Trojaner-Board - AZEsearch

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AZEsearch (https://www.trojaner-board.de/16154-azesearch.html)

hallo leute,

ich habe mir AZEsearch und wahrscheinlich viel mehr eingefangen, kann mir jemand bitte helfen? wenn möglich in worten die ich als laie auch verstehen kann.

das ist der log vom Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:39:12, on 02.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DHCP Turbo\dhcpt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Program Files\Siemens\Adsl\dslstat.exe
C:\Program Files\Siemens\Adsl\dslagent.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\nathan\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azesearch.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.50.166.11 www.google.com
O1 - Hosts: 69.50.166.11 google.com
O1 - Hosts: 69.50.166.11 www.google.co.uk
O1 - Hosts: 69.50.166.11 google.co.uk
O1 - Hosts: 69.50.166.11 www.google.ca
O1 - Hosts: 69.50.166.11 google.ca
O1 - Hosts: 69.50.166.11 www.google.es
O1 - Hosts: 69.50.166.11 google.es
O1 - Hosts: 69.50.166.11 www.google.de
O1 - Hosts: 69.50.166.11 google.de
O1 - Hosts: 69.50.166.11 www.google.fr
O1 - Hosts: 69.50.166.11 google.fr
O1 - Hosts: 69.50.166.11 www.google.com.au
O1 - Hosts: 69.50.166.11 google.com.au
O1 - Hosts: 69.50.166.14 www.yahoo.com
O1 - Hosts: 69.50.166.14 yahoo.com
O1 - Hosts: 66.218.75.184 mail.yahoo.com
O1 - Hosts: 69.50.166.12 www.msn.com
O1 - Hosts: 69.50.166.12 msn.com
O1 - Hosts: 69.50.166.12 search.msn.com
O1 - Hosts: 69.50.166.12 www.go.com
O1 - Hosts: 69.50.166.12 go.com
O1 - Hosts: 69.50.166.13 astalavista.com
O1 - Hosts: 69.50.166.13 www.astalavista.com
O1 - Hosts: 69.50.166.13 astalavista.box.sk
O1 - Hosts: 69.50.166.13 cracks.am
O1 - Hosts: 69.50.166.13 www.cracks.am
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AddressBar Class - {1474CE44-8057-4AE3-8F3E-ED37C7C63D8A} - C:\WINNT\system32\iasad.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - %SystemRoot%\system32\azesearch2.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Siemens\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Siemens\Adsl\dslagent.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - Startup: Siemens Dial-Up PPP Connection.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\inetrepl.dll
O9 - Extra button: Songtext.net Toolbar - {C94158E1-6151-4442-ABE6-FD53D6534CCB} - C:\Programme\Songtext.net Toolbar\songtext.dll
O9 - Extra 'Tools' menuitem: Songtext.net Toolbar - {C94158E1-6151-4442-ABE6-FD53D6534CCB} - C:\Programme\Songtext.net Toolbar\songtext.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://195.190.118.140/e9xr2.chm::/file.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} (CParamWr Class) - http://toolbar.azesearch.com/install/azesearch.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/o...oneTiscali.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20C8F6D7-E66A-4C87-8B8B-49B85E79A6FC}: NameServer = 195.70.224.45 213.90.38.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{472D5B96-7377-4AC7-AADD-E3C0D31D6019}: NameServer = 195.34.133.11,195.34.133.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{20C8F6D7-E66A-4C87-8B8B-49B85E79A6FC}: NameServer = 195.70.224.45 213.90.38.3
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DHCP Turbo - Weird Solutions, Inc. - C:\Programme\DHCP Turbo\dhcpt.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

danke

zuzätzlich hat ein virusscan mit (Microworld Antivurus toolkit utility ver. 6.0.2) im gesicherten modus folgendes ergeben:

File C:\WINNT\system32\iasad.dll infected by "not-a-virus:AdWare.ToolBar.Azesearch.b"

File C:\WINNT\system32\azesearch2.dll infected by "not-a-virus:AdWare.ToolBar.Azesearch.b"

File System Found infected by "180Solutions Spyware/Adware"

File System Found infected by "VX2 Spyware/Adware"

File System Found infected by "vendor Spyware/Adware"

File System Found infected by "VB and VBA Program Settings Spyware/Adware"

File C:\DOKUME~1\nathan\LOKALE~1\Temp\temp.fr171C infected by "not-a-virus:AdWare.WinAD.z"

File C:\DOKUME~1\nathan\LOKALE~1\Temp\temp.fr5E63 infected by "not-a-virus:AdWare.WebHancer"

File C:\Dokumente und Einstellungen\nathan\Eigene Dateien\hijackthis.log infected by
"Exploit.HTML.Mht"

File C:\Dokumente und Einstellungen\nathan\Lokale Einstellungen\Temp\temp.fr171C infected by
"not-a-virus:AdWare.WinAD.z"

File C:\Dokumente und Einstellungen\nathan\Lokale Einstellungen\Temp\temp.fr5E63 infected by
"not-a-virus:AdWare.WebHancer"

File C:\Program Files\AdTools Service\AdToolsComm.dll infected by "not-a-virus:AdWare.WinAD.z"

File C:\Program Files\AdTools Service\AdToolsKeep.exe infected by "not-a-virus:AdWare.WinAD.k"

File C:\WINNT\Downloaded Program Files\AdToolsX.dll infected by "not-a-virus:AdWare.WinAD.x"

Hallo lauralorring,

downloade Dir escan (einen neuen Ordner "C:\bases" erstellen, in diesen Ordner die "mwav.exe" entpacken, mittels "kavupd.exe" updaten).

System neustarten und wechsel in den abgesicherten Modus
http://www.systemwiederherstellung-d...indows-xp.html
und fixe folgende Einträge: (Scan mit Hijackthis, Häckchen vor Einträgen unsd auf fix checked klicken)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azesearch.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
alle "01"-Einträge
O2 - BHO: AddressBar Class - {1474CE44-8057-4AE3-8F3E-ED37C7C63D8A} - C:\WINNT\system32\iasad.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - %SystemRoot%\system32\azesearch2.dll (file missing)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://195.190.118.140/e9xr2.chm::/file.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} (CParamWr Class) - http://toolbar.azesearch.com/install/azesearch.cab

Falls nicht bekannt ebenfalls
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/...ioneTiscali.cab

Folgende Dateien manuell löschen:
C:\foo.mht
C:\WINNT\system32\iasad.dll

1. starte nun escan ("mwavscan.com" Doppelklicken)
2. öffne nach dem Scan die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
3. gebe dann "infected" ein,
4. Lösche alle Funde.

Papierkorb leeren

System herunterfahren --> Neustart

Neues Logfile

dartus

Wechsle in den abgesicherten Modus :

http://www.systemwiederherstellung-d...indows-xp.html

Fixxe alle 01 und R0 Einträge und vergib eine neue Startseite.
Lösche diene temporären Dateien mittels Clearprog:

http://www.clearprog.de/

Lösche den Inhalt folgenden Ordners und dann den Ordner selbst:

C:\Program Files\AdTools Service

Desweiteren lösche:

C:\WINNT\Downloaded Program Files\AdToolsX.dll infected by "not-a-virus:AdWare.WinAD.x
C:\WINNT\system32\azesearch2.dll infected by "not-a-virus:AdWare.ToolBar.Azesearch.b
C:\WINNT\system32\iasad.dll infected by "not-a-virus:AdWare.ToolBar.Azesearch.b

Dann lass mal Spybot(http://www.safer-networking.org/de/download/index.html) und Adaware( http://www.lavasoftusa.com/german/software/adaware/) drüberlaufen und behebe alle gefundenen Probleme . Mit Spybot auch noch immunisieren.
Poste danach einen neuen Log von HJT.

@lauralorring

Erstelle diesen Ordner auf deinem Laufwerk c:\bases.
Downloade dir escan Enpacke die Zip file mwav.zipin den selben Ordner.
Update, indem du die Datei kavupd.exe startest danach

wechsle in den abgesicherten Modus.
Scanne im abgesicherten Modus bei abgeschaltener Systemwiederherstellung
(Rechtsklick auf den Arbeitsplatz--> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren entfernen" mit hijackthis und fixe folgende Einträge.

O1 - Hosts: 69.50.166.11 www.google.com
O1 - Hosts: 69.50.166.11 google.com
O1 - Hosts: 69.50.166.11 www.google.co.uk
O1 - Hosts: 69.50.166.11 google.co.uk
O1 - Hosts: 69.50.166.11 www.google.ca
O1 - Hosts: 69.50.166.11 google.ca
O1 - Hosts: 69.50.166.11 www.google.es
O1 - Hosts: 69.50.166.11 google.es
O1 - Hosts: 69.50.166.11 www.google.de
O1 - Hosts: 69.50.166.11 google.de
O1 - Hosts: 69.50.166.11 www.google.fr
O1 - Hosts: 69.50.166.11 google.fr
O1 - Hosts: 69.50.166.11 www.google.com.au
O1 - Hosts: 69.50.166.11 google.com.au
O1 - Hosts: 69.50.166.14 www.yahoo.com
O1 - Hosts: 69.50.166.14 yahoo.com
O1 - Hosts: 66.218.75.184 mail.yahoo.com
O1 - Hosts: 69.50.166.12 www.msn.com
O1 - Hosts: 69.50.166.12 msn.com
O1 - Hosts: 69.50.166.12 search.msn.com
O1 - Hosts: 69.50.166.12 www.go.com
O1 - Hosts: 69.50.166.12 go.com
O1 - Hosts: 69.50.166.13 astalavista.com
O1 - Hosts: 69.50.166.13 www.astalavista.com
O1 - Hosts: 69.50.166.13 astalavista.box.sk
O1 - Hosts: 69.50.166.13 cracks.am
O1 - Hosts: 69.50.166.13 www.cracks.am
O2 - BHO: AddressBar Class - {1474CE44-8057-4AE3-8F3E-ED37C7C63D8A} - C:\WINNT\system32\iasad.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - %SystemRoot%\system32\azesearch2.dll (file missing)
O4 - Startup: Siemens Dial-Up PPP Connection.lnk = ? Falls unbekannt
O9 - Extra 'Tools' menuitem: Songtext.net Toolbar - {C94158E1-6151-4442-ABE6-FD53D6534CCB} - C:\Programme\Songtext.net Toolbar\songtext.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://195.190.118.140/e9xr2.chm::/file.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} (CParamWr Class) - http://toolbar.azesearch.com/install/azesearch.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/...ioneTiscali.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20C8F6D7-E66A-4C87-8B8B-49B85E79A6FC}: NameServer = 195.70.224.45 213.90.38.3

Öffne danach den explorer, gehe zum ordner c:\bases und starte die Datei mwavscan.exe, wenn der scan beendet ist
wechselst du zurück in den normalen Modus.
Nun öffnest du mit dem Editor, die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein.

Alle Zeilen in der infected steht markieren, und hier einfügen.
Ganz unten steht die Zusammenfassung, diese auch hier posten :)

Diese Einstellungen beachten http://www.trojaner-board.de/42731-escan-anleitung.html

@ all

Er brauch den Escan nicht.Er hat ja schon:

Microworld Antivurus toolkit utility ver. 6.0.2

@cronos,

als mein Post fertig war, könnte ich das noch nicht ahnen. ;)

dartus

@ dartus

Ich sehe gerade es wurde editiert--->Ego te absolvo ;-)

Cronos

@lauralorring

Zitat:

File System Found infected by "180Solutions Spyware/Adware"
File System Found infected by "VX2 Spyware/Adware"
File System Found infected by "vendor Spyware/Adware"
File System Found infected by "VB and VBA Program Settings Spyware/Adware"

Bei denen würde ich von False-Positives reden: eskam in ennletzte Tage schon ein Paar mal vor.

Zitat:

File C:\Dokumente und Einstellungen\nathan\Eigene Dateien\hijackthis.log infected by "Exploit.HTML.Mht"

Dafür habe ich kein Verständnis: Exploit in einem Log-Datei? Bitte bei http://virusscan.jotti.org/ online überprüfen.

Zitat:

File C:\DOKUME~1\nathan\LOKALE~1\Temp\temp.fr171C infected by "not-a-virus:AdWare.WinAD.z"
File C:\DOKUME~1\nathan\LOKALE~1\Temp\temp.fr5E63 infected by "not-a-virus:AdWare.WebHancer"
File C:\Dokumente und Einstellungen\nathan\Lokale Einstellungen\Temp\temp.fr171C infected by
"not-a-virus:AdWare.WinAD.z"
File C:\Dokumente und Einstellungen\nathan\Lokale Einstellungen\Temp\temp.fr5E63 infected by
"not-a-virus:AdWare.WebHancer"

Bitte Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...