SWF/Dldr.Gida.A Befall?

#0
01.01.2008, 16:16
Member

Beiträge: 36
#1 Hallo,


Am 23.12.2007 habe ich nach Ecards zum Thema Weihnachten gesucht. Auf der Startpage einer Website, die ich von Google aus angesurft habe, öffneten sich sofort zwei AntiVir PE Classic Meldungen, dass unter Anwendungsdaten im Opera Browser Cache die Datei opr11L2L.swf, sowie die Datei orp11L54.swf infiziert sind. Genauer "SWF Virus" - SWF/Dldr. Gida.A . Sofort habe ich diese Dateien in Quarantäne geschickt (die Einträge sind heute noch vorhanden), aber dann hatte sich im Browser bereits automatisch ein neues Fenster geöffnet, ein grüner Balken war zu sehen, was wie ich vermute der drive-by Trojan Download Prozess war oder? Danach habe ich mit CCleaner eine Reinigung durchgeführt.

Heute habe ich das System nach Anleitung aus diesem Forum im abgesichterten Modus mit AdAware (einige Tracking Cookies gelöscht), Spybot (keine Funde) und eScan überprüft.

Folgend die eScan (gekürzt) und HJT Logs. Was ich nun gerne wissen möchte ist, wie sehr mein PC geschädigt ist, ob weitere Tests / Scans durchgeführt werden sollten, ob Maßnahmen getroffen werden können und ob die drei gemeldeten Trojaner Infektionen eventuell zu SmitFraudFix gehören, welches ich am 27.12.2007 gespeichert habe. Vielen Dank!


Tue Jan 01 12:29:33 2008 => Offending Key found:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Tue Jan 01 13:26:45 2008 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 01 13:26:46 2008 => Offending Key found:

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Tue Jan 01 13:26:46 2008 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 01 13:26:46 2008 => Offending Key found:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Tue Jan 01 13:26:46 2008 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 01 13:26:49 2008 => Offending file found: C:\WINDOWS\system32\process.exe
Tue Jan 01 13:26:49 2008 => System found infected with trojan-downloader.bat.ftp.ab

Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 01 13:26:49 2008 => Offending file found: C:\WINDOWS\system32\swreg.exe
Tue Jan 01 13:26:49 2008 => System found infected with trojan-downloader.bat.ftp.ab

Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 01 13:26:49 2008 => Offending file found: C:\WINDOWS\system32\swsc.exe
Tue Jan 01 13:26:49 2008 => System found infected with trojan-downloader.bat.ftp.ab

Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 01 13:26:49 2008 => Offending Folder found: C:\Dokumente und

Einstellungen\Anwendungsdaten\acccore\caches\bart\1024
Tue Jan 01 13:26:49 2008 => Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 01 13:27:00 2008 => Offending file found: C:\Dokumente und
Einstellungen\Startmenü\programme\yahoo!\games\poker.url
Tue Jan 01 13:27:00 2008 => System found infected with smitfraud Browser Hijacker (poker.url)!

Action taken: Keine Aktion vorgenommen.

Tue Jan 01 13:27:00 2008 => Offending file found: C:\Dokumente und
Einstellungen\Startmenü\Programme\yahoo!\games\poker.url
Tue Jan 01 13:27:00 2008 => System found infected with smitfraud Browser Hijacker (poker.url)!

Action taken: Keine Aktion vorgenommen.

Tue Jan 01 13:27:11 2008 => Offending Registry Entry found:

hkey_local_machine\software\microsoft\windows\currentversion\internet
settings\zonemap\domains\net-nucleus.com

Tue Jan 01 13:27:11 2008 => System found infected with mirar Spyware/Adware

(hkey_local_machine\software\microsoft\windows\currentversion\internet
settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.


Zu den Trojan Downloader Funden folgende Virustotal Ergebnisse

process.exe

AhnLab-V3 2008.1.1.10 2007.12.31 Win-AppCare/PrcViewer.53248
DrWeb 4.44.0.09170 2007.12.31 Tool.Prockill
FileAdvisor 1 2008.01.01 High threat detected
Fortinet 3.14.0.0 2008.01.01 Misc/PrcViewer
McAfee 5196 2007.12.31 potentially unwanted program PrcViewer
NOD32v2 2759 2008.01.01 Win32/PrcView
Panda 9.0.0.4 2008.01.01 Application/Processor
TheHacker 6.2.9.176 2008.01.01 Aplicacion/Processor.20

swreg.exe
eSafe 7.0.15.0 2007.12.31 suspicious Trojan/Worm
Panda 9.0.0.4 2008.01.01 Suspicious file

swsc.exe
eSafe 7.0.15.0 2007.12.31 suspicious Trojan/Worm




Logfile of HijackThis v1.99.1
Scan saved at 16:04:49, on 01.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\SiteAdvisor\6253\SAService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SiteAdvisor\6253\SiteAdv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\This\This.co.exe (dieser Prozess ist HJT, wurde von mir bereits vor den Meldungen so benannt)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [jv16PT - Privacy Protector] C:\Programme\jv16 PowerTools 2006\jv16pt.exe -ExecTask "C:\Programme\jv16 PowerTools 2006\Tasks\_PrivacyProtector\Task.jvb"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [East-Tec Eraser 2006] "C:\Programme\East-Tec Eraser 2006\silent.exe" /R
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2007\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2007\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5576AB3A-FCF8-44FF-981D-4045C22C0D25}: NameServer = 192.168.0.1
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6253\SAService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 01.01.2008 um 16:25 Uhr von Maloha editiert.
Seitenanfang Seitenende
01.01.2008, 17:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo Maloha

lade bitte Counterspy (ist 2 Wochen free) - scanne und poste den report
http://www.virus-protect.org/counterspy1.html

dann sehen wir weiter....
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.01.2008, 16:41
Member

Themenstarter

Beiträge: 36
#3 Hi und danke für die Antwort.

Ich habe noch eine Frage zum eScan Log.
Anzahl Fehler: 60
Sind dies die etlichen "verweist auf das ungültige Objekt" Punkte?

CounterSpy

648 memory locations scanned, 0 infected
52466 files checked, 151 infected
202764 registry locations checked, 311 infected
0 cookies scanned, 0 infected

1 security risk component detected!

Type Low Risk Software

Details

BSplayer Adware Bundler
Details: BSplayer is bundle with WhenU Save. You cannot even run the software without WhenU Save.
Status: Ignored

Files detected
C:\PROGRAMME\Webteh\BSplayerPro\bplay.exe
C:\PROGRAMME\Webteh\BSplayerPro\bspfilters.sam
C:\PROGRAMME\Webteh\BSplayerPro\bsplay.exe
C:\PROGRAMME\Webteh\BSplayerPro\bsplayer.exe.manifest

C:\PROGRAMME\WEBTEH
C:\PROGRAMME\WEBTEH\BSPLAYERPRO
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\DOC
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\LANG
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\PLUGINS
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK\PLUGINS
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK\PLUGINS\C
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK\PLUGINS\C\SAMPLE
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK\PLUGINS\C\SAMPLE_SUBTITLES
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK\PLUGINS\DELPHI
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK\PLUGINS\DELPHI\SAMPLE
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SDK\PLUGINS\DELPHI\SAMPLE_SUBTITLES
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SKINS
C:\PROGRAMME\WEBTEH\BSPLAYERPRO\SKINS\BASE

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\BSPLAYER1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\BSPLAYER1
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\BSPLAYER1
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\SOFTWARE\BST
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\SOFTWARE\BST\bsplayerv1
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\SOFTWARE\BST\bsplayerv1
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\SOFTWARE\BST\bsplayerv1
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004_Classes\BSP.INIF
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004_Classes\BSP.INIF
...
Seitenanfang Seitenende
02.01.2008, 17:34
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 ««

Zitat

Files detected
Mit Counterspy muesste man auch loeschen koennen - ich hab selbst die neue Version noch nicht ausprobiert - versuche zu loeschen....
vorher : C:\PROGRAMME\Webteh deinstallieren

die Eintraege von escan, wenn keine Viren angezeigt werden, kannst du vernachlassigen.

»»
mache einen Onlinscan mit ewido und poste hier den report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.01.2008, 18:09
Member

Themenstarter

Beiträge: 36
#5 Alle infected eScan Meldungen habe ich bereits im ersten Post erwähnt, also ignoriere ich die Fehler. Danke für die Information.

Den OnlineScan ebenfalls im abgesicherten Modus oder? Unter ewido wird der Nachfolger AVG Anti-Spyware 7.5 erwähnt. Diese Software nicht verwenden? Ich kann mich mit dem Report erst morgen wieder melden.
Seitenanfang Seitenende
02.01.2008, 19:29
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 Ewido-Scann: klicke einfach auf "Scannen" - muss mit dem IE sein (Firefox ua. funktionieren nicht)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
03.01.2008, 11:51
Member

Themenstarter

Beiträge: 36
#7 Ewido hat ein Tracking Cookie gefunden, welches ich entfernt habe.

report.log

Name: TrackingCookie.Netflame
Risk: Medium

Die Datei process.exe die eScan als Trojaner meldet, wurde laut Rechtsklick am 27.12.2007 erstellt, aber am 5. Juni 2003 geändert. Firma: beyondlogic.org

swreg.exe ebenfalls. Firma: SteelWerX
Dieser Beitrag wurde am 03.01.2008 um 11:59 Uhr von Maloha editiert.
Seitenanfang Seitenende
03.01.2008, 14:28
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 du kannst die betreffenden exe hier hochladen + prüfen lassen:
http://www.virustotal.com/de/
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
03.01.2008, 17:41
Member

Themenstarter

Beiträge: 36
#9 Wie sollte ich mit diesen .exe Dateien vorgehen? Löschen ? Und wie kann ich die eScan Report Browser Hijacker / Adware entfernen ?

process.exe

AhnLab-V3 2008.1.1.10 2007.12.31 Win-AppCare/PrcViewer.53248
DrWeb 4.44.0.09170 2007.12.31 Tool.Prockill
FileAdvisor 1 2008.01.01 High threat detected
Fortinet 3.14.0.0 2008.01.01 Misc/PrcViewer
McAfee 5196 2007.12.31 potentially unwanted program PrcViewer
NOD32v2 2759 2008.01.01 Win32/PrcView
Panda 9.0.0.4 2008.01.01 Application/Processor
TheHacker 6.2.9.176 2008.01.01 Aplicacion/Processor.20

swreg.exe
eSafe 7.0.15.0 2007.12.31 suspicious Trojan/Worm
Panda 9.0.0.4 2008.01.01 Suspicious file

swsc.exe
eSafe 7.0.15.0 2007.12.31 suspicious Trojan/Worm
Dieser Beitrag wurde am 05.01.2008 um 13:35 Uhr von Maloha editiert.
Seitenanfang Seitenende
11.01.2008, 12:17
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 Maloha

die betreffenden exe stellen keine Gefahr da - brauchst dir keine Sorgen zu machen ;)
Sie werden als Aplication, also Anwendung angezeigt - sind keine Viren.
und eSafe zeigt sowieso alles unbekannte als Trojaner an, ist nicht das erste Mal...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
14.01.2008, 12:05
Member

Themenstarter

Beiträge: 36
#11 Vielen Dank für die Antwort. Also haben die damalige AntiVir SWF/Dldr.Gida.A Meldungen das System wohl nicht kompromitiert? Soll ich die zwei Dateien in der AntiVir Quarantäne lassen? Ich war besorgt wegen dem Hintergrundfester, welches sich automatisch geöffnet hatte (manuell habe ich von der eCard Webseite nichts runtergeladen) und dem Statusbalken in der Mitte. Was könnte dies denn gewesen sein? IP stand dort glaube ich auch. Und wieso zeigte eScan die exe als trojan-downloader.bat.ftp.ab an?

Dann würde ich noch gerne wissen, wie ich diese eScan Meldungen entfernen kann? Spybot, AdAware und Ewido haben die Funde nicht angezeigt.


HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Tue Jan 01 13:26:45 2008 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden!


HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Tue Jan 01 13:26:46 2008 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden!

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Tue Jan 01 13:26:46 2008 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden!

C:\Dokumente und Einstellungen\Anwendungsdaten\acccore\caches\bart\1024
Tue Jan 01 13:26:49 2008 => Object "smitfraud Browser Hijacker" in Dateisystem gefunden!

Tue Jan 01 13:27:00 2008 => Offending file found: C:\Dokumente und
Einstellungen\Startmenü\Programme\yahoo!\games\poker.url
Tue Jan 01 13:27:00 2008 => System found infected with smitfraud Browser Hijacker (poker.url)!

Tue Jan 01 13:27:11 2008 => System found infected with mirar Spyware/Adware
(hkey_local_machine\software\microsoft\windows\currentversion\internet
settings\zonemap\domains\net-nucleus.com)
Seitenanfang Seitenende
14.01.2008, 13:05
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 1.
Gehe in die Registry
Start - Ausführen - regedit (reinschreiben)
die Registry wird sich öffnen
oben links: suchen
schreib rein: gator , danach: net-nucleus

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com - löschen

hkey_local_machine\software\microsoft\windows\currentversion\internet
settings\zonemap\domains\net-nucleus.com - löschen

dann klicken: weitersuchen, bis alle gator-Einträge und net-nucleus gelöscht sind..

PC neustarten

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\Anwendungsdaten\acccore\caches\bart" >>files.txt
dir "C:\Dokumente und Einstellungen\Anwendungsdaten\acccore\caches\bart\1024" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende