schad-skript

[Der Sack]

hi leude ich hab mir nen schad-skript eingefangen und hätte es gerne wieder runter vom pc...
hab nur entvernungsprogramme für mac gefunden aber keins für windows
kennt vll einer von euch son programm für windows ???

dank euch

 

[sTOrM41]

ähm

bissel mehr infos zu dem script oO?

wirst für windows wohl eher was finden als für mac xD

 

[VL125]

Durch welche Software gemerkt oder wie tritt der Fehler auf?

 

[Der Sack]

ich merks darducrch wenn ich z.b ne i-net adresse eingebe dann macht er nicht die seite auf sondern geht über andere seiten zu google wo er nach pornobegriffen sucht...
dann steht z.b unben so ne adresse wie
http://64.86.133.218/?to=dname&from=fh1&type=mainstream
oder auch
http://75.102.7.228/in.php

 

[sTOrM41]

lad dir mal hijackthis und mach ne logfile auswertung

 

[Huggyduggy]

Überfordert ihn nicht - lad dir Kaspersky runter, da gibts ne 30 tage demo

 

[Der Sack]

ja hatte kaspersky hat aber ncihts gefunden-.-

 

[VL125]

http://www.hijackthis.de/de ansurfen, Prgramm runterladen, scannen lassen und den logfielinhalt auswerten lassen ist ganz einfach.

 

[sabermaul]

Lösch mal alles aus der hosts Datei unter C:\system32\drivers\etc\ raus.
Außer

127.0.0.1 localhost

!

 

[Der Sack]

ich komm mit der seite nciht kla da is nichts zum downloaden

 

[Elgar]

Schon mal ganz oben rechts auf der Seite geschaut?

 

[Der Sack]

ja hab ich mir gedownloadet und skannen lassen . der hat son log file erstellt. wie soll ich weiter verfahren?oder wie soll ich das auswerten lassen??

 

[VL125]

den Inhalt markieren, kopieren udn dann auf der HP in die große weiße Fläche einfügen und auf Auswerten klicken.

 

[Der Sack]

ja sieht scho mal komisch aus viele hacken aber auch rote und orangene kreuze ... soll ich alle datein die mit kreuzen versehen sind fixen?


hat sich zum teil schon erledigt steht ja meist dahinter ...

könnte mir vll noch eben einer sagen was die kreuze bedeuten?
oder sind die immer schlecht???

 

[sabermaul]

Wenn du deine Log Datei hier postest, können wir uns die ja mal ansehen.

 

[Der Sack]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:41, on 08.02.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\a-squared Free\a2service.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\System32\nvsvc32.exe
G:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C569B21-DE54-4FBD-8CE2-8A0C6833CE10}: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ACC09E-681B-4FF7-84D4-4649BFFFB46B}: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.62,85.255.112.107
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4594 bytes





so bittesehr

 

[VL125]

O17 - HKLM\System\CCS\Services\Tcpip\..\{2C569B21-DE54-4FBD-8CE2-8A0C6833CE10}: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ACC09E-681B-4FF7-84D4-4649BFFFB46B}: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.62,85.255.112.107
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.62,85.255.112.107

das macht mich stutzig

85.255.112.107
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

85.255.115.62
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

[Der Sack]

ja mich auch was si das??
ich habs ma nciht gefixt weil dahinter steht nicht fixen....

 

[VL125]

Haste den Post von sabermaul beachtet?

 

[networker]

Da hat Dir jemand Namensserver in Odessa untergeschoben. Daten sichern, Platte löschen, System neu aufsetzen.

Mirko

 

[sTOrM41]

Da hat Dir jemand Namensserver in Odessa untergeschoben. Daten sichern, Platte löschen, System neu aufsetzen.

Mirko

so schauts aus!

 

[Der Sack]

was macht den son namesever ??is dat schlimm,
kann man das nicht einfach fixen?




... alos soll ich alles sichern dann alles formatieren und alles neu drauf??

 

[kaptan]

Oh das sieht echt nicht gut aus, würde wirklich nur das wichtigste behalten bzw. die platte ganz formatieren ...

 

[Der Sack]

ja ich hab partitionen ... soll ich alle formatieren?


was kann durch son namesever passieren?

 

[kaptan]

die platte ganz formatieren ja auch alle partitionen!

WD platten haben auch ein schönes tool, wo es möglich ist u.a
die gesammte platte sicher zu löschen.

da kann schon allerhand passieren, wahrscheinlich bot-netzwerk...

 

[Der Sack]

fixen würd also garncihts bringen??

 

[Berlinrider]

Ich würde das löschen erstmal auf die Windows Partiton beschränken.

 

[Padmak]

bei mir schauts genauso aus
auszug ausm logfile
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABB504F5-1C3B-468F-AA72-E91B04B685CA}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.114,85.255.112.60
kann man die einträge net einfach aus der registry löschen?

Padmak

 

[sabermaul]

Probieren kannst du das ja, aber es ist fraglich, ob hijackthis überhaupt alles findet...

 

[Padmak]

hab alle einträge mit nameserver gelöscht...
natürlich nicht die mit der router ip
aber es geht imma noch nich

Padmak