Skriptvirus

Dieses Thema im Forum "Sicherheit" wurde erstellt von Sorban, 1. Februar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Hallo Leute,

    habe mich gerade hier registrieren lassen und möchte auch direkt meine Erste Frage loswerden:

    Ich benutze den kostenlosen AntiVir Guard und verfüge über das aktuellste Update. Jedoch zeigt mir der AntiVir bei jedem Systemstart eine Meldung über einen Skriptvirus HTML-Startpage B, der ständig meine Startseite im Internet-Explorer verändert. AntiVir Guard läßt sich auch nicht weiter nutzen, da er diesen Skriptvirus nicht löschen, überschreiben oder ins Quarantäneverzeichnis verschieben kann. Die verursachende Datei nennt sich HH.HTT (C:\WINDOWS\HH.HTT) und läßt sich auch manuell nicht löschen, sie erscheint immer wieder...

    Kann mir da einer mit Rat und Tat zur Seite stehen?

    Vielen Dank für Eure Hilfe im voraus!

    Sorban
     
  2. Stuges

    Stuges Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    17
    Der CWShredder hilft nur bei der Cool WebSearch-Variante
    und andere .ws Domains

    Bei Search Club.cc gibts andere.

    HiJackThis ist erstmal der erste Schritt.
    Meistens hat man auch viele Hits, wenn man die Seitenadresse in Google eintippert.
     
  3. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Danke! Ihr wart alle samt echt eine super Hilfe! :cool:
     
  4. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    okay updates vom IE installiert, aber als alternativen Browser kenne ich nur Netscape, wo kann ich den "for free" runterladen? Oder kennt ihr bessere Browser die ich mal ausprobieren könnte?
     
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    an der Versionsnummer 6.00.2600.0000 sieht man dass bei dir wohl ein paar neuere Sicherheitspatches fehlen.

    Du solltest in etwa auf so eine Versionsnummer kommen:
    Versionsnummer 6.00.2800.1106 SP1

    Glaube den letzten den ich installiert habe war der Q824145

    Grüße
    Wolfgang
     
  6. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Also folgende Anzeige folgt:

    Done!
    Your system was completely clean.

    Obwohl ich nun nichts erneut gelöscht habe soll das System sauber sein. :confused:

    AntiVir sagt nichts mehr von dem Fehler, scheint also im Moment alles gut zu sein. Aber was meint kommputer mit "IE"?
    Internet Explorer vermutlich, oder?
    Einfach bei Microsoft saugen oder wo?
     
  7. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Also eine HH.exe ist nicht aktiv. Der A2 Scan brachte keine Ergebnisse und hier ist die Log-file von Hijackthis:

    Logfile of HijackThis v1.97.7
    Scan saved at 15:56:38, on 01.02.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Virenkiller\AVGNT.EXE
    F:\Overnet\Overnet.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Virenkiller\AVGUARD.EXE
    C:\Programme\Virenkiller\AVWUPSRV.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Rolex.POOLSHARK\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Virenkiller\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Overnet] F:\Overnet\Overnet.exe -t
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
     
  8. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Also um einen Trojaner handelt es sich meinst du, welches Merkmal läßt dich darauf schließen?

    Auf jeden Fall habe ich den CW-Shredder nun zweimal durchlaufen lassen und der sagt immer:

    A CWS variant was detected that is still loaded into memory...

    Ich soll einen Restart machen und beim erneuten Start von CW-Shredder passiert das gleiche Spiel. Ich versuche es nun einmal mit dem A2 was du gepostet hast.... :bet:
     
  9. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Also nach meinem System Neustart ist nun meine selbst angegebene Startseite wieder da wenn ich den Internet-Explorer starte, allerdings kann AntiVir den "Skriptvirus" immernoch nicht löschen, überschreiben oder ins Quarantäneverzeichnis verschieben.

    Folgende Angabe erscheint in der Reportdatei ständig wieder und AntiVir geht nicht zu beenden ausser ich deaktiviere es ganz schnell vor der nächsten Meldung...

    01.02.2004,14:57 [WARNUNG] Enthält Signatur des HTML-Scriptvirus HTML/StartPage.B!
    C:\WINDOWS\HH.HTT
    [INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!


    Könnt ihr mir hier weitere Hilfestellung geben oder irgendwelche Erfahrungen mitteilen? Wäre wirklich super dankbar wenn ihr noch etwas Zeit für mich findet. ;)
     
  10. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Und nun noch einen Scan durchgeführt....

    Wieder ein Fund!?!?! :(


    Ich mache jetzt mal einen Systemneustart....

    Bis gleich.
     
  11. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Sind markiert und gelöscht und beim erneuten Scan wieder vier gefundene Objekte gefunden und gelöscht...
     
  12. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Also Ad-aware sagt meldet:

    14 running processes
    6 Objects recognized

    1 Registry values identified
    5 files identified

    6 New objects

    Aber wenn ich mir die Zusammenfassung ansehe kann ich leider nichts damit anfangen, was soll ich tun?

    Ich starte nun nochmal das HijackThis und poste das Ergebnis hier...
     
  13. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    würde ich auch sagen.. lass erstmal den CWShredder laufen. Wenn der den HiJacker nicht terminiert melde dich wieder. Die Firewall ich Router hilft gegen solche Malware leider nicht.

    Grüße
    Wolfgang
     
  14. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Ich scanne gerade mit Ad-aware und melde dann erstmal das Ergebnis hier. Die anderen versuche starte ich danach.

    Danke erst einmal für die schnelle Hilfe.
     
  15. Sorban

    Sorban Byte

    Registriert seit:
    1. Februar 2004
    Beiträge:
    15
    Sorry, vielleicht waren das zu wenig Informationen. Ich benutze Windows XP, gehe über ArcorFlatRate online und benutze AntiVir und habe eine Firewall im Router integriert. Adaware kenne ich nicht, kann man sich vertrauensvoll diese Adaware Software runterladen?
     
  16. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Was anscheinden auch der Fall war - da der Thread schon erledigt ist. Die hh.htt ist anscheinend eine CWS Variante.
     
  17. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Unter www.mozilla.org findest du eine aktuelle Version des Browsers den Netscape für ihren Browser verwendet.
     
  18. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Ja, zumindest das Sp1 für den IE solltest du installieren (online Update)- besser wäre wenn du einen alternativen Browser zum surfen verwenden würdest.

    Zu dem anderen:

    Die Spyware hast du von Overnet - weil du das Programm beendet hast konnte der CWSSchredder den Quatsch löschen - evnt. läuft Overnet jetzt nicht mehr oder du bekommst das Teil wieder wenn du das Proggie startets
     
  19. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Beende Overnet und versuch noch mal den CWShredder :D

    Sonst schauen die Prozesse eigentlich sehr normal aus
     
  20. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Die meinung von Google :D

    Drück mal Strg+Alt+Entf und schau unter Prozesse ob du eine hh.exe in der liste hast - wenn ja dann beende den Prozess bevor du suchen läßt - poste das Log von Hijackthis
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen