Hallo,
nach mehrfachen Versuchen habe ich lästige Trojaner von meinem PC eliminiert.Trotz aktueller Virensoftware (MacAfee) werden diese Trojaner nicht erkannt. Aktuelles Betriebssystem ist W2K mit Servicepack 4, Browser ist der IExplorer 5.5

Merkmale und Auswirkungen:

1. unter Systemsteuerung-->Software stehen drei Programme, die sich nicht entfernen lassen:
- Home Search Assistent
- Shopping Wizard
- Search Extender

2. Die aktuelle Startseite und Standardseite im Internet-Explorer werden auf z.B. res://...dll/... umbenannt und sind auch nicht zu ändern.
Löscht man die betreffenden Registry-Einträge, sind sie kurz darauf wieder da:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049

3. Immer wieder erscheinen neue Pop-Up-Fenster mit Werbung, häufige Titelzeile: only the best

4. geöffnete Texteditor-Fenster (notepad.exe) werden minütlich geschlossen.

5. die Datei hosts im Ordner C:\WINNT\system32\drivers\etc wird minütlich gelöscht.

6. Unter Systemsteuerung-->Verwaltung-->Dienste gibt es einen Dienst namens Network Security Service oder Netzwerk Sicherheitsdienst. Unter "Eigenschaften" steht die entsprechende Datei, z.B. c:\winnt\netsm32.exe
Nach dem Beenden und Deaktivieren des Dienstes ist dieser trotzdem kurz darauf wieder gestartet.

Behebung des Problems:

1. den ominösen Dienst (Network Security Service) beenden, deaktivieren und die entsprechende exe-Datei unter C:\ WINNT löschen (oder zumindest umbenennen).

2. alle Dateien im Ordner C:\WINNT (ohne Unterverzeichnisse) und C:\WINNT\system32, die 9, 26, 32, 69 oder 89 KB groß sind und die Endung .exe, .dat oder .dll haben, zusammenpacken, z.B. mit winzip.
Da die zip-Datei max 1 MB groß sein darf, evtl. mehrere erzeugen. Diese zip-Archive können jetzt online unter http://www.kaspersky.com/de/scanforvirus
geprüft werden. Bei mir ergab diese Prüfung einen Befall von 32 (!) Dateien. Hauptsächlich wurde der Trojaner Win32.Agent.an gefunden, teilweise auch Win32.Agent.aq und Win32.Winshow.u. Auffällig viele Dateien entsprechen dem Muster <5 Buchstaben>.exe bzw. <5 Buchstaben>32.exe und sind überwiegend 9 und 26 KB groß. Die infizierten Dateien sollten gelöscht (oder zumindest umbenannt, z.B. mit der Endung .back, und dann verschoben werden).

trojaner.zip Archive: ZIP
trojaner.zip/netef32.exe - packed with UPX
trojaner.zip/netef32.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/atlii.exe - packed with UPX
trojaner.zip/mfcqc.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/javaiy32.dll Infiziert: TrojanDownloader.Win32.WinShow.ag
~9299.16177/cuagb.dll.b/data0001.html Infiziert: TrojanDownloader.Win32.Winshow.u

3. Anschließend sollte die registry bereinigt werden. Nützlich ist dafür HijackThis.

Hier ein Auszug aus meinem HijackThis-Log. Verdächtige Einträge sind rot markiert.
----------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 12:12:59, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\apidc.exe
C:\WINNT\mfcqc.exe
C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049
O2 - BHO: (no name) - {21EAC97B-F474-7E96-0FC5-B2880E463177} - C:\WINNT\system32\sysmd.dll
O4 - HKLM\..\Run: [apidc.exe] C:\WINNT\apidc.exe
O4 - HKLM\..\RunOnce: [mfcqc.exe] C:\WINNT\mfcqc.exe
O4 - HKLM\..\RunOnce: [atlii.exe] C:\WINNT\atlii.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http ://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-------------------------------------------------------------

4. Die Software-Einträge unter Systemsteuerung-->Software lassen sich nun z.B. mit Advanced Uninstaller Pro Vers 6 entfernen (Option forced).

5. Ein nun zu empfehlendes Scannen der Festplatten mit den Progammen Spybot-Search &Destroy 1.3 und Ad-Aware 6 Personal deckt noch evtl. weitere infizierte Dateien und Einträge auf, die auch mit diesen Programmen entfernt werden können.

6. Abschließend den Browser nochmal aufrufen und Startseite kontrollieren. Weiterhin notepad starten und warten, ob es nicht mehr automatisch geschlossen wird.

Jetzt ist wieder alles ok!

Viel Erfolg!
Oli-

Danke für die Mühe, die du dir gemacht hast.

Hallo Oli,

Super Einstiegs-Posting !

Für XP-User sei noch angemerkt, dass der Standard-Pfad anstatt C:\WINNT\system32 -> C:\Windows\system32lautet. Ansonsten ist die Vorgehensweise identisch.

Ansonsten kann die OnlineScan-Prozedur bei Kaspersky noch mit eScan (s. Signatur) 'vereinfacht' werden...

hi,

habe diesen Trojaner und kann ihn nicht bekämpfen! habe alles getan was hier beschrieben wurde.
komischerweise hatte er beim virusscan nur 1 virus entdeckt!

ich kann es die dateien auch per force uninstall deinstallieren und spybot erkennt und löscht auch soweit alles!

jemand ne idee woran das liegen kann? es nervt mich langsam echt an...

mfg
hlat

@ hlat

Um deine Aussagen nachvollziehen zu können, bräuchte man mehr Infos.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

habe mal escan durchlaufen lassen und der hatte schon 40 infizierte files bis ich abbrechen musste!

die angaben die oli gemacht hatte waren wohl nich vollständig oder ich habe nicht alles gefunden..
werde es jetzt noch einmal probieren

mfg
hlat

Ich habe das selbe Problem, ich habe mir irgendwo etwas eingefangen und ich habe jetzt ohne das ich es will die als Startseite „Home Search“ und irgendwelche Popups gehen immer auf!
Ich habe eine Virenscann durchgeführt und es hat 32 risiko behaftete Dateien gefunden, Spyboot hat ebenfalls 32 Dateien gefunden, wovon sich viele löschen ließen, jetzt findet Spyboot bloß noch 7 dateien aber die jedes Mal!
Das selbe mit Hijack, Hijack findet Dateien die es als böse angibt, ich lösche diese und führe Hijack wieder aus und die Dateien sind immer noch da!
Ich bin bald am verzweifeln!
Habt ihr einen Tipp für mich?



mfg

Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

Zitat:

Zitat von *Christian*

Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

Vielen Dank!
Dein Tip hat geholfen, der Rechner ist wieder Sauber!

mfg

Zitat:

Zitat von tommy1176

Vielen Dank!
Dein Tip hat geholfen, der Rechner ist wieder Sauber!

mfg

Es wäre trotzdem schön zu wissen,was gefunden wurde etc.!


Gruss

Zitat:

Zitat von HerrKautz

Es wäre trotzdem schön zu wissen,was gefunden wurde etc.!


Gruss

Keine Ahnung was das alles war, ich habe einfach alles gelöscht was eScan gefunden hat!
Und jetzt geht es wieder.
Das einzige was noch war, das mein Norton nicht mehr ging, das habe ich jetzt neu installiert und es funktioniert auch wieder!

mfg

Das war ggf sehr unklug von dir,wenn du einen Backdoor zb drauf hast,oder hattest,ist dein System nicht mehr vertrauenswürdig,deswegen hat Christian auch geschrieben:"Wo wird was gefunden?"

mmmhhhhhhhh

speichert eScan irgendwo die log Datei ab?

mfg

hi
ja, wenn du alles richtig installiert hast,

nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Zitat:

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

hi zusammen

ich bin zwar noch neu hier beschäftige mich aber auch mit dem Home Search Problem. Da ich es selbst auch immer noch habe.
Der Tip von Oli ist klasse aber ich habe auch noch einen.

Überprüft bitte im Task Manager anwendungen die euch unbekannt sind
sucht diese per SUCHEN packt sie und lasst sie auf der homepage
http://www.kaspersky.com/de/scanforvirus überprüfen.
Wenn ihr dateien aus dem System32 ordner löscht, im Ordner Windows/Prefetch auch gleich löschen.
Also ich hätte nie gedacht das mein Rechner so verseucht ist.
Hijack hilft bei dieser Suche dann auch noch mal.

Gruß Mystie