Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trusted zone entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.12.2004, 14:16   #1
Felix_U
Gast
 
Trusted zone entfernen - Standard

Trusted zone entfernen



Hallo miteinander!
Ich habe nun seit geraumer Zeit ein Problem mit einer Trusted Zone, die ich nicht entfernen kann. Es tauchen auch ständig Fenster auf, ob ich nicht antispyware software herunterladen kann. Dahinterstecken zwei verschiedene Sites: findspyware.net und adultgambling.com
Es werden auch ständig meine Favoriten "erweitert". Zone Alarm verzeichnet diese Trustedzone nicht. Ad-aware, spybot, Xpclean, erkennen sie nicht.
Auch die Systemwiederherstellung ausschalten und dann mit HijackThis im Safe Mode die Zone zu killen ist nicht möglich.
Hat irgendjemand noch eine Idee?
ich bin um jeden Tipp dankbar.

Alt 02.12.2004, 14:27   #2
BLACKDOG
 
Trusted zone entfernen - Standard

Trusted zone entfernen



Hi !
Poste bitte mal Dein hijack this - log hier. Dann können wir ja mal weitersehen.
Greetz
Blackdog
__________________

__________________

Alt 04.12.2004, 23:45   #3
Felix_U
Gast
 
Trusted zone entfernen - Standard

Trusted zone entfernen



gleich vorweg: in einem anderen Beitrag hat Lutz gemeint, man sollte mit der Killbox diverse Dateien löschen, wie z.B. getDns.exe oder rns.exe. Keine dieser Dateien hat die Killbox gefunden (auch bei manueller Eingabe).
so, hier ist mein log:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Mozilla\firefox.exe
D:\Programme\XPClean\XPclean.exe
C:\WINNT\System32\pxhping.exe
C:\WINNT\System32\mqbckup.exe
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis-1.zip\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://*.63.219.181.7

__________________

Alt 04.12.2004, 23:50   #4
Cidre
Administrator, a.D.
 
Trusted zone entfernen - Standard

Trusted zone entfernen



Hallo,

überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:

C:\WINNT\System32\pxhping.exe
C:\WINNT\System32\mqbckup.exe

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben und poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen -> löschen!
__________________
Gruß, Cidre


Alt 05.12.2004, 08:55   #5
Lutz
 

Trusted zone entfernen - Standard

Trusted zone entfernen



Hallo Felix_U

auch wenn Du mit Killbox keine der genannten Dateien gefunden hast, lade Dir hier bitte http://www.thespykiller.co.uk/files/ms4hd.zip (direkter DownloadLink!) -falls nicht schon geschehen- das Tool Ms4Hd_look herunter und entpacke es in einen eigenen Ordner.
Anschließend starte die Datei runme.bat aus diesem neu erstellten Ordner. Du erhälst eine Datei namens look.log. Bitte poste hier den Inhalt dieser Datei.

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 05.12.2004, 16:00   #6
Felix_U
Gast
 
Trusted zone entfernen - Standard

Trusted zone entfernen



Hallo Lutz,
Gestern habe ich versucht in der Registry was zu löschen, aber sobald ich an die Zones komme geht die Registry zu. Das habe ich noch nie geshen. Wie funktioniert das?

der log in MH4_Look ist leer, allerdings speichert sich folgendes in MH4_err:

NtQuerySystemInformation (Entry at 8525B0) restored to 77F66152
NtEnumerateValueKey (Entry at 852430) restored to 77F65B7A
NtEnumerateKey (Entry at 8522C0) restored to 77F65B5C
NtQueryDirectoryFile (Entry at 852630) restored to 77F65FAE
LdrLoadDll (Entry at 852180) restored to 77F45669
NtResumeThread (Entry at 852090) restored to 77F66341
Restored __eFSQRT (Ordinal 1249) (at 77FB273C)
64 8B 47 08 3C 42 74 C4 77 AE 0A E4 0F 88 F8 CC FF FF 64 8B 77 04 64 8B 0F 64 66 D1 7F 0A BF 00 00 00 00 72 0A 0F AC CF 01 0F AC F1 01 D1 EE 0F A4 F0 10 0F B6 DC 66 BA AD 00 66 0F AF DA 66 81 C3 91 5A 72 88 F6 F7 02 F8 B2 01 66 0F AC D3 01 0F B7 C6 0F A4 F2 10 66 F7 F3 03 D8 C1 E3 0F 80 CF 20 8B D6 8B C1 F7 F3 F9 13 D8 B2 01 0F AC D3 01 8B D6 8B C1 0F A4 F9 02 F7 F3 97 8B F0 0B F2 74 57 F7 F3 03 DF 8B F0 F7 E0 8B FA 8B C3 F7 E6 03 C0 13 D2 03 F8 83 D2 00 03 D6 03 D6 8A C3 F6 E0 02 C2 0C 01 2A C8 02 C9 83 DE 00 83 DB 00 B8 FF FF FF FF 0F AC F0 01 0F AC DE 01 0F AC C3 01 64 8B 3D E8 00 00 00 64 89 3D DC 00 00 00 64 8B 4F 08 64 FF 25 CC 00 00 00 3B FB 74 E3 03 DF EB C8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

hier gehts mit gleich weiter (konnte man nicht mehr posten, da zu lang).
Danke für die Hilfe,

FElix

Alt 05.12.2004, 18:51   #7
Lutz
 

Trusted zone entfernen - Standard

Trusted zone entfernen



Hallo,

versuchen wir es noch einmal mit einem anderen Tool!
Lade rem.zip herunter http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!).
Entpacke es im Verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem Verzeichnis ist!) und starte den Rechner im abgesicherten Modus.
Anschließend starte die Datei rem.bat. Starte den Rechner anschließend im normalen Modus neu.
Es sollte jetzt direkt unter C:\ eine Datei namens log.txt zu finden sein. Poste bitte den Inhalt hier.
Außerdem brauchen wir dann das aktuelle Log von HijackThis.

zusätzlich zur log.txt gibt es unter C:\ die Dateien bad.reg und bad.zip. Bitte diese Dateien zunächst nicht 'anpacken'.


Viel Erfolg!

Danke an raman für den Tipp!
Ohne ihn wäre ich an dieser Stelle ziemlich aufgeschmissen!


<Edit> Ich habe den Link geändert, da nur an der jetzigen Fundstelle gewährleistet ist, dass immer die aktuelle Version von rem.zip heruntergeladen wird. Die gestern bei mir geparkte Version steht ab sofort nicht mehr zur Verfügung! </Edit>
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Geändert von Lutz (06.12.2004 um 08:05 Uhr)

Alt 05.12.2004, 23:20   #8
Felix_U
Gast
 
Trusted zone entfernen - Standard

Trusted zone entfernen



Was ist das eigentlich für ein Virus, und was ist dessen Ziel?

hier ist das log-file:

Microsoft Windows XP [Version 5.1.2600]
C:\WINNT\system32
"Files found"
---------------------------------------------------------------------
slservc.exe
clfmon.exe
pxhping.exe
mqbckup.exe
dllhostxp.exe
net2.exe
winsrv32.dll
d3dxov.dll
msacmx.dll
hdr.dll

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"service.exe"=""
"msacmx.dll"=""
"d3dxov.dll"=""
"winsrv32.dll"=""
"ie4unit.exe"=""
"ipxroutex.exe"=""
"rdshost32.exe"=""
"rshe.exe"=""
"net2.exe"=""
"mqsvch.exe"=""
"dllhostxp.exe"=""
"extrac16.exe"=""
"mqbckup.exe"=""
"pxhping.exe"=""
"rdpnr.exe"=""
"slservc.exe"=""
"clfmon.exe"=""
"hdr.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"ie4unit.exe"=""
"ipxroutex.exe"=""
"service.exe"=""
"rdshost32.exe"=""
"rshe.exe"=""
"net2.exe"=""
"mqsvch.exe"=""
"dllhostxp.exe"=""
"extrac16.exe"=""
"mqbckup.exe"=""
"pxhping.exe"=""
"rdpnr.exe"=""
"slservc.exe"=""
"clfmon.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{A5366673-E8CA-11D3-9CD9-0090271D075B}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"dllhostxp.exe"=""
"pxhping.exe"=""
"service.exe"=""

-----------------------------------------------------------------

Done

Alt 05.12.2004, 23:24   #9
Felix_U
Gast
 
Trusted zone entfernen - Standard

Trusted zone entfernen



hier ist noch das HijackThis logfile:

kleine Frage: das Programm Winjam habe ich schon wieder deinstalliert und diesen eintrag hier:
file://D:\Programme\WinJam\ws.js
im safe mode gefixt und er kommt immer wieder. Was kann ich tun?
Danke im voraus,
Felix

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
D:\Programme\Mozilla\firefox.exe
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis-1.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\Programme\WinJam\ws.js
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F2D889-C80B-4282-98D9-449C8202D12F}: NameServer = 217.237.149.225 217.237.151.97

Alt 06.12.2004, 08:38   #10
Lutz
 

Trusted zone entfernen - Standard

Trusted zone entfernen



Hallo Felix,

fixe mit HijackThis noch die folgenden Einträge:
Zitat:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = file://D:\Programme\WinJam\ws.js
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
und überprüfe zur vorsicht noch einmal, ob die Dateien
Zitat:
D:\Programme\WinJam\ws.js,
C:\Windows\system32\dllhostxp.exe und
C:\Windows\system32\clfmon.exe
tatsächlich entfernt wurden. Wobei die beiden letzteren durch das Tool rem.bat zuverlässig gelöscht sein sollten!

Schicke mir bitte die Datei C:\bad.zip zur Kontrolle an meine Mailadresse badfiles@bul-online.de (Bitte diese Mailadresse nur für den Versand der bad.zip verwenden!)

Wenn wieder alles im grünen Bereich ist, kannst Du anschließend noch ein bisschen aufräumen. Die Dateien C:\bad.reg, C:\bad.zip und c:\log.txt kannst Du nun löschen. Außerdem sollten sich unter C:\windows\system32 folgende Dateien befinden, die ebenfalls gelöscht werden können:
  1. rem.bat vom 4.12.2004 (Größe 30KB) und
  2. zip.exe vom 21.12.1999 (Größe 124 KB)

Zitat:
Was ist das eigentlich für ein Virus, und was ist dessen Ziel?
Es handelt sich hier um keinen Virus im eigentlichen Sinne, sondern um einen Browser-Hijacker in Verbindung mit einem Trojaner (gern als Startpage-Trojaner bezeichnet).
Ich denke, dessen Ziel hast Du ziemlich genervt erleben 'dürfen'. Infizierte Rechner sollen bei jedem Start des Internet-Explorers auf bestimmte Seiten umgeleitet werden. Auf diesen Seiten werden die Hits (also die Zugriffe) gezählt und die dort vorhandene Werbung zahlt sich für den Betreiber der Seiten in barer Münze aus. Money makes the world ugly...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 07.12.2004, 16:13   #11
Felix_U
Gast
 
Trusted zone entfernen - Standard

Trusted zone entfernen



Hallo Lutz,

Die Datei bad.zip kann ich Dir nicht schicken, weil web.de behauptet, da wäre ein Virus drin.
Ausserdem wollte ich nochmal wegend er Winjam sache fragen:
Der Prozess kommt auch immer wieder. Was kann ich tun?

Danke jedenfalls für Deine Hilfe, die Trusted Zone habe Dein Programm erfolgreich gekillt.

Felix

Alt 07.12.2004, 17:52   #12
*Christian*
Gast
 
Trusted zone entfernen - Standard

Trusted zone entfernen



Versehe die Zip-Datei mit einem Passwort und versuche es erneut.
Teile das Passwort in der E-Mail mit.

Antwort

Themen zu Trusted zone entfernen
ad-aware, alarm, ander, antispyware, ausschalten, ellung, entferne, entfernen, erkenne, erkennen, erweitert, favoriten, fenster, hijack, hijackthis, miteinander, problem, sites, software, spybot, systemwiederherstellung, tauchen, trusted, verschiedene, xpclean, zone, zone alarm



Ähnliche Themen: Trusted zone entfernen


  1. Trusted Computing: Bundesregierung entwickelt Position weiter
    Nachrichten - 13.11.2015 (0)
  2. Free Games Zone toolbar entfernen
    Anleitungen, FAQs & Links - 10.08.2015 (2)
  3. Trusted Computing fürs Auto
    Nachrichten - 17.04.2015 (0)
  4. 31C3: Warnung vor Secure Boot und Trusted Computing
    Nachrichten - 29.12.2014 (0)
  5. Hohe CPU-Auslastung und Trusted Zone
    Plagegeister aller Art und deren Bekämpfung - 26.12.2014 (3)
  6. Trusted Web und TrustedShopper entfernen
    Anleitungen, FAQs & Links - 24.02.2014 (2)
  7. Rechte eingeschränkt, Fake Zertifikate,Trusted Installer GROOVEEX.DLL und Server auf dem Rechner eingerichtet
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  8. Trusted Shop Fake Mail mit Virus-PDF
    Log-Analyse und Auswertung - 26.02.2013 (3)
  9. Regierung formuliert Richtlinien für Trusted Computing in der Verwaltung
    Nachrichten - 19.11.2012 (0)
  10. Trusted Installer
    Alles rund um Windows - 26.03.2012 (17)
  11. 'http' protocol is in My Computer Zone, should be Internet Zone
    Log-Analyse und Auswertung - 26.08.2011 (17)
  12. URL Zone, url zone, spy.bebloh.A.5, browsy.A, crypr.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 12.12.2009 (3)
  13. zone lab pro
    Antiviren-, Firewall- und andere Schutzprogramme - 15.05.2005 (5)
  14. trusted zone eintrag
    Log-Analyse und Auswertung - 13.02.2005 (4)
  15. Kann Trusted Zone Eintrag nicht 'Fix checken'
    Log-Analyse und Auswertung - 06.12.2004 (16)
  16. Trusted Zone: http://*.63.219.181.7 -> help me please
    Plagegeister aller Art und deren Bekämpfung - 03.12.2004 (10)
  17. Trusted Computing 2004: Was vom Schlagwort übrig blieb
    Überwachung, Datenschutz und Spam - 06.07.2004 (0)

Zum Thema Trusted zone entfernen - Hallo miteinander! Ich habe nun seit geraumer Zeit ein Problem mit einer Trusted Zone, die ich nicht entfernen kann. Es tauchen auch ständig Fenster auf, ob ich nicht antispyware software - Trusted zone entfernen...
Archiv
Du betrachtest: Trusted zone entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.