Hi
War das aus mein Log?
ja das war aus Deinem Log, den mit dem Link. ABer der Textlog
weist das nicht auf *nur noch Bahnhof versteh*
Ja versteh ich auch nicht. Hab den Download extra vorher überprüft (also selber herunterlgeaden), ob es funktioniert und Datei unverändert bleibt.
Der Hoster da scheint wohl nicht koscher zu sein.
Aber der gespeicherte Log von der HjT Seite sollte nicht verändert sein.
du kannst einzelne Dateien bei verschiedenen Webseiten
hochladen und checken lassen zB bei
http://www.kaspersky.com/de/scanforvirus oder
http://virusscan.jotti.org/de/
Wow, letzterer nutzt wohl alle bekannten Virenscanner. Wie macht der das? Mehrere Scanner beißen sich doch (vielleicht warens auch nur die Wächter)… und dann ist der Service auch noch kostenlos wo diese Programme doch genug Kohle kosten.
Aber Seite ist super, die pack ich mal in meinen Bookmarks ^^
Das alles so in Arbeit ausartet ^^
Hoffe sie ist auch fruchtbar.
Selbst ne schlechte Nachricht ist wenigstens ne Nachricht.
Beide Seiten haben weder bei der HOSTS.bak, noch bei der gspawn-win32-helper.exe angeschlagen.
Bei der hartnäckigen oiqt2s5v.exe im Temp Ordner sind wir nun weiter. Siehe: http://img6.picsplace.to/img6/23/fundeonlinescan.gif
Hab jetzt nen Namen der Ad-/Spyware. Zango. Von der hab ich erst kürzlich gehört.
Werd mal googeln ^^
Bis später.
MfG
Lilly
P.S.: Wüßte trotzdem gern wie es verbreitet wird, wie ich es mir eingefangen hab.
Alles sauber
Ich habe nicht die geringste Idee, wie ein Scanner auf die Idee kommen kann, dass eine solche Datei nicht nur ein Risiko, sondern auch noch ein hohes solches darstellen könne. In dieser Datei wird eine ganze Reihe von Adressen von Adware-Servern sowie von Adressen, auf denen versucht wird, unbedarfte Filesharer abzuzocken, auf die lokale Adresse 127.0.0.1 umgelenkt. Sparte dir, wenn’s nicht die .bak, sondern die echte hosts wäre, einen Haufen Werbespam und -geklingels und -geklimpere im Browser.
Zwar können solche programmatisch erstellten Einträge einen Hinweis auf eine illegitime Manipulation der hosts darstellen, meinetwegen darf der Scanner hier sogar warnen, dass vielleicht und theoretisch und eventuell hier eine Manipulation möglicherweise vorgenommen wurde. Ansonsten hat er aber absolut die Hände davon zu lassen und solche Dateien schon gar nicht in Quarantäne zu stellen oder sogar zu löschen.
Gruss
Schorsch
1 „Gefällt mir“
Hallo
Durch eure Hilfe bin ich ja doch schneller und besser weiter gekommen als durch irgendwelche Scanner XD
Hab den Firefox Profile Ordner nocheinmal gescannt und der Virenscanner zeigte eine böse 180Solutions (also Zango wieder) Datei an in:
C:\Dokumente und Einstellungen\Jana\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ep2xo0i5\Cache.Trash\Trash\Cache (schon verdächtiger Pfad)
Die hatte einen kryptischen Namen ohne Dateiendung (war die einzigste Datei) und lies sich auch nicht löschen wie die andere Datei im Temp Ordner.
Bekannter hat sein Ordner überprüft und gemeint er habe keinen Cache.Trash Ordner im Firefox Profil, nur Cache (den ich auch noch habe).
Hab im Abgesicherten Modus Eingabeaufforderung gebootet und mich mit dir /a:d durch die versteckten Ordner gewurschtelt bis ich jeweils bei den Quellen war und konnte darüber beide Dateien löschen.
Reboot.
Dateien sind weg.
Jetzt kam keine Meldung wenn ich Firefox starte das Adware geblockt wurde.
Hoffe da hat sich nicht noch irgendwo noch mehr versteckt (denke aber der Wächter war erfolgreich mit blockieren).
Leider weiß ich nicht wie es auf den PC kam (denke hat was mit FF zu tun), also denkbar das es wieder passiert 
Mal nen Monat abwarten.
MfG
Und Danke Danke Danke ;D
Lilly
C:\Dokumente und Einstellungen\Jana\Lokale
Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ep2xo0i5\Cache.Trash\Trash\Cache
(schon verdächtiger Pfad)
Ne, der Name ist absolut unverdächtig, das Verzeichnis ein ganz normales Firefox-Verzeichnis und alle darinnen liegenden Objekt - wie der Ordnername schon sagt - Trash. Da wird wohl irgendein Zeug von irgendeiner Webseiten irgendwann mal im Cache und dann im Trash gelandet sein; daraus eine wann auch immer stattgefunden habende Bedrohung für den Rechner abzuleiten, ist mehr als gewagt.
Und wie schon gesagt - wenn du Dateien unterhalb eines Anwenderprofils (C:\Dokumente und Einstellungen\Jana) nicht löschen kannst - einfach in einem anderen Profil mit administrativen Rechten anmelden und - mit der gebotenen Vorsicht - löschen. Verrenkungen über den abgesicherten Modus und dergleichen sind dafür nicht nötig.
Gruss
Schorsch
Hi Lilly
hab mal rumgegooglet und auch einiges gefunden (wie Du wahrscheinlich auch).
http://en.wikipedia.org/wiki/Zango
http://www.pcwelt.de/news/sicherheit/132250/index.html
Allerdings ist von Deinem seltsamen oiqt2s5v.exe nicht die Rede.
zangohook.dll, zanu.exe, ZangoTVTimes sind im Gespräch.
Desweiteren legen sie unter dem Folder Programme oder Program Files die Unterordner zangoclient und zango application an.
Wahrscheinlich ist das Ding bei Dir (noch) nicht installiert.
Kannst Du relativ leicht prüfen, mit den obigen Angaben, oder in der Registry unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
da müssten sie dann auch eingetragen sein.
Achso, geht noch einfacher über Start>ausführen>„msconfig“ Systemstart
Zumindest scheint es kein bösartiger Trojaner zu sein, gehört eher in die Kategorie Spyware.
Ich würde die Datei mit einem Killerprogramm von der Platte fegen, so einem zB
http://www.purgeie.com/delinv/
aber vielleicht hat Schorsch ja noch eine bessere Idee
P.S.: Wüßte trotzdem gern wie es verbreitet wird, wie ich es
mir eingefangen hab.
ich auch
Grüsse
ExNicki
Hallo Lilly
ich schreib unten munter weiter und oben hast Du schon die Lösung *lol*
na dann, in dem Fall ausnahmsweise und hoffentlich nicht auf ein Neues 
Gruss
ExNicki
