Trojaner-Board - Browser-Hijacker

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Browser-Hijacker (https://www.trojaner-board.de/9201-browser-hijacker.html)

Browser-Hijacker

ich habe leider seit drei Tagen erhebliche Schwierigkeiten mit einem Browser-Hijacker der übelsten Sorte. Er läßt sich überhaupt nicht mehr löschen. Wenn man im Browser über Internetoptionen leere Seite eingibt und auf übernehmen geht, schließt und neu öffnet, ist er auch schon wieder da. Ich hatte ja bisher schon einige Viren, Trojaner und Hijacker auf meinen Rechner, aber der schlägt bisher alle mir bekannten. Habe bereits folgende Programme dagegen eingesetzt: Trojanchek 6, Spybot 1.3, McAfee Virenscanner, Hijack this, CWShredder, Spywareblaster, Ad-Aware und A2 StartCenter. Bisher leider alle ohne großen Erfolg. Also falls noch jemand eine gute Idee oder ein anderes Programm hat wäre ich für einen Tip sehr dankbar, bevor ich auf "format c" zurückgreifen muß. Es kommt immer wieder "h..p://a-search.biz/?wmid=1010"

Poste doch bitte mal ein HijackThis Logfile

@ Ronald

nimm bitte die URL aus Deinem Posting.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle dann ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD

Vielen Dank erstmal vorab für die Hilfe. Hier sind die Scan-Ergebnisse von eScan:

File C:\WINNT\SYSTEM32\DRIVERS\MGMTCTSA.SYS infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.

File C:\svchost.exe infected by "Trojan.Win32.StartPage.js" Virus. Action Taken: No Action Taken.

File C:\WINNT\SYSTEM32\DRIVERS\MGMTCTSA.SYS infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.

File C:\WINNT\winrar.exe infected by "TrojanSpy.Win32.Conspy.e" Virus. Action Taken: No Action Taken.

File C:\WINNT\Web\win.def infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\Web\tips.ini infected by "Trojan.JS.Zapchast.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\waol.exe infected by "TrojanSpy.Win32.Conspy.e" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\xplugin.dll infected by "TrojanDownloader.Win32.Esepor.l" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\tmksrvu.exe infected by "TrojanDownloader.Win32.Esepor.l" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\u070104.exe infected by "TrojanDownloader.Win32.Small.fv" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mscdne.dll infected by "TrojanClicker.Win32.Small.f" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\winlink\winlink.dll infected by "TrojanDownloader.Win32.WinShow.l" Virus. Action Taken: No Action Taken.

Bin mehr als erschrocken über dieses Scan-Ergebnis. Bekomme ich das überhaupt alles ohne Formatierung wieder raus ??

beim Scan über Ad-Aware SE bekomme ich immer wieder auch folgende Meldung:

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info
obj[1]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info "*"

ist nach dem löschen beim neuen Scan auch immer wieder zurück

@ Ronald,

Information zu diesen Trojanern bzw. den Familien zu denen sie gehören: Troj/Winshow-AL, TrojanDownloader.Win32.Esepor.i, TrojanSpy.Win32.Conspy.e, Troj/Qhosts-, Troj/Zapchas-.

Sie sind nicht so schlimm, dass Du unbedingt formatieren musst, es wäre aber besser. Du solltest die Malware zunächst vom System entfernen: von Hand löschen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre].

Folgendes ist dabei vielleicht wichtig: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Dies wäre zu überlegen: ein umfassender Rat - Cidre.

Erstelle bitte noch ein Hijack Thisl Logfile und poste es.

SD

@ Ronald,

bitte noch folgendes beachten: die infizierten Dateien müssen je nach Betriebssystem im abgesicherten Modus (VGA-Modus) und bei deaktivierter Systemwiederherstellung (Windows XP und ME) gelöscht werden.

SD

bis auf einen konnte ich die Einträge erfolgreich löschen. Es geht um den File C:\svchost.exe infected by "Trojan.Win32.StartPage.js" Virus. Action Taken: No Action Taken. Hängt leider nach dem ersten Löschversuch immer noch im C:\WINNT\system32. Dieser läßt sich auch im abgesicherten Modus nicht löschen weil Zugriff verweigert, Quelldatei möglicherweise geöffnet. Das scheint auch der Übeltäter zu sein, da ich nach wie vor im Browser den Link habe. Bei mir ist Win 2000 Prof. installiert.

@Ronald

bei hartneckige programme hilft amok delay
http://www.amok.am/
schau aber vorher nach ob es auch bei win 2000 geht.
chaosman

Habe das Programm installiert, traue mich aber nicht die Datei zu löschen da er anzeigt, das die Systemstabilität beeinträchtigt werden könnte wenn ich die Datei scchost.exe löschen würde.
Hier noch mein letztes Protokol von hijackthis:

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100

Vor allem die erste Meldung kommt immer wieder (F2 - REG:system.ini: UserInit=Userinit.exe,) Da scheint das Problem mit drin zu sein.

@ Ronald

erstelle bitte ein komplettes Hijack This Logfile und poste es.

Überprüfe Deinen Rechner mit einem Online-Scan, lass bestehende Probleme beheben und teile uns das Ergebnis mit.

SD

Logfile of HijackThis v1.98.2
Scan saved at 17:22:40, on 08.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\CTSvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\PROGRA~1\GEMEIN~1\Nullsoft\ActiveX\AOLMed~1.exe
C:\Programme\SpeedCommander VII\SpeedCommander.exe
C:\unzipped\hijackthis\HijackThis.exe

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDE3747E-A8ED-4F0F-B10A-0AA34E299B89}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100

hier ist das komplette Logfile.Der Online Scan hat nichts neues gebracht bzw nichts angezeigt.

Log ist sauber.

www.windowsupdate.com besuchen und alle Updates und Patches installieren!

Leider habe ich den Mist immer noch auf dem Computer. Ad.Aware findet auch zwei Einträge.

ArchiveData(Hijacker01.bckp)
Referencefile : SE1R18 08.11.2004
======================================================

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info
obj[1]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info "*"

Nach der Quarantäne und dem löschen sind diese beiden Einträge leider wieder zurück. Weiß wirklich nicht mehr weiter wie ich das von meinem System wieder runterbekommen könnte.