hallo leute
habe folgendes problem

ich habe immer h**p://xysearch.biz/?wmid=3306 als startseite im internet explorer und bekomme das nicht weg

zur info

Logfile of HijackThis v1.98.2
Scan saved at 13:40:16, on 16.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmflp03\BrStDvPt.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: h**p://*.63.219.181.7[/url]

was kann ich machen?

wäre für jede hilfe sehr dankbar

Hallo mattesxxl,

mach bitte den Link zu der Startseite, die Du neuerdings im IE hast, durch h**p unklickbar --> das geht über editieren.

Überprüfe mit dem virusscan.jotti.dhs.org:

C:\WINDOWS\System32\sistray.EXE
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe

teile uns das Ergebnis mit und sende die Dateien, die infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread.

Prüfe Deinen Rechner mit dem eScan, laut Anleitung, bitte sehr genau durchlesen. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Welche Viren wurden auf Deinem Rechner gefunden.

SD

hallo shadowdance

vielen dank erstmal für deine schnelle antwort

also ich habe erstmal die dateien mit virusscan.jotti.dhs.org: überprüft
bei den letzten beiden kam

Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

Packers detected: FSG

somit schicke ich dir die letzen beiden an die angegebene emailadresse

danach habe ich im abgesicherten modus mit eScan meinen rechner überprüft
und zwar mit eScan 4.6 (ich habe noch keine dateien manuel gelöscht)


ergebnis der mwav.log

C:\WINDOWS\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Christl\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012222.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012224.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012239.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012241.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012249.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012254.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012256.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{F8AD575D-3C13-4A13-ACAB-BDCDE818983C}\RP46\A0012267.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.


wie gehe ich jetzt weiter vor?

vielen dank für die hilfe

Die beiden Dateien sind neue Malware.

Lösche die gefundenen Dateien manuell im abg. Modus.

Danach poste mal ein neues HijackThis-Log.

Hi,
ich hatte das gleiche Problem mit w*w.coolsearch.biz

Hier der Thread in dem mir sehr geholfen wurde: http://www.trojaner-board.com/showthread.php?t=9644

Vielleicht hilfts dir ja auch.
Hab mich genauso geärgert wie du =)

mfg,

Baxx

hi nochmal

also die gefundenen dateien kann ich nicht manuell löschen im abgesicherten modus weil ich die irgendwie nicht wiederfinden kann mit der windows suchfunktion

mein neues HijackThis-Log

Logfile of HijackThis v1.98.2
Scan saved at 17:05:32, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christl\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmflp03\BrStDvPt.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SmartUI.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


ich weiß leider immer noch nicht wie ich jetzt weiter vorgehe

vielen dank im vorraus

Hatte auch ein Problem mit den Systemabstürzen beim Start von Ad Adware, man kann aber die TGBRFV_5.dll und ihren Anhang im system32 Ordner einfach löschen wenn man noch ein zweites Betriebssystem draufhat und das von dort aus erledigt.

Hi Sharpy

echt super für die Hilfe, aber schau Dir mal das Datum an