machen.
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 11:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Genau:

Schritt:
und arbeite das ab.
#eScan-Erkennungstool
du wirst dann einige dll angezeigt bekommen, die du mit der Killbox loeschen solltest, aber vorher suche sie und fixiere das Datum der Infektion .

zum Beispiel :
AdWare.Look2Me.r
C:\WINDOWS\System32\r48slel71hq.dll
C:\WINDOWS\System32\rQsauto.dll

"Trojan-Downloader.Win32.Lookme.g"
C:\WINDOWS\System32\VT00.exe

"TrojanDownloader.Win32.Agent.br"
C:\WINDOWS\system32\aklsp.dll
C:\WINDOWS\system32\akupd.dll

"TrojanDownloader.Win32.Agent.bt"
C:\WINDOWS\system32\akrules.dll
C:\WINDOWS\system32\winupdak.dll
C:\WINDOWS\system32\winrulesak.dll

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Schritt:
gib in die Suchfunktion von Windows ein: dll
und loesche alles dll, die dem Zeitpunkt der Infektion entsprechen.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.12.2004 um 11:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.12.2004, 12:21
Moderator

Beiträge: 7805
#12 Das sind die Problematischen DAteien:


C:\WINDOWS\System32\r48slel71hq.dll
C:\WINDOWS\System32\rQsauto.dll
Im Windowsordner gibt es noch eine Guard.tmp, die muss auch noch geloescht werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 12:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@raman

in mehreren Logs tauchte die :
C:\WINDOWS\system32\aklsp.dll und akrules.dll auf.

der "TrojanDownloader.Win32.Agent.br" und "TrojanDownloader.Win32.Agent.bt" ist immer dabei.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2004, 15:07
Moderator

Beiträge: 7805
#14 Ja, je nachdem, wo man sich "infiziert" sind diese Dabei, aber man sie einfacher loeschen, als Die Dateien, die ich nannte
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2004, 16:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@raman

C:\WINDOWS\System32\r48slel71hq.dll
C:\WINDOWS\System32\rQsauto.dll

die sind immer dabei , nur die Guard.tmp ist mir neu .
und die TrojanDownloader sind in verschiedenen dlls. auch immer dabei und eine VT00.exe ("Trojan-Downloader.Win32.Lookme.g")

und die Wiederherstellung MUSS deaktiviert werden, sowie eine Datentraegerbereinigung vorgenommen werden.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.12.2004 um 16:01 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: