Trojaner-Board - Unbekannte Progs in der Softwareliste

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Unbekannte Progs in der Softwareliste (https://www.trojaner-board.de/8596-unbekannte-progs-softwareliste.html)

Unbekannte Progs in der Softwareliste

Hi Leutz !!

Habe in meiner softwareliste ein paar ungebetene Besucher und zwar :

Home Search Assistant
Search Extender und
Shopping Wizard !!

wenn ich auf entfernen klicke werde ich auf eine Seite verlinkt die mich auffordert ein Programm runterzuladen um vorher genanntes zu entfernen !!

werde dann auf diese Seite verlinkt : http://looking-for.cc/uninstall/Home...Assistant.html

Eine Idee wie man diese entfernen kann ??

hier noch mein Hijackthis log :

Logfile of HijackThis v1.98.2
Scan saved at 16:07:29, on 19.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\RunDll32.exe
C:\Programme\AntiVir\AVGNT.EXE
G:\WINDOWS\System32\RUNDLL32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\quickTime\iTunesHelper.exe
G:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\POPUPS~1\PSFree.exe
C:\Programme\BHODemon\BHODemon.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Norton\Norton Utilities\NPROTECT.EXE
G:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Norton\SPEEDD~1\nopdb.exe
G:\Programme\iPod\bin\iPodService.exe
E:\download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\quickTime\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POPUPS~1\PSFree.exe"
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon\BHODemon.exe
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll

ware fuer sachdienliche Hinweise dankbar !!

Greetz !!

@Haze
dein log schaut aber sauber aus,
hast du HJT in normalen modus laufen lassen?

downloade bitte spybot und adaware, update beide programme
und lasse nacheinander in den abgesicherten modus laufen.
starte danach neu mache mit HJT ein neue scan und poste die ergebnisse von
spybot und adaware und HJT hier im board
http://www.lavasoft.de/
http://www.chip.de/downloads/c_downloads_8833199.html
chaosman

AdAware hat nichts ergeben und Spybot hat nur die ueblichen DSO Exploit Eintraege gefunden !!

Das log sieht demnach entsprechend genauso aus !!

Hm und nu ?

Greetz

@ Haze,

lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Moin !!

Hab E scan ne version davor glaub ich !! Werd das heut Mittag ma laufen lassen und dann das Ergebnis posten !!

Greetz

Hi Leutz !!

hier ist mein Log von E-Scan im abgesicherten Modus !!

Wed Oct 20 13:10:58 2004 => Total Number of Files Scanned: 40857
Wed Oct 20 13:10:58 2004 => Total Number of Virus(es) Found: 6
Wed Oct 20 13:10:59 2004 => Total Number of Disinfected Files: 0
Wed Oct 20 13:10:59 2004 => Total Number of Files Renamed: 0
Wed Oct 20 13:10:59 2004 => Total Number of Deleted Files: 1
Wed Oct 20 13:10:59 2004 => Total Number of Errors: 6
Wed Oct 20 13:10:59 2004 => Time Elapsed: 00:57:28
Wed Oct 20 13:10:59 2004 => Virus Database Date: 2004/10/20
Wed Oct 20 13:10:59 2004 => Virus Database Count: 107014

Errors :

ERROR!!! Invalid Entry System32\DRIVERS\Amps2prt.sys in SYSTEM\CurrentControlSet\Services\Amps2prt...

ERROR!!! Invalid Entry G:\WINDOWS\appwu.exe /s in SYSTEM\CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó...

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP63\change.log.15

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP63\drivetable.txt

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP64\snapshot\ComDb.Dat

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP64\snapshot\domain.txt

ERROR!!! FindFirstFile For G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP64\snapshot\Repository\*.* Failed!!! Reason is Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar. (0x570)

Virus:

File G:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

File E:\download\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

File G:\Dokumente und Einstellungen\Wumpe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MS5ZZSBW\CAIRYJ6H.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: File Deleted.

G:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File G:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

der Trojan downloader ist wohl gestern irgendwie draufgekommen , leere meine temporary internetfiles taeglich !! habs gleich nach e scan im abgesicherten Modus nochmal gemacht hatte es vor dem Scan vergessen !!

so dann
Greetz !!

hi Leutz !!

Hat noch jemand ne Idee ??? werd den Rotz net los

Greetz

So auf meiner Suche nach dem Problem bin ich im diesem Forum ueber einen Post gestolpert der hatte das selbe Problem !!

http://www.short-media.com/forum/showthread.php?t=17614

unten gibts nen Link zu nem Tool das diese Dinger entfernt und zwar

http://www.softpedia.com/public/cat/...0-17-210.shtml

Ihr koennt ja ma schauen was ihr davon haltet !! mir hats geholfen und der Kram ist jetzt weg !! wenn ihr das gemacht habt dann muesst ihr danach nur noch wieder die Startseite im IE aendern wenn ihr diesen Benutzt !!

so Greetz !!

Hallo Haze,

wir haben leider nicht die Zeit pausenlos hier zu sein und Fragen zu beantworten. Mit ein bisschen Geduld hättest Du Deine Fragen auch hier beantwortet bekommen.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Malware, die durch den eScan der Version 4.5.1. gefunden wird, musst Du von Hand löschen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]. Dabei solltest Du drauf achten, dass sie Malware bei Windows XP im abgesicherten Modus bei deaktivierter Systemwiederherstellung gelöscht wird.

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Aber danke für den Tip, wir werden es ausprobieren.

Pflichtlektüre:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de
- Einschränktes Benutzerkonto: www.ntsvcfg.de

SD

Zitat:

Zitat von Haze

Hi Leutz !!

ERROR!!! Invalid Entry G:\WINDOWS\appwu.exe /s in SYSTEM\CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó...
Greetz !!

Das ist nur CoolWWWSearch welches sich in deinen Systemdiensten eingetragen hat.

Lade mal die Spybot TX Version runter und kopier die
http://www.safer-networking.org/file...s_15102004.sbi
in dein Spybot Verzeichnis unter Includes.

Gruss
Michael
:headbang: :headbang: :headbang:

Zitat:

Zitat von Shadowdance

Hallo Haze,

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren
SD

Nuetz bloss bei CoolWWWSearch so noch nicht, da muss noch die Option
noch "Geschütze Systemdatein ausblenden (empfohlen)" abschalten.

Gruss
Michael
:headbang: :headbang:

@ Shadowdance

Konnte es halt net mehr abwarten den Rotz runterzukriegen und ein bisschen rechts und links schauen ist ja net so verkehrt !!

habe von E Scan version 4.4.7 die entfernt den Kram von alleine oda ??

Naja der Kram ist weg,wenn ich noch was machen soll sagt Bescheid !!

Koennt ja nochma n Blick auf mein HJT Log werfen !!

Logfile of HijackThis v1.98.2
Scan saved at 12:38:38, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\RunDll32.exe
C:\Programme\AntiVir\AVGNT.EXE
G:\WINDOWS\System32\RUNDLL32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\quickTime\iTunesHelper.exe
G:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\POPUPS~1\PSFree.exe
C:\Programme\BHODemon\BHODemon.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Norton\Norton Utilities\NPROTECT.EXE
G:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Norton\SPEEDD~1\nopdb.exe
G:\Programme\iPod\bin\iPodService.exe
G:\Programme\Internet Explorer\iexplore.exe
E:\download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\quickTime\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POPUPS~1\PSFree.exe"
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon\BHODemon.exe
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll

so dann

Greetz !!

@ warhawk .. danke für die Korrektur
@ Haze .. wenn Du jetzt noch das SP2 hochladen würdest, wäre Dein Logfile sauber.

SD

Zitat:

Zitat von Shadowdance

@ warhawk .. danke für die Korrektur
@ Haze .. wenn Du jetzt noch das SP2 hochladen würdest, wäre Dein Logfile sauber.

SD

Werde es mir draufziehen wenn ich demnaechst mein system neu aufsetze !! will das nicht auf mein laufendes system ziehen wenn dann nachher nur die haelfte funktioniert !!