Riesen Probleme mit Hijack u.ä.

Dieses Thema im Forum "Sicherheit" wurde erstellt von h5n1, 13. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. h5n1

    h5n1 ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    4
    Also...ich habe seit kurzem Probleme dahingehend das ich nur noch wenige Internet Seiten öffnen kann. MIr wurde gesagt ich soll Hijackthis durchführen. Da ich da auch wieder Probleme bei hatte musste mir ein Freund helfen die Logfile ins Internet zu stellen.
    Die Auswertung konnte ich auch mal wieder nich sehen aber er hat mir nen Link gegeben.
    Das müsste er sein:

    http://www.hijackthis.de/logfiles/3e2420499b804cbe1e39f1dacf17e4f8.html

    Ich hoffe irgendwer kann mir helfen weil alles was ich bis jetz gemacht habe hat keinen wirklichen Erfolg mit sich gebracht.
    Danke im voraus.
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    Schädlinge hier:

    O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto

    O4 - HKLM\..\RunServices: [WinLoader] mrtywabisrg.exe

    Systemwiederherstellung deaktivieren, im abgesicherten Modus booten. Die Einträge mit HiJAckThis fixen. Die Dateien mit den Misc Tools von HiJackThis zur Bootzeit löschen, falls es mit dem Löschen Probleme gibt.

    Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

    Bundesamt für Sicherheit in der Informationstechnologie (BSI)
    http://www.bsi.de/av/texte/wiederher_xp.htm

    Überprüfe zusätzlich ob die Einträge in der "win.ini" und "system.ini" wirklich etwas mit deiner Mouse-Software zu tun haben, kommt mir etwas komisch vor, weil unter Win XP werden die Dateien eigentlich nicht genutzt um Software zu starten:

    F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system32\winmgd.win

    F1 - win.ini: run=C:\WINDOWS\system32\mouse_configurator.win

    Wolfgang77
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    du hast höchstwahrscheinlich diesen Wurm damit ist das System kompromittiert und sollte neu aufgesetzt werden. Achte darauf das du keine ausführbaren Datein (exe, pif, scr, com...) aber insbesondere keine Officedokumente, keine Html-Dokumente, keine JAVAapplets o.ä. (JS, JSE) und keine Visual Basic Dateien (VBS, VBE) auf das neue System übernimmst.
    Hier ist eine Anleitung wie du ansonsten bei dem Neuaufsetzen vorgehen solltest (Achte in diesem Fall auch darauf die gesammte Festplatte zu formattieren, nicht nur die Systempartition).
    Achja, und der Wurm verbreitet sich über Filesharing, da solltest du wohl etwas kritischer mit Dateien aus solchen Quellen umgehen.

    @Wolfgang77
    Sorry habe schon vorher mit dem Schreiben dieses Posting angefangen, die Analyse hat dann aber etwas länger gedauert.

    Grüße Jasager
     
  4. h5n1

    h5n1 ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    4
    Also dieses Gedza hab ich schon vor langer Zeit gehabt und eigentlich gelöscht. Seit dem hatte ich auch keine Probleme mehr damit. AABBEERR...was mich stört ist, das ich nich mehr alle Internet Seite öffnen kann!!! Aber das auch erst seit neuesstem!
    Vll hab ich mir Gedza irgendwo bei nem Filesharing Prog. eingefangen neben 10000ende anderen. Warum sollte MAN gereade bei mir eindringen wollen?
    Kann ich das Neuaufsetzen nicht umgehen und sowas wie XPclean verwenden?
     
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Das könnte der Wurm sein..
    Malware type: VBScript
    Aliases: VBS.Gaggle.D, VBS/Gedza, I-Worm.Gedza, VBS/Lefarsi.A

    It modifies the following WIN.INI entry to trigger its automatic execution:

    [Windows]
    run = %System%\mouse_configurator.win

    Destructive: Yes
    Language: English
    Platform: Windows 98, ME, NT, 2000, XP
    Encrypted: Yes

    Damage potential: High

    Der TO sollte die Dateien einmal bei Jotti überprüfen lassen, und mit eScan prüfen ob bereits *.XLS und *.DOC files infiziert sind.
     
  6. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Überprüfe ob die Dateien noch auf dem System sind..
    "winmgd.win" , "mouse_configurator.win"

    Wenn du dir hier anschaust was der Schädling für Veränderungen am System vornimmt dann glaube ich nicht dass du den entfernen konntest...

    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_GEDZA.A&VSect=T
     
  7. h5n1

    h5n1 ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    4
    Naja da kann mann nix machen. Also werde ich jetz so vorgehen:
    2. Festplatte anschliessen und alle wichtigen Dinge kopieren Löschen und formatieren
    Windows neu drauf haun

    Dann sollte alles wieder in Ordnung sein oder?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen