Win32.Agent: Home search assistent, Shopping wizard, only the best

cacatoa · 14.12.2004, 19:58

Hallo, Andy,
von Virenscannern, Systemupdaten und überlegtem Surfverhalten hälts Du nicht allzuviel, oder

Folgendes erstmal mit HJT fixen (nach dem scan Häkchen bei den folgenden Punkten machen und auf "fix checked" clicken):
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Dann folgende Dateien manuell löschen:
C:\WINDOWS\wvggc.dll/sp.html#28129
C:\WINDOWS\twaintec.dll
c:\programme\180solutions\sais.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
C:\WINDOWS\msopt.dll

Dann neu booten und neues Logfile erstellen und posten; es wird noch nicht alles weg sein, aber vieles für den Anfang. Mich wundert es eh, daß du nicht mehr drauf hast...
cacatoa

andyk. · 14.12.2004, 21:36

hi hab alles soweit gemacht, aber den ordner 180solutions und bulls eye gabs bei mir nicht und twaintec ist nicht löschbar. schreibt bei mir immer ungültiges handle. neues log:
Logfile of HijackThis v1.98.2
Scan saved at 21:30:00, on 14.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\atlov.exe
C:\Programme\PTBSync1\PTBSync.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\appck.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\rvhvyoln.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PTBSync1\PTBSync.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\d?dplay.exe
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\crrm.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\ShutDownPro\ShutDownPro.EXE
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\stmjl.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\stmjl.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\stmjl.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\stmjl.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\stmjl.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\stmjl.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\stmjl.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/f...D=0407&Ext=pdf
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5175B4A8-F350-1A51-E0B4-A9973C9837CC} - C:\WINDOWS\apphl32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [appck.exe] C:\WINDOWS\appck.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [whylxstmnjwoc] C:\WINDOWS\System32\rvhvyoln.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync1\PTBSync.exe /Start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [UserSystem] C:\Windows\iexplorer.exe
O4 - HKCU\..\Run: [Petqqar] C:\WINDOWS\System32\d?dplay.exe
O4 - HKCU\..\Run: [Ocoo] C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\crrm.exe
O4 - Startup: ShutDownPro.lnk = C:\Programme\ShutDownPro\ShutDownPro.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
Danke. andy

cacatoa · 14.12.2004, 21:44

Tja, jetzt wird einiges klarer:
Du hast in jedem Fall den da drauf. Dein System ist kompromittiert und nur Neuaufsetzen schafft hier Abhilfe.
Vorher allerdings sollstest Du die folgenden Dateien hier mal online scannen lassen; das Ergebnis würde mich interessieren und wird Dir die Augen öffnen...
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\atlov.exe
C:\WINDOWS\appck.exe
C:\WINDOWS\System32\rvhvyoln.exe
C:\WINDOWS\System32\d?dplay.exe
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\crrm.exe
C:\WINDOWS\apphl32.dll
C:\Windows\iexplorer.exe --->> das ist der Backdoortrojaner von oben.

andyk. · 15.12.2004, 22:08

hi, hab glaub ich die hijacker runter. hier das ergebnis von dem test. aber die atlov.exe, appck.exe, rvhvyoln.exe, iexplorer.exe gabs bei mir nicht.,

File: Neuer Ordner.zip
Status: INFECTED/MALWARE
Packers detected: Analyzing...

AntiVir TR/Dldr.Agent.AP.1 (0.19 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Downloader.Agent.BC (0.54 seconds taken)
ClamAV Trojan.Downloader.Agent.AC (0.36 seconds taken)
Dr.Web Trojan.DownLoader.1101, not a virus Adware.ClickSpring (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.14 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bc, not-a-virus:AdWare.PurityScan.w (0.71 seconds taken)
mks_vir No viruses found (0.69 seconds taken)
NOD32 No viruses found (1.93 seconds taken)
Norman Virus Control No viruses found (7.74 seconds taken)

Statistics
Last piece of malware found was Trojan.Klacc.B in autoclk.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.15 seconds
Avast X 1.51 seconds
BitDefender X 0.34 seconds
ClamAV Trojan.Klacc-1 0.31 seconds
Dr.Web X 0.49 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus X 0.61 seconds
mks_vir Trojan.Klacc.B 0.20 seconds
NOD32 X 0.39 seconds
Norman Virus Control X 1.47 seconds

hier noch einmal ein neues log:
Logfile of HijackThis v1.98.2
Scan saved at 22:06:26, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\PTBSync1\PTBSync.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\atlis.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PTBSync1\PTBSync.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\crrm.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\ShutDownPro\ShutDownPro.EXE
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\explorer.exe
E:\autostart.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe
C:\WINDOWS\system32\iejl.exe
C:\WINDOWS\system32\msxa32.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cefsa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cefsa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cefsa.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wvggc.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/f...D=0407&Ext=pdf
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10F0CAB6-9AE9-16D3-B085-4E1F259941CA} - C:\WINDOWS\javahu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync1\PTBSync.exe /Start
O4 - HKLM\..\Run: [winfk.exe] C:\WINDOWS\system32\winfk.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ntcp32.exe] C:\WINDOWS\system32\ntcp32.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [msxa32.exe] C:\WINDOWS\system32\msxa32.exe
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{7F5E2~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{7F5E2~1\reboot.ini -l0x7
O4 - HKLM\..\RunOnce: [iejl.exe] C:\WINDOWS\system32\iejl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Petqqar] C:\WINDOWS\System32\d?dplay.exe
O4 - HKCU\..\Run: [Ocoo] C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\crrm.exe
O4 - Startup: ShutDownPro.lnk = C:\Programme\ShutDownPro\ShutDownPro.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{582A520C-7304-443D-B206-B7DC8C539892}: NameServer = 205.188.146.146

würde es sonst vielleicht reichen, die viren normal runter zu schmeißen und das system nicht neu aufzusetzen???
Danke andy

cacatoa · 16.12.2004, 08:27

Natürlich gibt´s die Dateien bei Dir; die ein oder andere heißt mittlerweile wieder anders. Damit Du sie siehst, folgendes machen: Linke Maustaste Arbeisplatz, Extras, Ordneroptionen, Ansicht, hier: Häkchen weg bei "geschützte Systemdateien ausblenden" und Häkchen machen bei "alle DAteien und Ordner anzeigen".
Um das Neuaufsetzen wirst Du m.E. nicht herumkommen.
Prüfe:
C:\WINDOWS\system32\atlis.exe
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\crrm.exe
C:\WINDOWS\system32\iejl.exe
C:\WINDOWS\system32\msxa32.exe
C:\WINDOWS\system32\winfk.exe
C:\WINDOWS\system32\ntcp32.exe
C:\WINDOWS\System32\d?dplay.exe
cacatoa

Win32.Agent: Home search assistent, Shopping wizard, only the best

Plagegeister aller Art und deren Bekämpfung: Win32.Agent: Home search assistent, Shopping wizard, only the best