Hilfe! Win32/Bambo attakiert mich!!!!

Hilfe!

Gleich mal im Vorhinein:
Betriebssystem: WinXP Home, SP2
Betroffener Browser: Internet Explorer, Version 6.0.2900.2180.xp_sp_sp2_gdr.050301-1519
Erkannter Virus (eTrust Antivirus): Win32/Bambo

Seit heute morgen werden bei mir im IE bei der Anzeige einer Webseite (das ist bei ALLEN Webseiten so) die ersten 13 Stellen des Quelltextes gegen "TEXTTEXTTEXT" eingetauscht.

D.h. zum Beispiel: Normaler 1. Zeile des Quelltextes:

HTML:

<!doctype html public "-//W3C//DTD HTML 4.01 Transitional//EN">

Angezeigt werden sollte ja eigentlich nichts - wird aber doch:

HTML:

TESTTESTTESTl public "-//W3C//DTD HTML 4.01 Transitional//EN"> 

Beispiel 2: (Im Quelltext aufgeteilt in 3 Zeilen)

HTML:

<html>

<head>

Auch hier wird ersetzt:

HTML:

TESTTESTTESTad> 

Was mit dabei aufgefallen ist:

• komischerweise nur HTML-Seiten betroffen
• bei PHP-Seiten o.ä. wird bei 1. Zugriff auf die Seite gar nichts angezeigt (leere Seite)
• wenn man 1x auf "Aktualisieren" geht, erst dann wird die
  Seite korrekt angezeigt.

Mein eTrust Antiviren-Programm hat gesagt, die Datei "hosts" (OHNE Dateiendung!) im Verzeichnis "C:\WINDOWS\system32\drivers\etc\" wäre mit den Virus "Win32/Bambo" infiziert. Aber eTrust konnte die Datei nicht löschen...
Das hab ich dann erledigt und die Datei auch aus dem Papierkorb rausgeschmissen...

Auch ein Scannen mit der aktuellen Version von AntiVir hat nix gebracht.

Hier noch Infos zu meiner Version von Antivir:
Name: AntiVir PersonalEdition Classic
Build: 1064, 13.09.2005
Hauptprogramm: 6.32.00.06, 07.09.2005
Suchengine: 6.32.0.3, 05.09.2005
Virendefinitionsdatei: 6.32.0.15, 16.09.2005
AVRep.DLL: 6.32.0.11, 15.09.2005

Tja und jetz will ich dieses SCHEISS "TESTTESTTEST" da weghaben! - aber wie? und noch am besten ohne größeren Schaden???

Bitte helft mir!

Grüße
Euer Alex

PS: Ich hoffe, meine genauen Angaben helfen Euch weiter (dass Ihr dann mir wiederrum weiterhelfen könnt) und beweisen die Ernsthaftigkeit dieses Posts!

 

Hallo,
öffne mal die host Datei mit dem Texteditor und berichte mal was da so drin steht. Weiterhin solltest du mal das hier machen und den Link posten.


Grüße Jasager

 

Ne Umfrage, ich hau' mich wech..

Die "hosts" ist eine Textdatei ohne Endung. Wenn die infiziert sein soll, fress ich einen Besen. Fehlalarm?

Hijackthis und so. Und fragliche Dateien hier hochladen und scannen lassen:
http://virusscan.jotti.org/de/

 

Wenn er Spybot benutzt und die dortigen Hosts-Einträge übernommen hat, gibt das einen Monster-Post...:p

 

das Ding ist ein Trojaner
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39314

 

Hallo,
deswegen habe ich ja berichten und nicht posten geschrieben, aber wahrscheinlich wäre das schief gegangen und wie hätten mal die Beitragsgrößengrenze austesten können


Grüße Jasager

 

Hallo,
@Yorgos
Gut möglich, kann aber auch noch ein Fehlalarm sein, werden wir ja gleich mit dem HijackThis Log sehen.


Grüße Jasager

 

Guten Morgen!

und danke mal für eure vielen Posts.

Hier die Auswertung für meine hijackthis.log

Und sry, die "hosts"-Datei hab ich schon gelöscht, auch aus dem Papierkorb...

Gruß Alex

 

Hallo,
schlechte Nachrichten, der Verdacht von Yorgos hat sich bestätigt, du hast einen aktiven Backdoor auf deinem Computer. Mal auszüge was der so alles anstellt:

Damit ist dein System kompromittiertund muss neu aufgesetzt werden. Eine Ausführliche Anleitung dazu findest du hier
Infiziert hast du dich übrigens wahrscheinlich über das öffnen einen E-Mail Anhangs, also solltest du das zukünftig eine höhere Hemmschwelle an den Tag legen.



Grüße Jasager

 

Hallo Leute!

Erst mal sorry dass ich jetz erst schreib, aber ich wollte sagen:

nachdem ich den pc im abgesicherten modus gestartet hab, und ungefähr 5 virenprogramme laufen lassen hab (die alle NICHTS gefunden haben), hab ich noch aus der msconfig datei alles unwichtige raus....und schau an -->

pc neu starten: LÄUFT WIEDER WIE NE EINS!!!

des einzige was davon übrig is, is, dass der internet explorer nimmer geht (hängt sich IMMER auf!). aber den brauch ich eh nimmer, ich nehm jetz natürlich den Mozillla Firefox...

also danke nochmal für euro posts!

Gruß ballaJ2

PS: ich erstell jetz wöchentlich ne sicherung meiner daten auf ner externen festplatte; zur vorsicht ;-)