hallo leute
habe folgendes problem

ich habe immer h**p://xysearch.biz/?wmid=3306 als startseite im internet explorer und bekomme das nicht weg

zur info

Logfile of HijackThis v1.98.2
Scan saved at 13:40:16, on 16.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmflp03\BrStDvPt.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: h**p://*.63.219.181.7[/url]

was kann ich machen?

wäre für jede hilfe sehr dankbar

Hallo mattesxxl,

mach bitte den Link zu der Startseite, die Du neuerdings im IE hast, durch h**p unklickbar --> das geht über editieren.

Überprüfe mit dem virusscan.jotti.dhs.org:

C:\WINDOWS\System32\sistray.EXE
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe

teile uns das Ergebnis mit und sende die Dateien, die infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread.

Prüfe Deinen Rechner mit dem eScan, laut Anleitung, bitte sehr genau durchlesen. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Welche Viren wurden auf Deinem Rechner gefunden.

SD

hallo shadowdance

vielen dank erstmal für deine schnelle antwort

also ich habe erstmal die dateien mit virusscan.jotti.dhs.org: überprüft
bei den letzten beiden kam

Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

Packers detected: FSG

somit schicke ich dir die letzen beiden an die angegebene emailadresse

danach habe ich im abgesicherten modus mit eScan meinen rechner überprüft
und zwar mit eScan 4.6 (ich habe noch keine dateien manuel gelöscht)


ergebnis der mwav.log

C:\WINDOWS\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Christl\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012222.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012224.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012239.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012241.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012249.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012254.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012256.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012267.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.


wie gehe ich jetzt weiter vor?

vielen dank für die hilfe

Die beiden Dateien sind neue Malware.

Lösche die gefundenen Dateien manuell im abg. Modus.

Danach poste mal ein neues HijackThis-Log.

Hi,
ich hatte das gleiche Problem mit w*w.coolsearch.biz

Hier der Thread in dem mir sehr geholfen wurde: http://www.trojaner-board.com/showthread.php?t=9644

Vielleicht hilfts dir ja auch.
Hab mich genauso geärgert wie du =)

mfg,

Baxx

hi nochmal

also die gefundenen dateien kann ich nicht manuell löschen im abgesicherten modus weil ich die irgendwie nicht wiederfinden kann mit der windows suchfunktion

mein neues HijackThis-Log

Logfile of HijackThis v1.98.2
Scan saved at 17:05:32, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christl\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmflp03\BrStDvPt.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SmartUI.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


ich weiß leider immer noch nicht wie ich jetzt weiter vorgehe

vielen dank im vorraus

@ mattesxxl

die Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Dein Logfile ist noch nicht in Ordnung - erstelle es bitte nochmal, wenn Du die Malware gelöscht hast.

SD

ok ich werde es so mal versuchen

mal ein ganz andere frage

ist der trojaner eigentlich in irgendeiner art und weise "gefährlich"?
oder kann daten zerstören?

vielen dank für eine antwort


matthias

Virusinformation Troj/Agent-AV:

"Troj/Agent-AV ist ein Downloader-Trojaner für das Windows-Betriebssystem. Troj/Agent-AV registriert sich als Browser Helper Object, das automatisch geladen wird, wenn der Internet Explorer gestartet wird. Der Trojaner läuft im Prozesskontext des Internet Explorers und wird benutzt, um heimlich Dateien aus dem Internet herunterzuladen und zu installieren." Ähnliches gilt für einige andere TrojanDownloader.Win32.- .

Man sollte sie vom System entfernen.

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit

SD

Hallo,
ich hatte bis vor zwei Tagen das gleiche Problem mit exakt der gleichen Seite. Es gibt aber eine Lösung...
Die entsprechenden Dateien entziehen sich meines Wissen nach jedwedem Zugriff Sie sind absolut unsichtbar solange die TGBRFV_5.dll geladen ist. Sie hängt sich an fast alle Prozesse an.
Lösung (hat bei mir gewirkt ): HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot".
In dem Fenster bei Dateiname einfügen: C:\Windows\system32\TGBRFV_5.dll und Öffnen klicken.
Du solltest diese Nachricht erhalten: "The file 'C:\Windows\system32\TGBRFV_5.dll' will be deleted by Windows when the system restarts....Do you want to restart your computer now?"
No klicken.
Abermals den "Delete a file on reboot" Button klicken - diesmal einfügen: C:\Windows\system32\TGBRFV_.exe und bei der Frage nach dem Restart diesmal Yes klicken.
Sicherheitshalber jetzt noch alle Temp Dateien löschen.
Bei mir war zwar jetzt alles OK, aber es gab noch einen Eintrag in der Registry, welchen ich von Hand geändert habe - aber Vorsicht, eine ruinierte Registry macht u.U. dein Windows unbrauchbar
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
Dort den Schlüssel mit dem Eintrag h**p://xysearch.biz/?wmid=3306 durch about:blank ersetzen. Aber wie gesagt... VORSICHT! Sonst lieber die Finger von der Registry lassen, der Hijacker ist ja schon so eleminiert.
Ich habe übrigens die Systemwiederherstellung deaktiviert.
Habe den Trojaner allerdings noch in C:\System Volume Informationen (14xWin32.Zlob.d)? Habe Angst, mir von dort wieder etwas einzufangen, wenn ich die Systemwiederherstellung wieder aktiviere..
Vielleicht weiß da ja jemand Rat?!?
Ich hoffe, ich konnte helfen

@ Mawebde,

Zitat:

Ich habe übrigens die Systemwiederherstellung deaktiviert. [..] Habe Angst, mir von dort wieder etwas einzufangen, wenn ich die Systemwiederherstellung wieder aktiviere..
Vielleicht weiß da ja jemand Rat?!?

Also, ob Du Dir Malware einfängst, hängt nicht mit der Systemwiederherstellung zusammen sondern mit Deinem Surfverhalten und Deinem Kenntnisstand in Puncto Sicherheit. Wenn Du Dein Betriebssystem auf dem aktuellen Stand hältst, den IE regelmäßig updatest, ihn richtig konfiguriert hast und nur noch für Windows-Updates verwendest, sollte Dir nicht allzuviel passieren können, vorausgesetzt Du besuchst keine zweifelhaften Seiten und prüfst sehr genau, was Du runterlädst. Siehe hierzu:

- www.windowsupdate.com
- Browserwechsel
- IE sicher konfigurieren und Browser-Sicherheit

Zitat:

Habe den Trojaner allerdings noch in C:\System Volume Informationen (14xWin32.Zlob.d)?

Hat die Datei einen Namen?

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und lösche den Trojaner. Boote dann in den normalen Modus. Aktiviere die Suystemwiederherstellung.

SD

Hatte auch ein Problem mit den Systemabstürzen beim Start von Ad Adware, man kann aber die TGBRFV_5.dll und ihren Anhang im system32 Ordner einfach löschen wenn man noch ein zweites Betriebssystem draufhat und das von dort aus erledigt.

Hi Sharpy

echt super für die Hilfe, aber schau Dir mal das Datum an