Hilfe! Win32/Bambo attakiert mich!!!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von ballaJ2, 19. September 2005.

?

Kann man was dagegen machen?

Diese Umfrage endet am 20. Januar 2033 um 19:14 Uhr.
  1. Ja *gottseidank*

    0 Stimme(n)
    0,0%
  2. Weiß nicht *du trottel* ;-)

    83,3%
  3. Nein *scheisse*

    16,7%
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ballaJ2

    ballaJ2 Byte

    Registriert seit:
    19. September 2005
    Beiträge:
    8
    Hilfe!

    Gleich mal im Vorhinein:
    Betriebssystem: WinXP Home, SP2
    Betroffener Browser: Internet Explorer, Version 6.0.2900.2180.xp_sp_sp2_gdr.050301-1519
    Erkannter Virus (eTrust Antivirus): Win32/Bambo

    Seit heute morgen werden bei mir im IE bei der Anzeige einer Webseite (das ist bei ALLEN Webseiten so) die ersten 13 Stellen des Quelltextes gegen "TEXTTEXTTEXT" eingetauscht.

    D.h. zum Beispiel: Normaler 1. Zeile des Quelltextes:
    HTML:
    <!doctype html public "-//W3C//DTD HTML 4.01 Transitional//EN">
    Angezeigt werden sollte ja eigentlich nichts - wird aber doch:
    HTML:
    TESTTESTTESTl public "-//W3C//DTD HTML 4.01 Transitional//EN"> 
    Beispiel 2: (Im Quelltext aufgeteilt in 3 Zeilen)
    HTML:
    <html>
    
    <head>
    Auch hier wird ersetzt:
    HTML:
    TESTTESTTESTad> 
    Was mit dabei aufgefallen ist:
    • komischerweise nur HTML-Seiten betroffen
    • bei PHP-Seiten o.ä. wird bei 1. Zugriff auf die Seite gar nichts angezeigt (leere Seite)
    • wenn man 1x auf "Aktualisieren" geht, erst dann wird die
      Seite korrekt angezeigt.

    Mein eTrust Antiviren-Programm hat gesagt, die Datei "hosts" (OHNE Dateiendung!) im Verzeichnis "C:\WINDOWS\system32\drivers\etc\" wäre mit den Virus "Win32/Bambo" infiziert. Aber eTrust konnte die Datei nicht löschen...
    Das hab ich dann erledigt und die Datei auch aus dem Papierkorb rausgeschmissen...

    Auch ein Scannen mit der aktuellen Version von AntiVir hat nix gebracht.

    Hier noch Infos zu meiner Version von Antivir:
    Name: AntiVir PersonalEdition Classic
    Build: 1064, 13.09.2005
    Hauptprogramm: 6.32.00.06, 07.09.2005
    Suchengine: 6.32.0.3, 05.09.2005
    Virendefinitionsdatei: 6.32.0.15, 16.09.2005
    AVRep.DLL: 6.32.0.11, 15.09.2005

    Tja und jetz will ich dieses SCHEISS "TESTTESTTEST" da weghaben! - aber wie? und noch am besten ohne größeren Schaden???

    Bitte helft mir!

    Grüße
    Euer Alex

    PS: Ich hoffe, meine genauen Angaben helfen Euch weiter (dass Ihr dann mir wiederrum weiterhelfen könnt) und beweisen die Ernsthaftigkeit dieses Posts!
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    öffne mal die host Datei mit dem Texteditor und berichte mal was da so drin steht. Weiterhin solltest du mal das hier machen und den Link posten.


    Grüße Jasager
     
  3. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ne Umfrage, ich hau' mich wech..:D

    Die "hosts" ist eine Textdatei ohne Endung. Wenn die infiziert sein soll, fress ich einen Besen. Fehlalarm?

    Hijackthis und so. Und fragliche Dateien hier hochladen und scannen lassen:
    http://virusscan.jotti.org/de/
     
  4. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Wenn er Spybot benutzt und die dortigen Hosts-Einträge übernommen hat, gibt das einen Monster-Post...:p
     
  5. Yorgos

    Yorgos Viertel Gigabyte

    Registriert seit:
    2. Februar 2003
    Beiträge:
    3.963
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    deswegen habe ich ja berichten und nicht posten geschrieben, aber wahrscheinlich wäre das schief gegangen und wie hätten mal die Beitragsgrößengrenze austesten können :D


    Grüße Jasager
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @Yorgos
    Gut möglich, kann aber auch noch ein Fehlalarm sein, werden wir ja gleich mit dem HijackThis Log sehen.


    Grüße Jasager
     
  8. ballaJ2

    ballaJ2 Byte

    Registriert seit:
    19. September 2005
    Beiträge:
    8
    Guten Morgen!

    und danke mal für eure vielen Posts.

    Hier die Auswertung für meine hijackthis.log

    Und sry, die "hosts"-Datei hab ich schon gelöscht, auch aus dem Papierkorb...

    Gruß Alex
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    schlechte Nachrichten, der Verdacht von Yorgos hat sich bestätigt, du hast einen aktiven Backdoor auf deinem Computer. Mal auszüge was der so alles anstellt:
    Damit ist dein System kompromittiertund muss neu aufgesetzt werden. Eine Ausführliche Anleitung dazu findest du hier
    Infiziert hast du dich übrigens wahrscheinlich über das öffnen einen E-Mail Anhangs, also solltest du das zukünftig eine höhere Hemmschwelle an den Tag legen.



    Grüße Jasager
     
  10. ballaJ2

    ballaJ2 Byte

    Registriert seit:
    19. September 2005
    Beiträge:
    8
    Hallo Leute!

    Erst mal sorry dass ich jetz erst schreib, aber ich wollte sagen:

    nachdem ich den pc im abgesicherten modus gestartet hab, und ungefähr 5 virenprogramme laufen lassen hab (die alle NICHTS gefunden haben), hab ich noch aus der msconfig datei alles unwichtige raus....und schau an -->

    pc neu starten: LÄUFT WIEDER WIE NE EINS!!!

    des einzige was davon übrig is, is, dass der internet explorer nimmer geht (hängt sich IMMER auf!). aber den brauch ich eh nimmer, ich nehm jetz natürlich den Mozillla Firefox...

    also danke nochmal für euro posts!

    Gruß ballaJ2

    PS: ich erstell jetz wöchentlich ne sicherung meiner daten auf ner externen festplatte; zur vorsicht ;-)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen