Exploit Urlspoof.gen

Hallo Leute!
Mein Kumpel hat sich dieses Trojanische Pferd eingefangen und bringt es nicht mehr los. Wie kann man dem Trojaner entfernen wenn es laut McAffe nicht geht. Er hat Win XP Pro und IE6.
Es hat auch die Bezeichnung "%68%70(1)". Wenn man versucht diese Datei zu löschen dan geht das auch im Admin nicht da ein Schreibschutz drauf ist den man nicht aufheben kann. Gibts da was in der Registry das man Ihn entfernen kann oder ein Tool. Habe nämlich keine Lust am Wochenende das System neu Aufzusetzen. Bitte um Eure Hilfe. Danke
Peter

 

Auf dieser Seite warst du schon?

Wo liegt denn die Datei %68%70(1) überhaupt?


Der Patch gegen die Lücke die das Teil ausnutzt kam schon im Februar 2004 raus...
Und das hier kann sich dein Kumpel auch mal durchlesen.

 

Leider hilft mir dein Tipp auch nicht weiter. Ich kann bei seinem PC einfach keine Internetseite ansurfen. Können beide leider auch kein Englisch. Wo genau gibts den ein Tool das ich eventuell von meinem Rechner auf Diskette laden kann. Oder kann man auch in der Registry den Trojaner wieder loswerden und wo?. Bin echt dankbar für jeden guten Tipp?

 

Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.

Die Antwort auf diese Frage steht noch aus. Und ist das die einzige befallene Datei oder gibts mehrere?

 

Logfile of HijackThis v1.98.2
Scan saved at 15:12:10, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\PROGRA~1\Save\Save.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Wolfi\Anwendungsdaten\eeeo.exe
C:\Programme\ClockSync\Sync.exe
C:\WINDOWS\System32\agbhmhfp.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Wolfi\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [3232hhPEhh] C:\WINDOWS\3232hhPEhh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "d:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [Tcir] C:\Dokumente und Einstellungen\Wolfi\Anwendungsdaten\eeeo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O4 - HKCU\..\Run: [Upit] C:\WINDOWS\System32\agbhmhfp.exe
O4 - HKCU\..\Run: [3232hhPEhh] C:\WINDOWS\3232hhPEhh.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW Prefix: http://ehttp.cc/?
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O18 - Filter: text/plain - {11319EA1-8947-4F29-AB21-C325494C548E} - C:\WINDOWS\System32\kmhafaa.dll

Sorry das ich mir beim Antworten so lange Zeit genommen habe. Bin aus beruflichen Gründen nicht vorher dazugekommen. Ich glaube das es besser ist die Platte neu zu formatieren. Was sagts Du dazu?

 

Eigentlich solltest du das Log nicht hier ins Forum reinklatschen, und wenn dann wenigstens auf Schriftgröße 1...

Folge dem Link von MaxMaster, Lösche mit HijackThis alles was als böse markiert ist und entferne die zugehörigen Dateien von der Platte. Das ganze machst du am besten im abgesicherten Modus.

Danach erstelltst du ein neues Log, aber diesmal bitte so wie von mir beschrieben.

Und könntest du mir endlich mitteilen wo denn nun diese ominöse Datei %68%70(1) liegt?

 

Hallo Doctor
Nun wo die ominöse Datei liegt würde ich gerne selber wissen. McAffe macht die Meldung das ich diese Datei löschen soll sagt mir aber nicht wo es liegt. Wenn ich bei der Suche diesen Namen reinkopiere und auf Durcsuchen gehe kommt auch eine Leermeldung. Tut mir leid das ich Dir keine genaueren Angaben machen konnte. Werde Versuchen die Viren und TZrojaner zu entfernen und dan ein neues Logfile mit Schriftgröße 1 durchs Netz jagen. Eintstweilen möchte ich Danke sagen für Eure Info´s
Peter

 

Ich hab das Logfile mal auf Schriftgröße 1 gesetzt.