Hijacker nach Trojaner Entfernung

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.07.2006, 16:29
Member

Beiträge: 11
#1 Hallo

könnte da mal jemand drüber schauen, aber mir die Vollversion von Syware Doctor besorgt und er hat einges endeckt, unter anderem den Trojaner
Trojan.Qhost. Er hat dies auch erfolgreich beseitigt. Aber nun weiß ich nicht,
ob ides alles ist. Hijacker hat diesen Report ausgeworfen. Der Google Bar wurde übrigens von Syware Doctor installiert.
Dieser Beitrag wurde am 30.07.2006 um 13:25 Uhr von Florianus editiert.
Seitenanfang Seitenende
26.07.2006, 19:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 lade das und suche nach
http://virus-protect.org/artikel/tools/agentransack.html

KillAndClean

poste, was gefunden wird

---------

loesche manuell: C:\WINDOWS\balloon.wav
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.07.2006, 20:51
Member

Themenstarter

Beiträge: 11
#3 Hallo Sabina
thx für die Hilfe. Habe die Datei balloon.wav gelöscht. Der Kill an Klean Report sah so aus.
Dieser Beitrag wurde am 30.07.2006 um 13:25 Uhr von Florianus editiert.
Seitenanfang Seitenende
26.07.2006, 22:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 mit dem Kill & Clean scanner hast du dir im Grunde den Rechner zerschossen....
das ist kein serioeser scan !


http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> poste den report

Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.07.2006, 23:12
Member

Themenstarter

Beiträge: 11
#5 Hallo Sabina

mit blacklight habe ich bereits gearbeitet, dieser hat 3 Files gefunden,
welche ich renamed und dann gelöscht habe siehe Report vom 24.7. und heute
26.7.Der Fixwareout ver 1.003 Report siehe ganz unten.
Dieser Beitrag wurde am 30.07.2006 um 13:25 Uhr von Florianus editiert.
Seitenanfang Seitenende
26.07.2006, 23:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten.

poste das log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.07.2006, 13:03
Member

Themenstarter

Beiträge: 11
#7 Hallo Sabina

blacklight zeigt keine Dateien mehr an(siehe unten).Bei Winpfind hängte sich das Programm leider auf(auch im abgesicherten Modus). Meldung - Invalid Data Type for" - leider wurde keine Dateiname genannt. Spyware Doctor bleibt aber mit der gleichen Meldung hängen, dies geschieht bei der Datei mswsock.dll.
Diese Datei kommt bei mir 2 mal vor.

C
Dieser Beitrag wurde am 30.07.2006 um 13:26 Uhr von Florianus editiert.
Seitenanfang Seitenende
27.07.2006, 13:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 killandclean (Information)
http://virus-protect.org/artikel/spyware/killandclean_remove.html

-------------------------------------------------------------------------
1.
gehe in die registry
Start -Ausfuehren - regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
DisablePwdCaching 1 -> in 0 aendern

siehe hier: DisablePwdCaching
http://home.arcor.de/parabol60/index.htm?network.htm

PC neustarten

2.
C:\Dokumente und Einstellungen\ESCO_vom_Wieslauftal\Anwendungsdaten\kc.tmp - loeschen

3.
lade spybot und poste den scanreport
http://www.safer-networking.org/en/download/index.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.07.2006, 15:05
Member

Themenstarter

Beiträge: 11
#9 Hallo Sabina

einmal vor und einmal nach Bereinigung, die registry habe ich geändert.

Gruß Florian
Dieser Beitrag wurde am 30.07.2006 um 13:26 Uhr von Florianus editiert.
Seitenanfang Seitenende
27.07.2006, 15:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
desinstalliere:

C:\Programme\FunWebProducts
C:\Programme\MyWebSearch

2.
dann loesche mit Spybot oder manuell in der Registry:

HKEY_LOCAL_MACHINE\Software\Fun Web Products
HKEY_LOCAL_MACHINE\Software\FocusInteractive
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
HKEY_CLASSES_ROOT\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3}
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}

3.
ueberpruefe, ob das Microsoft.WindowsSecurityCenter aktiviert ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.07.2006, 16:19
Member

Themenstarter

Beiträge: 11
#11 Hallo Sabina

dies hat Spybot schon getan, siehe 2ter Scan Bericht oben nach Bereinigung. Nur das WindowsSecurityCenter ist noch deaktivert,
da ich ZoneAlarm einsetze. Habe mal gehört, dass man es dann auschalten solle, da sich die Dinger nicht vertragen. soll ich es trotzdem aktivieren ?

Gruß Florian
Seitenanfang Seitenende
27.07.2006, 21:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wenn du das WindowsSecurityCenter selbst deaktiviert hast, dann ist es o.k.
ich dachte, die viren haetten es bewerkstelligt.

multiavtool.
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie,

----------------------------------

* klicke "1" nun beginnt der Scan von Sophos
* klicke "2" , nun beginnt der Scan von Trend Micro
poste dann auch diese Reports
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.07.2006, 18:20
Member

Themenstarter

Beiträge: 11
#13 Hi also zunächst einmal

haben dies Scans weitere Trojaner "aufgescheucht" SPR/Tool.Madtol.D;SPR/Doubios.Handle1,HEUR/Hijacker
Bedenklich, dass 1 davon im Verzeichnis von Hijacker (V06RGa02406) war
und einer im Verzeichnis von SmitfraudFix(Prozess.exe) . Na ja Vielleicht auch Fehlarlarme. SPR/Tool.Madtol war im System Volume Information als a005001.exe . Da gibt leider einige Dateien die so ähnlich heißen A008700.exe usw....

[
Dieser Beitrag wurde am 30.07.2006 um 13:27 Uhr von Florianus editiert.
Seitenanfang Seitenende
29.07.2006, 01:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Florianus

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
wende das an (auch die Datentraegerbereinigung machen lassen) + poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2006, 13:13
Member

Themenstarter

Beiträge: 11
#15 Hallo Sabina

die A000..exe/a00...dll aus System volume Information scheinen weg, siehe ganz unten blau.
Dieser Beitrag wurde am 30.07.2006 um 13:28 Uhr von Florianus editiert.
Seitenanfang Seitenende