Exploit Urlspoof.gen

Dieses Thema im Forum "Sicherheit" wurde erstellt von Kitty1, 19. November 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Kitty1

    Kitty1 Byte

    Registriert seit:
    5. Juli 2002
    Beiträge:
    20
    Hallo Leute!
    Mein Kumpel hat sich dieses Trojanische Pferd eingefangen und bringt es nicht mehr los. Wie kann man dem Trojaner entfernen wenn es laut McAffe nicht geht. Er hat Win XP Pro und IE6.
    Es hat auch die Bezeichnung "%68%70(1)". Wenn man versucht diese Datei zu löschen dan geht das auch im Admin nicht da ein Schreibschutz drauf ist den man nicht aufheben kann. Gibts da was in der Registry das man Ihn entfernen kann oder ein Tool. Habe nämlich keine Lust am Wochenende das System neu Aufzusetzen. Bitte um Eure Hilfe. Danke
    Peter :eek:
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Auf dieser Seite warst du schon?

    Wo liegt denn die Datei %68%70(1) überhaupt?


    Der Patch gegen die Lücke die das Teil ausnutzt kam schon im Februar 2004 raus... :rolleyes:
    Und das hier kann sich dein Kumpel auch mal durchlesen.
     
  3. Kitty1

    Kitty1 Byte

    Registriert seit:
    5. Juli 2002
    Beiträge:
    20
    Leider hilft mir dein Tipp auch nicht weiter. Ich kann bei seinem PC einfach keine Internetseite ansurfen. Können beide leider auch kein Englisch. Wo genau gibts den ein Tool das ich eventuell von meinem Rechner auf Diskette laden kann. Oder kann man auch in der Registry den Trojaner wieder loswerden und wo?. Bin echt dankbar für jeden guten Tipp? :confused:
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
    Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.


    Die Antwort auf diese Frage steht noch aus. Und ist das die einzige befallene Datei oder gibts mehrere?
     
  5. Kitty1

    Kitty1 Byte

    Registriert seit:
    5. Juli 2002
    Beiträge:
    20
    Logfile of HijackThis v1.98.2
    Scan saved at 15:12:10, on 27.11.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
    C:\PROGRA~1\Save\Save.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Dokumente und Einstellungen\Wolfi\Anwendungsdaten\eeeo.exe
    C:\Programme\ClockSync\Sync.exe
    C:\WINDOWS\System32\agbhmhfp.exe
    C:\WINDOWS\System\MSMSGSVC.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Programme\Network Associates\VirusScan\VsStat.exe
    C:\Programme\Network Associates\VirusScan\Avconsol.exe
    C:\Programme\Network Associates\VirusScan\Vshwin32.exe
    C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
    D:\PROGRA~1\WINZIP\winzip32.exe
    C:\Dokumente und Einstellungen\Wolfi\Lokale Einstellungen\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
    O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
    O4 - HKLM\..\Run: [3232hhPEhh] C:\WINDOWS\3232hhPEhh.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [YAW starten] "d:\programme\yaw 3.5\fast.exe"
    O4 - HKCU\..\Run: [Tcir] C:\Dokumente und Einstellungen\Wolfi\Anwendungsdaten\eeeo.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
    O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
    O4 - HKCU\..\Run: [Upit] C:\WINDOWS\System32\agbhmhfp.exe
    O4 - HKCU\..\Run: [3232hhPEhh] C:\WINDOWS\3232hhPEhh.exe
    O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O13 - WWW Prefix: http://ehttp.cc/?
    O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
    O18 - Filter: text/plain - {11319EA1-8947-4F29-AB21-C325494C548E} - C:\WINDOWS\System32\kmhafaa.dll


    Sorry das ich mir beim Antworten so lange Zeit genommen habe. Bin aus beruflichen Gründen nicht vorher dazugekommen. Ich glaube das es besser ist die Platte neu zu formatieren. Was sagts Du dazu?
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Eigentlich solltest du das Log nicht hier ins Forum reinklatschen, und wenn dann wenigstens auf Schriftgröße 1... :(

    Folge dem Link von MaxMaster, Lösche mit HijackThis alles was als böse markiert ist und entferne die zugehörigen Dateien von der Platte. Das ganze machst du am besten im abgesicherten Modus.

    Danach erstelltst du ein neues Log, aber diesmal bitte so wie von mir beschrieben.

    Und könntest du mir endlich mitteilen wo denn nun diese ominöse Datei %68%70(1) liegt? :rolleyes:
     
  7. Kitty1

    Kitty1 Byte

    Registriert seit:
    5. Juli 2002
    Beiträge:
    20
    Hallo Doctor
    Nun wo die ominöse Datei liegt würde ich gerne selber wissen. McAffe macht die Meldung das ich diese Datei löschen soll sagt mir aber nicht wo es liegt. Wenn ich bei der Suche diesen Namen reinkopiere und auf Durcsuchen gehe kommt auch eine Leermeldung. Tut mir leid das ich Dir keine genaueren Angaben machen konnte. Werde Versuchen die Viren und TZrojaner zu entfernen und dan ein neues Logfile mit Schriftgröße 1 durchs Netz jagen. Eintstweilen möchte ich Danke sagen für Eure Info´s
    Peter
     
  8. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Ich hab das Logfile mal auf Schriftgröße 1 gesetzt. ;)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen