Home » Spyware & Browser Hijacker Support Forum » infected: VBS.Trojan.Inor.Z.Spoofer (hijack this) » Themenansicht
infected: VBS.Trojan.Inor.Z.Spoofer (hijack this) |
||
|---|---|---|
| #0
| ||
|
28.01.2004, 12:24
Member
Beiträge: 30 |
||
 
|
|
|
|
28.01.2004, 12:40
Moderator
Beiträge: 7805 |
#2
Der VBS hat soweit ich weiss was mit Dumaru zu tun, das Script biegt den Aufruf auf die Microsoftseite, der in der Mail steht auf einen anderen Server um und laedt dir Dumaru herunter und startet ihn auch!
Du kannst alle Dateien innerehalb dieses Ordners loeschen: c:\dokumente und einstellungen\xxx\lokale einstellungen\temporary internet files\content.ie5 Du kannst ja mal den Inhalt deiner Boot.ini hier posten. Wenn dein Bitdefender aktuell ist( nicht aelter als 2 Tage) sollte es eigentlich keine Probleme geben. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
28.01.2004, 13:26
Member
Themenstarter Beiträge: 30 |
#3
@raman
thx für deine rasche antwort und hilfe! ich kann am ganzen rechner keine boot.ini finden(?)! häkchen bei geschützten systemdat. ausblenden habe ich weggetan, versteckte dat. habe ich eingeblendet. über Start >> Systemsteuerung >> System >> Erweitert >> Einstellungen (unter Starten und Wiederherstellen) >> Rubrik "Systemstart" - Hier auf "Bearbeiten" klicken und die Boot.ini öffnen geht´s auch nicht. da habe ich bei systemeigenschaften - starten und wiederherstellen - unter systemstart - standardbetriebssystem NICHTS drinnen! gruß PS.: bitdefender ist IMMER aktuell. es erfolgt bei einem verfügbaren update, eine verständigung am dektop. EDIT: nach einem *neuerlichen neustart* habe ich über start-ausführen-msconfig wieder die möglichkeit *boot.ini* anzuklicken, aber dort ist alles leer und die meldung *fehlerhafte boot.ini* besteht weiter. nochmals EDIT:  konnte das prob. betreffend boot.ini inzwischen lösen. *einfach* in der wiederherstellungs-konsole BOOTCFG /REBUILD eingeben.Dieser Beitrag wurde am 28.01.2004 um 15:58 Uhr von michl59 editiert.
|
|
|
|
|
|
|
28.01.2004, 16:36
Moderator
Beiträge: 7805 |
#4
Die Datei liegt normaleresweise im Hauptverzechniss von c: und hat das "versteckt" attribut. Aber vieleicht hast du ja einfach keine!
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
bis jetzt brauchte ich euren rat immer nur für andere -heute bin ich mal selber dran.
bitdefender 7.2 pro meldete mir *VBS.Trojan.Inor.Z.Spoofer* (siehe log - bitdefender) in den temporären internet dateien. nachdem ich den inhalt sämtlicher temp. ordner gelöscht habe und einen neuerlichen scan durchführte, schien mir der computer clean (keine warnung mehr bei bitdefender).
NACH einem neustart fiel mir jedoch auf, dass beim hochfahren, noch wenn der schwarze bildschirm ist, folgende (fehler)meldung auftritt:
FEHLERHAFTE DATEI BOOT.INI
starten von c:\windows\
jetzt weiß ich nicht wie ich damit umgehen soll
log bitdefender:
c:\dokumente und einstellungen\xxx\lokale einstellungen\temporary internet files\content.ie5\85sh2v09\e5_18[1].htm=>(JAVASCRIPT 1) infected: VBS.Trojan.Inor.Z.Spoofer
c:\dokumente und einstellungen\xxx\lokale einstellungen\temporary internet files\content.ie5\85sh2v09\e5_18[1].htm=>(JAVASCRIPT 1) infected: VBS.Trojan.Inor.Z.Spoofer
c:\dokumente und einstellungen\xxx\lokale einstellungen\temporary internet files\content.ie5\85sh2v09\e5_18[1].htm=>(JAVASCRIPT 1) infected: VBS.Trojan.Inor.Z.Spoofer
c:\dokumente und einstellungen\xxx\lokale einstellungen\temporary internet files\content.ie5\g1ev4tej\e5_18[1].htm=>(JAVASCRIPT 1) infected: VBS.Trojan.Inor.Z.Spoofer
c:\dokumente und einstellungen\xxx\lokale einstellungen\temporary internet files\content.ie5\85sh2v09\e5_18[1].htm=>(JAVASCRIPT 1) infected: VBS.Trojan.Inor.Z.Spoofer
könnt ihr euch das mal bitte ansehen?
Logfile of HijackThis v1.97.7
Scan saved at 12:20:28, on 28.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\windows\explorer.exe
C:\Dokumente und Einstellungen\SaUgErL\Desktop\Download-P2P\BDO-Virus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.directbox.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.jet2web.net;*.aon.at;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [] REM
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [InkSaver] REM C:\Programme\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [NeroFilterCheck] REM C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] REM C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [OtbStart] REM C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [QD FastAndSafe] REM
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: InkSaverCheck.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Subscribe in Desktop Sidebar (HKLM)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37896.3693865741
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08EBD35F-FE15-4CF4-B59D-C56A9FBDD2D0}: NameServer = 195.3.96.67 195.3.96.68
vielen dank und noch schönen tag!