Win32.Agent: Home search assistent, Shopping wizard, only the best

oli-

Hallo,
nach mehrfachen Versuchen habe ich lästige Trojaner von meinem PC eliminiert.Trotz aktueller Virensoftware (MacAfee) werden diese Trojaner nicht erkannt. Aktuelles Betriebssystem ist W2K mit Servicepack 4, Browser ist der IExplorer 5.5

Merkmale und Auswirkungen:

1. unter Systemsteuerung-->Software stehen drei Programme, die sich nicht entfernen lassen:
- Home Search Assistent
- Shopping Wizard
- Search Extender

2. Die aktuelle Startseite und Standardseite im Internet-Explorer werden auf z.B. res://...dll/... umbenannt und sind auch nicht zu ändern.
Löscht man die betreffenden Registry-Einträge, sind sie kurz darauf wieder da:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049

3. Immer wieder erscheinen neue Pop-Up-Fenster mit Werbung, häufige Titelzeile: only the best

4. geöffnete Texteditor-Fenster (notepad.exe) werden minütlich geschlossen.

5. die Datei hosts im Ordner C:\WINNT\system32\drivers\etc wird minütlich gelöscht.

6. Unter Systemsteuerung-->Verwaltung-->Dienste gibt es einen Dienst namens Network Security Service oder Netzwerk Sicherheitsdienst. Unter "Eigenschaften" steht die entsprechende Datei, z.B. c:\winnt\netsm32.exe
Nach dem Beenden und Deaktivieren des Dienstes ist dieser trotzdem kurz darauf wieder gestartet.

Behebung des Problems:

1. den ominösen Dienst (Network Security Service) beenden, deaktivieren und die entsprechende exe-Datei unter C:\ WINNT löschen (oder zumindest umbenennen).

2. alle Dateien im Ordner C:\WINNT (ohne Unterverzeichnisse) und C:\WINNT\system32, die 9, 26, 32, 69 oder 89 KB groß sind und die Endung .exe, .dat oder .dll haben, zusammenpacken, z.B. mit winzip.
Da die zip-Datei max 1 MB groß sein darf, evtl. mehrere erzeugen. Diese zip-Archive können jetzt online unter http://www.kaspersky.com/de/scanforvirus
geprüft werden. Bei mir ergab diese Prüfung einen Befall von 32 (!) Dateien. Hauptsächlich wurde der Trojaner Win32.Agent.an gefunden, teilweise auch Win32.Agent.aq und Win32.Winshow.u. Auffällig viele Dateien entsprechen dem Muster <5 Buchstaben>.exe bzw. <5 Buchstaben>32.exe und sind überwiegend 9 und 26 KB groß. Die infizierten Dateien sollten gelöscht (oder zumindest umbenannt, z.B. mit der Endung .back, und dann verschoben werden).

trojaner.zip Archive: ZIP
trojaner.zip/netef32.exe - packed with UPX
trojaner.zip/netef32.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/atlii.exe - packed with UPX
trojaner.zip/mfcqc.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/javaiy32.dll Infiziert: TrojanDownloader.Win32.WinShow.ag
~9299.16177/cuagb.dll.b/data0001.html Infiziert: TrojanDownloader.Win32.Winshow.u

3. Anschließend sollte die registry bereinigt werden. Nützlich ist dafür HijackThis.

Hier ein Auszug aus meinem HijackThis-Log. Verdächtige Einträge sind rot markiert.
----------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 12:12:59, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\apidc.exe
C:\WINNT\mfcqc.exe
C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049
O2 - BHO: (no name) - {21EAC97B-F474-7E96-0FC5-B2880E463177} - C:\WINNT\system32\sysmd.dll
O4 - HKLM\..\Run: [apidc.exe] C:\WINNT\apidc.exe
O4 - HKLM\..\RunOnce: [mfcqc.exe] C:\WINNT\mfcqc.exe
O4 - HKLM\..\RunOnce: [atlii.exe] C:\WINNT\atlii.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http ://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-------------------------------------------------------------

4. Die Software-Einträge unter Systemsteuerung-->Software lassen sich nun z.B. mit Advanced Uninstaller Pro Vers 6 entfernen (Option forced).

5. Ein nun zu empfehlendes Scannen der Festplatten mit den Progammen Spybot-Search &Destroy 1.3 und Ad-Aware 6 Personal deckt noch evtl. weitere infizierte Dateien und Einträge auf, die auch mit diesen Programmen entfernt werden können.

6. Abschließend den Browser nochmal aufrufen und Startseite kontrollieren. Weiterhin notepad starten und warten, ob es nicht mehr automatisch geschlossen wird.

Jetzt ist wieder alles ok!

Viel Erfolg!
Oli-