Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/spy.Tofger.Bl.2

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.08.2004, 19:49   #1
Doreen
 
TR/spy.Tofger.Bl.2 - Standard

TR/spy.Tofger.Bl.2



hallo liebes forum,

ich habe keine ahnung wo der wurm/virus (?) herkommt, aber wir bekommen ihn nicht mehr los.

nun hoffen wir auf eure hilfe.... ein wenig belesen habe ich mich schon und poste deshalb mal die hijack-log:

vielen dank im voraus für eure hilfe,
doreen

Logfile of HijackThis v1.98.2
Scan saved at 20:44:44, on 26.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MSOH.EXE
C:\WINDOWS\SYSTEM\APPYS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFOSDW.EXE
C:\WINDOWS\SYSTEM\S3APPHK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HZHW.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\D3YC32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hvpip.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hvpip.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\hvpip.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hvpip.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hvpip.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hvpip.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hvpip.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - Default URLSearchHook is missing
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\CFOSDW.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {5AB9366F-C6A7-C20A-7DD8-57E2B35C0934} - C:\WINDOWS\MSUQ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [S3apphk] S3apphk.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\Run: [D3YC32.EXE] C:\WINDOWS\D3YC32.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [APPYS.EXE] C:\WINDOWS\SYSTEM\APPYS.EXE
O4 - HKLM\..\RunServices: [MSOH.EXE] C:\WINDOWS\SYSTEM\MSOH.EXE
O4 - HKCU\..\Run: [Nkngju] C:\WINDOWS\SYSTEM\hzhw.exe
O4 - HKCU\..\RunServices: [Nkngju] C:\WINDOWS\SYSTEM\hzhw.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Preispiraten 2.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe (file missing)
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab

Alt 26.08.2004, 23:21   #2
MountainKing
 
TR/spy.Tofger.Bl.2 - Standard

TR/spy.Tofger.Bl.2



Hallo Doreen (ein schöner Name aus dem Osten unserer Republik),

Wie es aussieht, hast du E-Scan schon einmal laufen lassen, auch schon im abgesicherten Modus, wie hier beschrieben?

http://www.trojaner-board.de/42731-escan-anleitung.html

Du hast da leider sehr viele unschöne Prozesse bzw. Programme laufen. Wenn sie von keinem der von dir benutzte Virenscanner erkannt werden, schicke folgende Dateien:

MSOH.EXE
APPYS.EXE
STMGR.EXE
S3APPHK.EXE
HZHW.EXE
D3YC32.EXE

bitte an virus@av.klaffke.info mit einem Link zu diesem Thread hier, da es sich eventuell um neue Varianten von Viren handelt.

Bevor ich alles aufzähle, hier ist eine automatische Auswertung deines Logfiles:

http://www.hijackthis.de/logfiles/74...e4934f8a9.html

der ich in dem Falle zustimmen würde, es sei denn, die Überprüfung der oben genannten Dateien ergibt, dass die gutartig sind. Ansonsten solltest du die Systemwiederherstellung deaktivieren:

http://www.bsi.de/av/texte/wiederher_me.htm

danach mit HijackThis die im Logfile rot und gelb markierten Einträge fixen, neu starten und dann die Systemwiederherstellung wieder aktivieren.
Aber führe vorher den E-scan im abgesicherten Modus durch und/oder warte auf die Überprüfung der Dateien.

Da ich nicht weiss, welche Funktionen der von dir gefundene Trojaner hat und ob sich hier weitere verstecken, was aber zu vermuten ist, will ich noch nicht abschliessend urteilen, aber eine Neuinstallation solltest du auf jeden Fall schon mal in Betracht ziehen.
__________________


Alt 27.08.2004, 19:50   #3
Doreen
 
TR/spy.Tofger.Bl.2 - Standard

TR/spy.Tofger.Bl.2



hallo mountainking,

vielen vielen dank für deine antwort!!! wir haben uns letztendlich für die letzte variante entschieden und die festplatte formatiert.

nun geht es uns darum, WIE wir uns in zukunft davor schützen können.
als e-mail-client nutzen wir derzeit outlook express. als antivirenprogramm hatten wir vorher antivir und jetzt norton antivirus.

was mich an outlook stört ist, dass stets alle e-mails heruntergeladen werden und somit auch ungewünschte jetzt habe ich mir überlegt, nur noch über web-mail e-mails zu lesen oder gibt es eine andere alternative?

welches antivirenprogramm könntest du uns empfehlen? mein kollege nutzt avast und ist damit zufrieden.

würde mich über eine antwort freuen.

vielen dank nochmal!!!

liebe grüsse
doreen
__________________

Alt 27.08.2004, 19:57   #4
*Christian*
Gast
 
TR/spy.Tofger.Bl.2 - Standard

TR/spy.Tofger.Bl.2



An eurer Stelle hätte ich dann doch lieber AntiVir behalten.

Links zu Test's:
http://www.rokop-security.de/main/article.php?sid=693
http://www.av-comparatives.org/seit...e_2004_08zz.php

Für empfehlenswert halte ich:
F-Secure
Kaspersky
G-Data's AntiViren-Kit

Wie du dich sonst noch schützen kannst (by Mountainking):
1. Regelmäßig www.windowsupdate.com besuchen und alle Updates installieren
2. Den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder Firefox umsteigen www.firefox-browser.de , www.opera.com
3. Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
4. Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
5. ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
6. Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten.
7. Unnötige Dienste beenden: http://www.dingens.org; Ports schließen.
8. http://www.trojaner-info.de/report_pcsicherheit.shtml

Geändert von *Christian* (27.08.2004 um 20:05 Uhr)

Alt 27.08.2004, 23:33   #5
MountainKing
 
TR/spy.Tofger.Bl.2 - Standard

TR/spy.Tofger.Bl.2



@ Christian

hey, das ist nett, du hast auch die Links gleich mit eingebastelt.

Hallo nochmal Doreen

Ich hätte euch gern vor dem Formatieren noch ein paar Tips gegeben, die meisten stehen inzwischen schon da, nur wäre es gut gewesen, vor dem ersten Onlinegehen die interne XP-Firewall für die Verbindung zu aktivieren, um bestimmte Programme draußenzuhalten bevor du durch ein sofortiges Windowsupdate diese Lücken vollständig schließt. Aber es scheint ja geklappt zu haben.

Wichtig ist meines Erachtens, dass man von der leider irrigen Vorstellung Abschied nimmt, dass Sicherheit durch die momentan oft propagierten zusätzlichen Sicherheitsprogramme wie Virenscanner und Firewalls u.a. herzustellen ist. Diese wirken, wenn überhaupt, immer erst auf einer zweiten Ebene, nämlich dann, wenn der Schädling schon auf deinem Rechner ist. Und das ist er, weil zu 99% DU ihn aktiv (durch Klicken von mailanhängen, Installation von fragwürdigen Scripten und Programmen) oder passiv (durch den Verzicht auch Sicherheitspatches, unsichere Konfiguration von aktiven Inhalten der Browser und mailprogramme) dorthin gebracht hast. Deswegen ist es logischerweise das Allerbeste, wirklich auf der Basis anzusetzen und dort die Sicherheitsvoraussetzungen zu schaffen, wenn das befolgt wird, sinkt der Nutzen dieser Programme ganz erheblich.

Hier ist das recht anschaulich beschrieben:

http://www.mathematik.uni-marburg.de...ompromise.html

Das meiste steht, wie gesagt, schon bei Christian, teste mal einen Alternativbrowser, ich nehme Opera, der auch ein Setup im IE-Look besitzt, damit man sich leichter umgewöhnen kann, firefox ist sicher ebenso empfehlenswert. Einfach mal testen und was besser gefällt dann behalten. Als Mailclient nutze ich persönlich foxmail http://www.jakewalk.de/foxmail.html ist klein und übersichtlich, besitzt den für mich netten Vorteil, dass es auch hotmail über pop abruft. Wichtig wäre immer, dass man mails als "nur text" darstellen lässt, also nicht den IE einbindet, um sie zu betrachten bzw. aktive Inhalte deaktiviert, dann kann auch nichts passieren, solange man auch keine Anhänge anklickt.
Avast kenne ich persönlich nicht, ich habe zuletzt AVG 6.0 benutzt und jetzt Antivir, beide sind IMO für kostenlose Programme durchaus zu gebrauchen, wobei ich im Zweifelsfall Antivir anhand diverser Tests (s.o.) leicht vorn sehen würde. Allerdings haben die Scanner bei mir eigentlich nie wirkliche Arbeit, siehe oben. Wenn du Geld für einen Scanner investieren möchtest, würde ich mich ebenfalls Christian anschließen (Kaspersky, AVK oder F-Secure).
Absolute Sicherheit gibt es natürlich keine, da immer wieder neue Sicherheitslücken auftauchen, aber solange man immer vorsichtig bleibt und auch gegenüber Sicherheitssoftware skeptisch, ist schon viel gewonnen.

Viele Grüße
MK


Alt 31.08.2004, 19:34   #6
Doreen
 
TR/spy.Tofger.Bl.2 - Standard

TR/spy.Tofger.Bl.2



hallo nochmal und vielen dank für die hilfreichen tips,

wir haben den internet explorer sowie outlook einfach mal vom pc verbannt und uns für die beiden "mozilla's" entschieden....

da wir kein xp haben, konnten wir auch nichts aktivieren oder deaktivieren.

eine frage bleibt noch: ist eine firewall notwendig? oder dürfte ein vernünftiger virenscanner ausreichen? ich weiss zwar, dass es wirklich keinen 100 %igen Schutz gibt, aber interessieren würde mich das schon...

vielen lieben dank nochmal,
doreen

Alt 31.08.2004, 19:44   #7
Cidre
Administrator, a.D.
 
TR/spy.Tofger.Bl.2 - Standard

TR/spy.Tofger.Bl.2



Hallo,

Zitat:
eine frage bleibt noch: ist eine firewall notwendig? oder dürfte ein vernünftiger virenscanner ausreichen? ich weiss zwar, dass es wirklich keinen 100 %igen Schutz gibt, aber interessieren würde mich das schon...
Eine Desktop Firewall ist imho nicht notwendig. Siehe dazu:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Wichtig ist, daß du die Datei und Drucker Freigabe deaktivierst.

btw: Brain benutzen ist der beste Schutz + Windows Update + aktualisierten Virenscanner.
__________________
Gruß, Cidre


Antwort

Themen zu TR/spy.Tofger.Bl.2
.com, .inf, acrobat, adobe, audio, bho, button, c:\windows\temp, ebay, explorer, file missing, forum, google, hijackthis, homepage, internet, internet explorer, keine ahnung, microsoft, programme, rundll, rundll32.exe, seite, seiten, software, system, temp, tr/spy., urlsearchhook, windows, windows\temp, yahoo





Zum Thema TR/spy.Tofger.Bl.2 - hallo liebes forum, ich habe keine ahnung wo der wurm/virus (?) herkommt, aber wir bekommen ihn nicht mehr los. nun hoffen wir auf eure hilfe.... ein wenig belesen habe ich - TR/spy.Tofger.Bl.2...
Archiv
Du betrachtest: TR/spy.Tofger.Bl.2 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.