Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WIN32.Hostblock kann nicht entfernt werden

Frage Sonstige Systeme

Mitglied: Longhorn

Longhorn (Level 1) - Jetzt verbinden

19.05.2005, aktualisiert 20.05.2005, 8714 Aufrufe, 9 Kommentare

Hallo

Habe hier ein Win XP Home Notebook, auf dem sich der Troyaner Win32.Hostblock eingeschlichen hat, der Virensan E-Thrust erkennt ihn und entfernt ihn auch doch nahc jedem neustart findet man ihn wieder unter C:\dokumente blabla\User\# das File ist wie gesagt als # gekennzeichnet und im normalen Betrieb nicht zu löschen da der Zugriff verweigert wird, und wenn ich zum löschen komme, beim Neustart ist sie wieder da, habe schon zig Programme ausprobiert aber nichts hat geholfen, auch in der Registry.....

Evtl. weiss wer von euch bescheid wo sich dieser Troyaner verstecken könnte bzw.. wie ich ihn terminieren kann?


Danke
Gruß
Longhorn
Mitglied: IceBeer
19.05.2005 um 11:36 Uhr
Hallo,

versuch mal mit Windows PE zu booten und dann von dort einen Virenscanner laufen zu lassen. Windows PC hat da ja 2 oder 3 drin, sind zwar Pattern mässig nicht auf dem neusten Stand, aber vielleicht wird der Trojaner ja erkannt.
Ansonsten würde mir noch Spybot - Search&Destroy einfallen, aber ob das in dem Fall was ausrichten kann weiß ich nicht.

Gruß Martin
Bitte warten ..
Mitglied: Longhorn
19.05.2005 um 11:40 Uhr
Spybot hab ich schon ausprobiert, das hilft auch net weiter...mmh welches windows meinst du da genau?
Bitte warten ..
Mitglied: 11078
19.05.2005 um 13:14 Uhr
Hallo,


Um es zusammenzufassen: Win32.Hostblock ist wohl eine Art "Familienbezeichnung" (s.u.), es könnten mehrere Würmer dahinter stecken.

Generell ist es immer sinnvoll, mal unter:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices


HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

sowie besagte Keys unter HKEY_USERS (hier unter den Einträgen für alle angelegten User)

nachzuschlagen, ob dort Einträge drin sind, die irgednwie nicht dahin gehören.
So hast Du schon mal gute Chancen, dass der Wurm beim nächsten Start nicht mehr automatisch mitgestartet wird. Vielleicht lässt sich die besagte Datei # dann löschen?

Ich hab mal was über Win32.Hostblock rausgesucht:

[Quelle: http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39376]

<font class="code">

Merkmale

Typ: Trojan
Kategorie: Win32
Auch bekannt als Win32.Agobot, Win32.Agobot.RZ, Win32/Agobot.RZ.Hosts.Trojan, Win32/AntiAV.Hosts, AntiGoogle!Hosts!Trojan, AntiAV.Hosts.Trojan, AvBlocker.Hosts.Trojan, QHosts.Trojan, Trojan.Win32.Qhost (Kaspersky)

Beschreibung

The Win32.Hostblock detection describes a family of trojans that make changes to the host file in order to stop the user from visiting particular sites. It has been used by several malware families (of note, Win32.Agobot) in order to stop affected users from being able to visit antivirus and other security-related vendor sites.

The Hosts file contains the mappings of IP addresses to host names. Windows checks the Hosts file before it queries any DNS servers, which enables it to override addresses in the DNS. On XP, 2000 and NT systems the hosts file is located at %System%\drivers\etc\hosts: on 9x systems the hosts file is located at %Windows%\hosts.

The trojan adds or replaces entries in the hosts file to cause particular domain names to resolve to the local host (127.0.0.1) or some other incorrect address. For example, one widespread variant that we have seen in the wild effectively stops an affected user from visiting these sites:

www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com
</font>
Bitte warten ..
Mitglied: Longhorn
19.05.2005 um 14:01 Uhr
Auf dieser Seite war ich auch schon, und das mit der registry is auch schon getestet worden, hab alles rausgegkickt und dann ausprobiert, hat auch nicht geklappt........
Bitte warten ..
Mitglied: 11078
19.05.2005 um 14:23 Uhr
Hallo,

probier mal "Filemon": http://www.sysinternals.com/ntw2k/source/filemon.shtml .

Das Programm schneidet alle Dateisystemaktivitäten mit und zeigt sie in Echtzeit an.

So müsstest Du herausfinden, welcher Prozess auf die ominöse Datei zugreift. Wenn es nicht gerade ein wichtiger Systemprozess ist, kannst Du ihn vielleicht killen, um die Datei zu löschen, bzw. um wenigsten einen Ansatzpunkt zu haben, welcher Prozess sie immer wieder erstellt...


TIM
Bitte warten ..
Mitglied: Mitchell
19.05.2005 um 18:40 Uhr
Hi,

selbigen Wurm habe ich auf meinem System auch, bis jetzt allerdings noch nicht beseitigt bekommen. Hab mich auch zuerst durch die Registry gequält, bringt aber nicht, da sich der Wurm in einer bzw. mehreren .dll und/oder .exe Dateien versteckt. Das Problem bei diesem wirklich agressiven Wurm ist, dass er mit mehreren Dateien arbeitet, u. a. auch "smss.exe", die auch Windows braucht. Also müsste man theoretisch alle .dll und .exe Dateien rauswerfen.

Ich bin auch noch am rätseln, wie ich dieses sch... Ding loswerde und habe mich diesbezüglich mal informiert.

Starte im abgesicherten Modus und lass' Ad-aware und dein Antivirenprogramm drüber laufen. Manche Dateien werden gelockt sein und beim nächsten Start sind die wieder aktiv, das ist das tückische dran. Geh desehalb mal auf folgende Seite und lade dir das Toll "hijackthis" runter:

http://www.hijackthis.de/

Das Programm lässt du laufen (kann etwas dauern) und loggst mit. Danach startest du im abgesicherten Modus und löschst die Dateien, die nicht ins System oder zu Programmen gehören. Papierkorb leeren nicht vergessen, danach nochmal Ad-aware und ein Antivirenprogramm drüber laufen lassen.

Auf der o. g. Seite kannst du das Log auch auswerten lassen, falls du dir nicht sicher bist, was du jetzt löschen sollst.

Mfg

Mitchell
Bitte warten ..
Mitglied: Mitchell
19.05.2005 um 19:57 Uhr
Ich nochmal

hab das Tool gerade ausprobiert und die Auswertung getestet. Es stimmt alles, die Auswertung auf der Seite ist nicht schlecht und mein Problem ist behoben.

Ach ja....wenn im Log Einträge wie "O21 - SSODL: iEJoRcCXOXLz - {6C20943B-C68A-3E91-A174-0E667FA64CEF}" sind, ist damit ein Eintrag in der Registry gemeint.
Kopiere einfach die Zahl mit Klammer (in diesem Fall "{6C20943B-C68A-3E91-A174-0E667FA64CEF}" und suche in der Registry einfach nach dem Schlüssel.

Hoffe, es hilft dir weiter

Mfg

Mitchell

PS: Im "hijacking forum" stehen auch ein paar Links und Anleitungen
Bitte warten ..
Mitglied: Longhorn
20.05.2005 um 07:45 Uhr
Hallo an alle!

Danke für eure zahlreichen Antworten, ich hatte das Problem schon gestern unter Kontrolle bekommen und zwar durch mein installieren von zig tausend Programmen, irgendeines vielleicht eh hijackthis, hat den troyaner beseitigt!
Bitte warten ..
Mitglied: Mitchell
20.05.2005 um 13:07 Uhr
tja dann, viel spaß mit einem Virenfreien Computer

Mfg

Mitchell
Bitte warten ..
Ähnliche Inhalte
Visual Studio
VBScript und WMI (Win32-NetworkAdapterConfiguration)
gelöst Frage von MaxMoritz6Visual Studio3 Kommentare

Hallo! Ich möchte mit dem foldenden Script einige NIC-parameter anzeigen lassen: strComputer = "." Set objWMIService = GetObject("winmgmts:" & ...

Windows 8
Viele TAP-Win32 Adapter OAS
Frage von HomhomWindows 86 Kommentare

Hallo, bei mir installieren sich "TAP-Win32 Adapter OAS" ständig neu. Diese gehören normalerweise zu OpenVPN. Nur hab ich das ...

Visual Studio
Frage zur WMI Klasse Win32 ShadowStorage
gelöst Frage von emeriksVisual Studio4 Kommentare

Hi, kennt jemand den Unterschied in der Bedeutung der Werte AllocatedSpace, MaxSpace und UsedSpace der WMI-Klasse Win32_ShadowStorage? ("_" im ...

Windows 7
Windows entfernt selbstständig Druckeranschluss
Frage von 113320Windows 7

Hallo, bei mir und vielen weiteren Usern ist es vorgekommen (Domäne), dass ein bestimmter, erstellter Druckeranschluss immer nach einem ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...