Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Alte Bekannte,aber wie beseitigen? (https://www.trojaner-board.de/11036-alte-bekannte-beseitigen.html)

M_Hammer_Kruse 20.12.2004 22:47
Alte Bekannte,aber wie beseitigen?
 
Hallo,

tolles Forum dies, und wirklich hilfreich (Danke für alles, was ich bisher mitgelesen habe!)
Aber nun brauch ich mal einen persönlichen Tip:

Ich, will sagen, mein Rechner ist offenbar mit den drei alten Bekannten
Home Search Assistant
Search Extender
Shopping Wizard
infiziert

Außerdem gibt es Ärger mit Trojan-Downloader.Win32.Agent

Zeitweilig glaubte ich zwar, daß ich das Problem dank diverser Hinweise aus diesem Forum beseitigt hätte, aber es kehrt doch immer wieder. So hat z. B. das Löschen der Datei javaka.dll nur vorübergehend für Abhilfe gesorgt.

Konkret sieht das Fehlerbild so aus:
1. Die HSA-, SE- und SW-Einträge in der Registry lassen sich mit regedit nicht beseitigen; sie kommen sofort wieder.
2. Bereinigen des R3-Eintrags und des zweiten BHOs mit HijackThis bringt keine Abhilfe; sie entstehen wieder neu, das BHO stets mit neuem Namen
3. Editor-Fenster werden regelmäßig automatisch geschlossen
4. Microsoft IE startet mit Fehlermeldungen auf, ist aber dann bedingt lauffähig. Er stürzt jedoch immer wieder beim Anklicken von Links ab. Das läßt sich zwar vermeiden wenn man die Adresse eines Links über seine Eigenschaften ermittelt und dann in die Adresszeile des Explorers kopiert, ist aber auf die Dauer ausgesprochen lästig. (Nun aber bitte keine Hinweise auf Mozilla oder Firefox :) )
5. In C:\Windows werden ohne weiteres Zutun neue .dll- und/oder .dat-Dateien angelegt, bevorzugt mit 96 KB (.dll-Dateien) und 98 oder 0 KB (.dat-Dateien). Sie heißen xxxxx32.dll und xxxxx.dat, wobei xxxxx diverse, jeweils unterschiedliche Buchstabenfolgen sind. Die .dat-Dateien tauchen dabei immer im Päärchen auf, eine mit 98 KB und eine mit 0, jeweils mit dem gleichen Zeitstempel, und werden minütlich aktualisiert. Dabei bekommen auch jedesmal classes.dat und system.dat einen neuen Zeitstempel. Die xxxxx-Dateien werden von Kapersky reklamiert, sie seien mit Trojan-Downloader.Win32.Agent infiziert.

Logging zu 4. (Auszug aus faultlog.txt):
(Hinweis: Die erste Fehlermeldung benennt stets das bei 2. erwähnte BHO)
**********************************************************************
Datum 12/20/2004 Uhrzeit 21:36
IEXPLORE verursachte einen Fehler durch eine ungültige Seite
in Modul WINEL.DLL bei 018f:02afc4f3.
Register:
EAX=02b12577 CS=018f EIP=02afc4f3 EFLGS=00250206
EBX=bfe00080 SS=0197 ESP=02a0a978 EBP=02a0a984
ECX=02a0aee4 DS=0197 ESI=02b06a55 FS=3067
EDX=000000f8 ES=0197 EDI=bfe0ffff GS=0000
Bytes bei CS:EIP:
8a 27 47 38 c4 74 f2 2c 41 3c 1a 1a c9 80 e1 20
Stapelwerte:
bfe00080 bfe00000 bfe00000 02b06a54 02ae1b8e bfe0ffff 02b06a54 02b06a60 02ae5d80 0000014c 02b06a54 02ae1c5e 73db9fcb 02b06a54 02b06a60 02ae5d80
**********************************************************************
Datum 12/20/2004 Uhrzeit 21:36
IEXPLORE verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 018f:bff7b094.
Register:
EAX=00000000 CS=018f EIP=bff7b094 EFLGS=00240246
EBX=00000000 SS=0197 ESP=02a0abf4 EBP=02a0ad2c
ECX=d08cb2c0 DS=0197 ESI=02b0ef54 FS=3067
EDX=02b0ef38 ES=0197 EDI=00000000 GS=0000
Bytes bei CS:EIP:
a1 20 bd fb bf 50 e8 ed 90 fe ff ff 76 04 e8 25
Stapelwerte:
bff7b07b 02ae63b8 02b0ef54 00000000 00000000 02ae0000 705c3a63 72676f72 656d6d61 746e695c 656e7265 78652074 726f6c70 695c7265 6c707865 2e65726f
**********************************************************************


zu 5.: Analyseergebnis (Beispiel) von Kapersky:
**********************************************************************
gyrisb.dat - packed with UPX
gyrisb.dat Infiziert: Trojan-Downloader.Win32.Agent.bc
sysox32.dll - packed with UPX
sysox32.dll Infiziert: Trojan-Downloader.Win32.Agent.bc
**********************************************************************

Schließlich noch, wie sichs gehört, der HijackThis-Logfile:
**********************************************************************
Logfile of HijackThis v1.98.2
Scan saved at 21:39:37, on 20.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\D3MH32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE
C:\WINDOWS\MFCLJ.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
D:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\WUAUCLT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\DIALER\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {B6DD1EDC-205B-7715-2B23-436D64FE1423} - C:\WINDOWS\SYSTEM\WINEL.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] D:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] D:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [MFCLJ.EXE] C:\WINDOWS\MFCLJ.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [D3MH32.EXE] C:\WINDOWS\SYSTEM\D3MH32.EXE
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
**********************************************************************


Wo sitzt der eigentliche Übeltäter :pfui: , und wie werde ich ihn los?

mike

Lidius 20.12.2004 22:59
Poste bitte ein Log mit der aktuellen Hijackthis Version 1.99 www.hijackthis.de (auf direktdownload klicken)

Cidre 20.12.2004 22:59
Hallo,

installiere zuerst IE6 SP1, sowie weitere Patches.

Wechsle in den abgesicherten Modus und fixe:
O4 - HKLM\..\Run: [MFCLJ.EXE] C:\WINDOWS\MFCLJ.EXE
Lösche:
C:\WINDOWS\MFCLJ.EXE

- mit eScan scannen und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Neustart
- neues Log-File posten

M_Hammer_Kruse 21.12.2004 20:17
Hallo Lidius und Cidre

Erstmal vielen Dank für die superschnellen Antworten.
Nun hab ich getan wie mir geraten, und es scheint, als wäre alles in Ordnung.
Aber das dachte ich neulich auch schon mal ...


Hier ein aktuelles HijackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 20:08:49, on 21.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPENH.EXE
D:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
D:\PROGRAMME\WINZIP\WZQKPICK.EXE
D:\DIALER\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] D:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] D:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


Gruß, mike

Cidre 21.12.2004 20:52
Ist dein HJT wirklich vollständig?

Fixe nochmals diese Einträge im abgesicherten Modus:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wfxgo.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Lösche diese Dateien:
C:\WINDOWS\wfxgo.dll

Was wurde von eScan AntiVirus wo gefunden?

btw:
Tu dir selbst einen Gefallen und verwende den IE nur noch fürs das Win Update und benutzte ab jetzt nur noch Alternativ Browser wie Firefox http://www.mozilla.org/ .


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131