Hallo miteinander!
Ich habe nun seit geraumer Zeit ein Problem mit einer Trusted Zone, die ich nicht entfernen kann. Es tauchen auch ständig Fenster auf, ob ich nicht antispyware software herunterladen kann. Dahinterstecken zwei verschiedene Sites: findspyware.net und adultgambling.com
Es werden auch ständig meine Favoriten "erweitert". Zone Alarm verzeichnet diese Trustedzone nicht. Ad-aware, spybot, Xpclean, erkennen sie nicht.
Auch die Systemwiederherstellung ausschalten und dann mit HijackThis im Safe Mode die Zone zu killen ist nicht möglich.
Hat irgendjemand noch eine Idee?
ich bin um jeden Tipp dankbar.

Hi !
Poste bitte mal Dein hijack this - log hier. Dann können wir ja mal weitersehen.
Greetz
Blackdog

gleich vorweg: in einem anderen Beitrag hat Lutz gemeint, man sollte mit der Killbox diverse Dateien löschen, wie z.B. getDns.exe oder rns.exe. Keine dieser Dateien hat die Killbox gefunden (auch bei manueller Eingabe).
so, hier ist mein log:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Mozilla\firefox.exe
D:\Programme\XPClean\XPclean.exe
C:\WINNT\System32\pxhping.exe
C:\WINNT\System32\mqbckup.exe
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis-1.zip\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://*.63.219.181.7

Hallo,

überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:

C:\WINNT\System32\pxhping.exe
C:\WINNT\System32\mqbckup.exe

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben und poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen -> löschen!

Hallo Felix_U

auch wenn Du mit Killbox keine der genannten Dateien gefunden hast, lade Dir hier bitte http://www.thespykiller.co.uk/files/ms4hd.zip (direkter DownloadLink!) -falls nicht schon geschehen- das Tool Ms4Hd_look herunter und entpacke es in einen eigenen Ordner.
Anschließend starte die Datei runme.bat aus diesem neu erstellten Ordner. Du erhälst eine Datei namens look.log. Bitte poste hier den Inhalt dieser Datei.

Hallo Lutz,
Gestern habe ich versucht in der Registry was zu löschen, aber sobald ich an die Zones komme geht die Registry zu. Das habe ich noch nie geshen. Wie funktioniert das?

der log in MH4_Look ist leer, allerdings speichert sich folgendes in MH4_err:

NtQuerySystemInformation (Entry at 8525B0) restored to 77F66152
NtEnumerateValueKey (Entry at 852430) restored to 77F65B7A
NtEnumerateKey (Entry at 8522C0) restored to 77F65B5C
NtQueryDirectoryFile (Entry at 852630) restored to 77F65FAE
LdrLoadDll (Entry at 852180) restored to 77F45669
NtResumeThread (Entry at 852090) restored to 77F66341
Restored __eFSQRT (Ordinal 1249) (at 77FB273C)
64 8B 47 08 3C 42 74 C4 77 AE 0A E4 0F 88 F8 CC FF FF 64 8B 77 04 64 8B 0F 64 66 D1 7F 0A BF 00 00 00 00 72 0A 0F AC CF 01 0F AC F1 01 D1 EE 0F A4 F0 10 0F B6 DC 66 BA AD 00 66 0F AF DA 66 81 C3 91 5A 72 88 F6 F7 02 F8 B2 01 66 0F AC D3 01 0F B7 C6 0F A4 F2 10 66 F7 F3 03 D8 C1 E3 0F 80 CF 20 8B D6 8B C1 F7 F3 F9 13 D8 B2 01 0F AC D3 01 8B D6 8B C1 0F A4 F9 02 F7 F3 97 8B F0 0B F2 74 57 F7 F3 03 DF 8B F0 F7 E0 8B FA 8B C3 F7 E6 03 C0 13 D2 03 F8 83 D2 00 03 D6 03 D6 8A C3 F6 E0 02 C2 0C 01 2A C8 02 C9 83 DE 00 83 DB 00 B8 FF FF FF FF 0F AC F0 01 0F AC DE 01 0F AC C3 01 64 8B 3D E8 00 00 00 64 89 3D DC 00 00 00 64 8B 4F 08 64 FF 25 CC 00 00 00 3B FB 74 E3 03 DF EB C8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

hier gehts mit gleich weiter (konnte man nicht mehr posten, da zu lang).
Danke für die Hilfe,

FElix

Hallo,

versuchen wir es noch einmal mit einem anderen Tool!
Lade rem.zip herunter http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!).
Entpacke es im Verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem Verzeichnis ist!) und starte den Rechner im abgesicherten Modus.
Anschließend starte die Datei rem.bat. Starte den Rechner anschließend im normalen Modus neu.
Es sollte jetzt direkt unter C:\ eine Datei namens log.txt zu finden sein. Poste bitte den Inhalt hier.
Außerdem brauchen wir dann das aktuelle Log von HijackThis.

zusätzlich zur log.txt gibt es unter C:\ die Dateien bad.reg und bad.zip. Bitte diese Dateien zunächst nicht 'anpacken'.


Viel Erfolg!

Danke an raman für den Tipp!
Ohne ihn wäre ich an dieser Stelle ziemlich aufgeschmissen!


<Edit> Ich habe den Link geändert, da nur an der jetzigen Fundstelle gewährleistet ist, dass immer die aktuelle Version von rem.zip heruntergeladen wird. Die gestern bei mir geparkte Version steht ab sofort nicht mehr zur Verfügung! </Edit>

Was ist das eigentlich für ein Virus, und was ist dessen Ziel?

hier ist das log-file:

Microsoft Windows XP [Version 5.1.2600]
C:\WINNT\system32
"Files found"
---------------------------------------------------------------------
slservc.exe
clfmon.exe
pxhping.exe
mqbckup.exe
dllhostxp.exe
net2.exe
winsrv32.dll
d3dxov.dll
msacmx.dll
hdr.dll

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"service.exe"=""
"msacmx.dll"=""
"d3dxov.dll"=""
"winsrv32.dll"=""
"ie4unit.exe"=""
"ipxroutex.exe"=""
"rdshost32.exe"=""
"rshe.exe"=""
"net2.exe"=""
"mqsvch.exe"=""
"dllhostxp.exe"=""
"extrac16.exe"=""
"mqbckup.exe"=""
"pxhping.exe"=""
"rdpnr.exe"=""
"slservc.exe"=""
"clfmon.exe"=""
"hdr.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"ie4unit.exe"=""
"ipxroutex.exe"=""
"service.exe"=""
"rdshost32.exe"=""
"rshe.exe"=""
"net2.exe"=""
"mqsvch.exe"=""
"dllhostxp.exe"=""
"extrac16.exe"=""
"mqbckup.exe"=""
"pxhping.exe"=""
"rdpnr.exe"=""
"slservc.exe"=""
"clfmon.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{A5366673-E8CA-11D3-9CD9-0090271D075B}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"dllhostxp.exe"=""
"pxhping.exe"=""
"service.exe"=""

-----------------------------------------------------------------

Done

hier ist noch das HijackThis logfile:

kleine Frage: das Programm Winjam habe ich schon wieder deinstalliert und diesen eintrag hier:
file://D:\Programme\WinJam\ws.js
im safe mode gefixt und er kommt immer wieder. Was kann ich tun?
Danke im voraus,
Felix

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
D:\Programme\Mozilla\firefox.exe
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis-1.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\Programme\WinJam\ws.js
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F2D889-C80B-4282-98D9-449C8202D12F}: NameServer = 217.237.149.225 217.237.151.97

Hallo Felix,

fixe mit HijackThis noch die folgenden Einträge:

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = file://D:\Programme\WinJam\ws.js
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe

und überprüfe zur vorsicht noch einmal, ob die Dateien

Zitat:

D:\Programme\WinJam\ws.js,
C:\Windows\system32\dllhostxp.exe und
C:\Windows\system32\clfmon.exe

tatsächlich entfernt wurden. Wobei die beiden letzteren durch das Tool rem.bat zuverlässig gelöscht sein sollten!

Schicke mir bitte die Datei C:\bad.zip zur Kontrolle an meine Mailadresse badfiles@bul-online.de (Bitte diese Mailadresse nur für den Versand der bad.zip verwenden!)

Wenn wieder alles im grünen Bereich ist, kannst Du anschließend noch ein bisschen aufräumen. Die Dateien C:\bad.reg, C:\bad.zip und c:\log.txt kannst Du nun löschen. Außerdem sollten sich unter C:\windows\system32 folgende Dateien befinden, die ebenfalls gelöscht werden können:

1. rem.bat vom 4.12.2004 (Größe 30KB) und
2. zip.exe vom 21.12.1999 (Größe 124 KB)

Zitat:

Was ist das eigentlich für ein Virus, und was ist dessen Ziel?

Es handelt sich hier um keinen Virus im eigentlichen Sinne, sondern um einen Browser-Hijacker in Verbindung mit einem Trojaner (gern als Startpage-Trojaner bezeichnet).
Ich denke, dessen Ziel hast Du ziemlich genervt erleben 'dürfen'. Infizierte Rechner sollen bei jedem Start des Internet-Explorers auf bestimmte Seiten umgeleitet werden. Auf diesen Seiten werden die Hits (also die Zugriffe) gezählt und die dort vorhandene Werbung zahlt sich für den Betreiber der Seiten in barer Münze aus. Money makes the world ugly...

Hallo Lutz,

Die Datei bad.zip kann ich Dir nicht schicken, weil web.de behauptet, da wäre ein Virus drin.
Ausserdem wollte ich nochmal wegend er Winjam sache fragen:
Der Prozess kommt auch immer wieder. Was kann ich tun?

Danke jedenfalls für Deine Hilfe, die Trusted Zone habe Dein Programm erfolgreich gekillt.

Felix

Versehe die Zip-Datei mit einem Passwort und versuche es erneut.
Teile das Passwort in der E-Mail mit.