|
Plagegeister aller Art und deren Bekämpfung: http://xysearch.biz/?wmid=3306Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.11.2004, 13:33 | #1 |
| http://xysearch.biz/?wmid=3306 hallo leute habe folgendes problem ich habe immer h**p://xysearch.biz/?wmid=3306 als startseite im internet explorer und bekomme das nicht weg zur info Logfile of HijackThis v1.98.2 Scan saved at 13:40:16, on 16.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Scansoft\PaperPort\pptd40nt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\BRMFRSMG.EXE C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Christl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe F2 - REG:system.ini: UserInit=Userinit.exe, O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmflp03\BrStDvPt.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SmartUI.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: h**p://*.63.219.181.7[/url] was kann ich machen? wäre für jede hilfe sehr dankbar Geändert von mattesxxl (16.11.2004 um 14:53 Uhr) |
16.11.2004, 13:45 | #2 |
| http://xysearch.biz/?wmid=3306 Hallo mattesxxl,
__________________mach bitte den Link zu der Startseite, die Du neuerdings im IE hast, durch h**p unklickbar --> das geht über editieren. Überprüfe mit dem virusscan.jotti.dhs.org: C:\WINDOWS\System32\sistray.EXE C:\Programme\Scansoft\PaperPort\pptd40nt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe C:\WINDOWS\system32\Brmfrmps.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe teile uns das Ergebnis mit und sende die Dateien, die infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Prüfe Deinen Rechner mit dem eScan, laut Anleitung, bitte sehr genau durchlesen. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht. Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Welche Viren wurden auf Deinem Rechner gefunden. SD |
16.11.2004, 16:11 | #3 |
| http://xysearch.biz/?wmid=3306 hallo shadowdance
__________________vielen dank erstmal für deine schnelle antwort also ich habe erstmal die dateien mit virusscan.jotti.dhs.org: überprüft bei den letzten beiden kam Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: FSG somit schicke ich dir die letzen beiden an die angegebene emailadresse danach habe ich im abgesicherten modus mit eScan meinen rechner überprüft und zwar mit eScan 4.6 (ich habe noch keine dateien manuel gelöscht) ergebnis der mwav.log C:\WINDOWS\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. C:\WINDOWS\System32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\WINDOWS\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Christl\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012222.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012224.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012239.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012241.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012249.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012254.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012256.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012267.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. wie gehe ich jetzt weiter vor? vielen dank für die hilfe |
16.11.2004, 21:21 | #4 |
Gast | http://xysearch.biz/?wmid=3306 Die beiden Dateien sind neue Malware. Lösche die gefundenen Dateien manuell im abg. Modus. Danach poste mal ein neues HijackThis-Log. |
16.11.2004, 22:51 | #5 |
| http://xysearch.biz/?wmid=3306 Hi, ich hatte das gleiche Problem mit w*w.coolsearch.biz Hier der Thread in dem mir sehr geholfen wurde: http://www.trojaner-board.com/showthread.php?t=9644 Vielleicht hilfts dir ja auch. Hab mich genauso geärgert wie du =) mfg, Baxx |
18.11.2004, 16:57 | #6 |
| http://xysearch.biz/?wmid=3306 hi nochmal also die gefundenen dateien kann ich nicht manuell löschen im abgesicherten modus weil ich die irgendwie nicht wiederfinden kann mit der windows suchfunktion mein neues HijackThis-Log Logfile of HijackThis v1.98.2 Scan saved at 17:05:32, on 18.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Christl\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=Userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmflp03\BrStDvPt.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SmartUI.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm ich weiß leider immer noch nicht wie ich jetzt weiter vorgehe vielen dank im vorraus |
18.11.2004, 17:38 | #7 |
| http://xysearch.biz/?wmid=3306 @ mattesxxl die Malware-Einträge bitte von Hand löschen: 1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) 2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Dein Logfile ist noch nicht in Ordnung - erstelle es bitte nochmal, wenn Du die Malware gelöscht hast. SD |
20.11.2004, 16:01 | #8 |
| http://xysearch.biz/?wmid=3306 ok ich werde es so mal versuchen mal ein ganz andere frage ist der trojaner eigentlich in irgendeiner art und weise "gefährlich"? oder kann daten zerstören? vielen dank für eine antwort matthias |
20.11.2004, 17:21 | #9 |
| http://xysearch.biz/?wmid=3306 Virusinformation Troj/Agent-AV: "Troj/Agent-AV ist ein Downloader-Trojaner für das Windows-Betriebssystem. Troj/Agent-AV registriert sich als Browser Helper Object, das automatisch geladen wird, wenn der Internet Explorer gestartet wird. Der Trojaner läuft im Prozesskontext des Internet Explorers und wird benutzt, um heimlich Dateien aus dem Internet herunterzuladen und zu installieren." Ähnliches gilt für einige andere TrojanDownloader.Win32.- . Man sollte sie vom System entfernen. - Vorbeugende Maßnahmen - IE sicher konfigurieren und Browser-Sicherheit SD |
20.11.2004, 20:55 | #10 |
| http://xysearch.biz/?wmid=3306 Hallo, ich hatte bis vor zwei Tagen das gleiche Problem mit exakt der gleichen Seite. Es gibt aber eine Lösung... Die entsprechenden Dateien entziehen sich meines Wissen nach jedwedem Zugriff Sie sind absolut unsichtbar solange die TGBRFV_5.dll geladen ist. Sie hängt sich an fast alle Prozesse an. Lösung (hat bei mir gewirkt ): HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot". In dem Fenster bei Dateiname einfügen: C:\Windows\system32\TGBRFV_5.dll und Öffnen klicken. Du solltest diese Nachricht erhalten: "The file 'C:\Windows\system32\TGBRFV_5.dll' will be deleted by Windows when the system restarts....Do you want to restart your computer now?" No klicken. Abermals den "Delete a file on reboot" Button klicken - diesmal einfügen: C:\Windows\system32\TGBRFV_.exe und bei der Frage nach dem Restart diesmal Yes klicken. Sicherheitshalber jetzt noch alle Temp Dateien löschen. Bei mir war zwar jetzt alles OK, aber es gab noch einen Eintrag in der Registry, welchen ich von Hand geändert habe - aber Vorsicht, eine ruinierte Registry macht u.U. dein Windows unbrauchbar HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main Dort den Schlüssel mit dem Eintrag h**p://xysearch.biz/?wmid=3306 durch about:blank ersetzen. Aber wie gesagt... VORSICHT! Sonst lieber die Finger von der Registry lassen, der Hijacker ist ja schon so eleminiert. Ich habe übrigens die Systemwiederherstellung deaktiviert. Habe den Trojaner allerdings noch in C:\System Volume Informationen (14xWin32.Zlob.d)? Habe Angst, mir von dort wieder etwas einzufangen, wenn ich die Systemwiederherstellung wieder aktiviere.. Vielleicht weiß da ja jemand Rat?!? Ich hoffe, ich konnte helfen |
21.11.2004, 00:11 | #11 | ||
| http://xysearch.biz/?wmid=3306 @ Mawebde, Zitat:
- www.windowsupdate.com - Browserwechsel - IE sicher konfigurieren und Browser-Sicherheit Zitat:
--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und lösche den Trojaner. Boote dann in den normalen Modus. Aktiviere die Suystemwiederherstellung. SD |
18.03.2005, 11:13 | #12 |
| http://xysearch.biz/?wmid=3306 Hatte auch ein Problem mit den Systemabstürzen beim Start von Ad Adware, man kann aber die TGBRFV_5.dll und ihren Anhang im system32 Ordner einfach löschen wenn man noch ein zweites Betriebssystem draufhat und das von dort aus erledigt. |
18.03.2005, 11:25 | #13 |
| http://xysearch.biz/?wmid=3306 Hi Sharpy echt super für die Hilfe, aber schau Dir mal das Datum an |
Themen zu http://xysearch.biz/?wmid=3306 |
adobe, als startseite, bho, button, dateien, dll, drivers, einstellungen, excel, explorer, hijack, hijackthis, hilfe, internet, internet explorer, messenger, microsoft, programme, rundll, seite, system, system32, temp, userinit, userinit.exe, windows, windows xp, wmid |