Prorat-d trojaner entfernen

#16 nun kommen wir der Sache schon naeher
WinHosts.exe is a security risk named W32/SillyTrojan.JH


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Enum]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Enum]

dann scanne noch mal:

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WinHosts

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

+

die 4 Logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#17 hi. hier das counter spy result:

Spyware Scan Details
Start Date: 16.04.2006 13:48:29
End Date: 16.04.2006 14:25:26
Total Time: 36 mins 57 secs

Detected spyware
No spyware were found during this scan.


hier das regsearch log:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 16.04.2006 14:38:52 for strings:
; 'winhosts'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS\0000]
"Service"="WinHosts"
"DeviceDesc"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS\0000]
"Service"="WinHosts"
"DeviceDesc"="WinHosts"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS\0000]
"Service"="WinHosts"
"DeviceDesc"="WinHosts"

[HKEY_USERS\S-1-5-21-1906362370-3587733247-3442554471-1006\Software\Neuber GbR\Security Task Manager\Cache]
"C:\\WINDOWS\\system32\\WinHosts.exe"="1184"

; End Of The Log..


hier das datfindbat log:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS\system32

16.04.2006 13:47 45.056 CompiledAdapter
09.04.2006 15:35 1.158 wpa.dbl
29.03.2006 15:18 8.224 GDIPFONTCACHEV1.DAT
29.03.2006 15:16 524.112 FNTCACHE.DAT
26.03.2006 23:37 69.900 perfc009.dat
26.03.2006 23:37 81.172 perfc007.dat
26.03.2006 23:37 420.836 perfh009.dat
26.03.2006 23:37 432.624 perfh007.dat
26.03.2006 23:37 1.016.924 PerfStringBackup.INI
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
26.01.2006 10:48 15.360 BASSMOD.dll
25.01.2006 12:09 492.544 WRLogonNtf.dll
25.01.2006 12:09 8.192 ssiefr.EXE
25.01.2006 12:09 17.920 wrlzma.dll
25.01.2006 03:35 200.704 libssl32.dll
19.01.2006 17:10 7.006 jupdate-1.5.0_06-b05.log
18.01.2006 17:09 3.243 jupdate-1.4.2_06-b03.log
14.01.2006 08:54 23.392 nscompat.tlb
14.01.2006 08:54 16.832 amcompat.tlb
08.12.2005 14:56 65.536 QuickTimeVR.qtx
08.12.2005 14:56 49.152 QuickTime.qts
20.11.2005 17:12 552 d3d8caps.dat
10.11.2005 14:03 49.265 jpicpl32.cpl
10.11.2005 12:27 49.250 javaw.exe
10.11.2005 12:27 49.248 java.exe
03.11.2005 12:50 200.704 ssleay32.dll
03.11.2005 12:50 1.064.960 libeay32.dll
03.11.2005 10:43 0 asfiles.txt
03.11.2005 10:40 2.550 Uninstall.ico
03.11.2005 10:40 1.406 Help.ico
03.11.2005 10:40 1.718 Open.ico
03.11.2005 10:40 1.406 AddQuit.ico
03.11.2005 10:40 5.350 IE.ico
03.11.2005 10:40 9.470 Desktop.ico
03.11.2005 10:40 1.718 Quick.ico
01.11.2005 14:19 7.314.334 WinTemp20584.exe
01.11.2005 14:19 105 MSRunningDLL.exe.bat
01.11.2005 14:19 51.733 plugin1.dat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

16.04.2006 13:56 1.017 jusched.log
16.04.2006 13:48 1.212.416 ~DF58B.tmp
16.04.2006 13:48 32.768 ~DF557E.tmp
16.04.2006 13:48 16.384 ~DF2986.tmp
16.04.2006 13:47 81.920 ~DF68D4.tmp
16.04.2006 13:46 16.384 Perflib_Perfdata_870.dat
16.04.2006 13:46 49.152 ~DF66F5.tmp
16.04.2006 13:46 408 WCESCOMM.LOG
16.04.2006 13:46 32.768 ~DF1071.tmp
16.04.2006 13:46 16.384 ~DF3734.tmp
16.04.2006 13:44 32.768 ~DFA50A.tmp
16.04.2006 13:44 16.384 ~DF7A7F.tmp
16.04.2006 13:40 16.384 ~DFB12A.tmp
16.04.2006 12:44 917.504 MFPL7014.DLL
15.04.2006 17:28 31.880 AAX1D.tmp
15.04.2006 16:55 1.212.416 ~DF7E0.tmp
15.04.2006 16:55 32.768 ~DF2F2F.tmp
15.04.2006 16:55 16.384 ~DF5B88.tmp
15.04.2006 16:54 81.920 ~DF74DE.tmp
15.04.2006 16:53 32.768 ~DFC8D1.tmp
15.04.2006 16:53 16.384 ~DFE153.tmp
15.04.2006 16:53 49.152 ~DFB9F5.tmp
15.04.2006 16:24 31.880 AAX1E.tmp
15.04.2006 16:03 1.212.416 ~DF1EB2.tmp
15.04.2006 16:02 49.152 ~DF6FA7.tmp
15.04.2006 16:02 32.768 ~DF647D.tmp
15.04.2006 16:01 16.384 ~DF42C9.tmp
15.04.2006 15:55 128 WcesView.log
15.04.2006 15:54 81.920 ~DF377A.tmp
15.04.2006 15:50 16.384 ~DF1D0A.tmp
15.04.2006 15:00 31.880 AAX2F7.tmp
15.04.2006 14:56 31.880 AAX2F4.tmp
15.04.2006 12:56 81.920 ~DFAA9D.tmp
15.04.2006 12:49 16.384 ~DFBA52.tmp
15.04.2006 12:39 0 EPSLog.txt
15.04.2006 12:01 31.880 AAXB8.tmp
15.04.2006 11:58 31.880 AAXB5.tmp
15.04.2006 09:58 0 LaunchBrowser.html
15.04.2006 09:10 31.880 AAX8D.tmp
15.04.2006 09:05 31.880 AAX8A.tmp
15.04.2006 08:29 31.880 AAX84.tmp
15.04.2006 08:23 31.880 AAX7E.tmp
15.04.2006 08:20 31.880 AAX78.tmp
15.04.2006 08:15 31.880 AAX72.tmp
15.04.2006 07:16 31.880 AAX66.tmp
15.04.2006 07:12 31.880 AAX63.tmp
15.04.2006 07:09 31.880 AAX60.tmp
15.04.2006 07:04 31.880 AAX5A.tmp
15.04.2006 06:55 31.880 AAX54.tmp
15.04.2006 06:25 741 VGX2C.tmp
15.04.2006 05:51 81.920 ~DFF49B.tmp
15.04.2006 05:44 81.920 ~DFA4.tmp
52 Datei(en) 6.098.430 Bytes
0 Verzeichnis(se), 81.903.513.600 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS

16.04.2006 13:47 0 0.log
16.04.2006 13:47 450.420 WindowsUpdate.log
16.04.2006 13:46 159 wiadebug.log
16.04.2006 13:46 50 wiaservc.log
16.04.2006 13:46 2.048 bootstat.dat
16.04.2006 13:45 354.904 ntbtlog.txt
16.04.2006 13:38 32.548 SchedLgU.Txt
15.04.2006 15:56 363.276 setupact.log
15.04.2006 13:14 557.438 setupapi.log
12.04.2006 19:57 202 NeroDigital.ini
10.04.2006 22:04 207 uno.ini
10.04.2006 21:19 248 BUHL.INI
10.04.2006 00:14 84.479 wmsetup.log
02.04.2006 19:14 5.198 klamm.de_cold.ico
02.04.2006 19:14 5.510 klamm.de.ico
29.03.2006 20:09 1.262 win.ini
29.03.2006 19:44 1.080 AUTOLNCH.REG
12.03.2006 13:54 936 DirectX.log
08.03.2006 11:28 670 GEARInstall.log
07.03.2006 11:48 0 musicmaker.INI
05.03.2006 21:23 16.749 wizard.log
05.03.2006 21:19 13.508 wizard.log_20060305_20_23_21
05.03.2006 21:15 8.249 WGA.log
05.03.2006 21:15 18.974 ehOCGen.log
05.03.2006 21:15 49.899 MedCtrOC.log
05.03.2006 21:15 6.649 iis6.log
05.03.2006 21:15 1.247 ntdtcsetup.log
05.03.2006 21:15 15.600 tabletoc.log
05.03.2006 21:15 149.204 tsoc.log
05.03.2006 21:15 109.041 comsetup.log
05.03.2006 21:15 17.235 ocmsn.log
05.03.2006 21:15 1.355 imsins.log
05.03.2006 21:15 7.907 KB898461.log
05.03.2006 21:15 67.934 netfxocm.log
05.03.2006 21:15 160.436 ocgen.log
05.03.2006 21:15 39.505 plusoc.log
05.03.2006 21:15 15.635 msgsocm.log
05.03.2006 21:15 321.708 FaxSetup.log
05.03.2006 21:15 103.830 msmqinst.log
28.02.2006 20:22 45 wwwbatch.ini
28.02.2006 20:22 1.180 FRNDSL.log
27.02.2006 20:03 25 accessdll.log
27.02.2006 20:03 1.028 avmsetup.log
25.02.2006 17:19 606 One Cat Doodler 3.uis
25.02.2006 17:19 36.864 uninst.exe
25.02.2006 17:19 36.864 ocuninst.exe
25.02.2006 11:06 303.104 Setup1.exe
25.02.2006 11:06 74.752 ST6UNST.EXE
24.02.2006 02:41 3.722 dahotfix.log
24.02.2006 02:41 19.360 dasetup.log
16.02.2006 19:38 122 telephon.ini
14.02.2006 22:51 72.998 _detmp.1
14.02.2006 22:50 703 avmadd32.log
14.02.2006 19:33 2.510 Microsoft.MIF
12.02.2006 23:45 5.022 ModemLog_Sony Ericsson W550 USB WMC Modem.txt
12.02.2006 23:45 4.794 ModemLog_Sony Ericsson W550 USB WMC Data Modem.txt
10.02.2006 12:25 170 setup.log
09.02.2006 21:11 2.464 $_hpcst$.hpc
30.01.2006 22:59 50.398 DPINST.LOG
25.01.2006 12:10 478.720 WRUninstall.dll
14.01.2006 23:11 237 wmsetup10.log
14.01.2006 08:52 316.640 WMSysPr9.prx
08.01.2006 19:48 309 svcpack.log
01.01.2006 22:37 30 Iedit.INI
24.12.2005 17:21 5.120 Thumbs.db
24.12.2005 16:20 28.672 gscr.dll
03.12.2005 17:22 43 gswin32.ini
20.11.2005 17:34 272 system.ini
20.11.2005 17:32 72 wipdate.log
20.11.2005 16:11 20 hppsapp.INI
20.11.2005 14:57 0 setuperr.log
19.11.2005 11:40 2.366 patch.log
13.11.2005 15:11 5.820 COM+.log

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\

16.04.2006 14:42 0 sys.txt
16.04.2006 14:42 12.494 system.txt
16.04.2006 14:41 2.769 systemtemp.txt
16.04.2006 14:41 119.038 system32.txt
16.04.2006 13:47 92 pmcs.txt
16.04.2006 13:47 101 recorder.txt
16.04.2006 13:47 1.914 checkrun.txt
16.04.2006 13:46 536.399.872 hiberfil.sys
16.04.2006 13:46 805.306.368 pagefile.sys
15.04.2006 05:49 13.988 avenger.txt
14.04.2006 15:21 3.411 LOGFILE.TXT
29.03.2006 19:43 0 Log.txt
20.11.2005 17:34 220 boot.ini
15.08.2005 20:01 62 CONFIG.SYS
15.08.2005 20:01 33 AUTOEXEC.BAT
20.05.2005 14:09 251.712 ntldr
20.05.2005 13:55 0 MSDOS.SYS
20.05.2005 13:55 0 IO.SYS
09.05.2005 15:06 17.989 Prodlog.txt
10.08.2004 14:00 4.952 bootfont.bin
10.08.2004 14:00 47.564 NTDETECT.COM
05.01.2002 03:40 487.424 msvcp70.dll
05.01.2002 03:37 344.064 msvcr70.dll
23 Datei(en) 1.343.014.067 Bytes
0 Verzeichnis(se), 81.903.513.600 Bytes frei

#18 1.
Start -- Ausführen -- regedit (reinschreiben)

bearbeiten - suchen - WINHOSTS

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS


2.
noch einmal CleanUp anwenden
http://virus-protect.org/cleanup.html

3.
PC neustarten

4.
scanne mit Panda und poste den scanreport
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 PandaAvctiveScan-report:

Ereignis Zustand Standort

Potenziell unerwünschtes Tool:Application/ServUBased.A Nicht desinfiziert C:\!KillBox\Dap.exe
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip[Counter.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip[Gummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip[VerifierBug.class]
Adware:Adware/PestTrap Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip[web.exe]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip[Worker.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip[Xeyond.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip[Counter.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip[Gummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip[VerifierBug.class]
Virus:Trj/LowZones.RI Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip[web.exe]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip[Worker.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip[Xeyond.class]

#20 1.
C:\!KillBox\Dap.exe --> loeschen und alles andere auch, falls noch mehr vorhanden ist.

2.
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen -->

3.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

4.
Java-Cache manuell leeren
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\

5. mit Panda ueberpruefen, ob alles sauber ist
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Virensuche abgeschlossen Stop
123664 Gescannte Dateien ...s Plus v1.0 German CD\wwInstalScan-Bericht Bericht speichern
Erneut scannen
An das Virenlabor senden
Bericht speichern
Erneut scannen
hallo, hier der scan von panda, scheint wieder alles sauber zu sein oder??


ActiveScan entfernt nur Viren. Um alle Bedrohungen auszuschalten, kaufen oder testen Sie ein empfohlenes Sicherheitsprodukt. ActiveScan bietet Ihnen eine tiefgehende zusätzliche Analyse zur Sicherheit Ihres Computers. Erkannt Desinfiziert
Virus 0 0
Spyware 0 0
Hacker-Tools und potenziell unerwünschte Tools 0 0
Dialer 0 0
Sicherheitsrisiken 0 0
Verdächtige Dateien 0 0

#22 weinfurtnert

Fein Glueckwunsch...saubere Arbeit.
Alles Gute fuer dich + PC .
__________
MfG Sabina

rund um die PC-Sicherheit

#23 hallo, ich danke dir wirklich recht herzlich. ohne dich wäre ich bestimmt verzweifelt. ich hoffe ich kann immer auf dich zählen.
ps: habe 10 euro per paypal gespendet als dankeschön

mfg

tom