Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.Agent: Home search assistent, Shopping wizard, only the best

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.07.2004, 21:33   #1
oli-
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Hallo,
nach mehrfachen Versuchen habe ich lästige Trojaner von meinem PC eliminiert.Trotz aktueller Virensoftware (MacAfee) werden diese Trojaner nicht erkannt. Aktuelles Betriebssystem ist W2K mit Servicepack 4, Browser ist der IExplorer 5.5

Merkmale und Auswirkungen:

1. unter Systemsteuerung-->Software stehen drei Programme, die sich nicht entfernen lassen:
- Home Search Assistent
- Shopping Wizard
- Search Extender

2. Die aktuelle Startseite und Standardseite im Internet-Explorer werden auf z.B. res://...dll/... umbenannt und sind auch nicht zu ändern.
Löscht man die betreffenden Registry-Einträge, sind sie kurz darauf wieder da:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049

3. Immer wieder erscheinen neue Pop-Up-Fenster mit Werbung, häufige Titelzeile: only the best

4. geöffnete Texteditor-Fenster (notepad.exe) werden minütlich geschlossen.

5. die Datei hosts im Ordner C:\WINNT\system32\drivers\etc wird minütlich gelöscht.

6. Unter Systemsteuerung-->Verwaltung-->Dienste gibt es einen Dienst namens Network Security Service oder Netzwerk Sicherheitsdienst. Unter "Eigenschaften" steht die entsprechende Datei, z.B. c:\winnt\netsm32.exe
Nach dem Beenden und Deaktivieren des Dienstes ist dieser trotzdem kurz darauf wieder gestartet.

Behebung des Problems:

1. den ominösen Dienst (Network Security Service) beenden, deaktivieren und die entsprechende exe-Datei unter C:\ WINNT löschen (oder zumindest umbenennen).

2. alle Dateien im Ordner C:\WINNT (ohne Unterverzeichnisse) und C:\WINNT\system32, die 9, 26, 32, 69 oder 89 KB groß sind und die Endung .exe, .dat oder .dll haben, zusammenpacken, z.B. mit winzip.
Da die zip-Datei max 1 MB groß sein darf, evtl. mehrere erzeugen. Diese zip-Archive können jetzt online unter http://www.kaspersky.com/de/scanforvirus
geprüft werden. Bei mir ergab diese Prüfung einen Befall von 32 (!) Dateien. Hauptsächlich wurde der Trojaner Win32.Agent.an gefunden, teilweise auch Win32.Agent.aq und Win32.Winshow.u. Auffällig viele Dateien entsprechen dem Muster <5 Buchstaben>.exe bzw. <5 Buchstaben>32.exe und sind überwiegend 9 und 26 KB groß. Die infizierten Dateien sollten gelöscht (oder zumindest umbenannt, z.B. mit der Endung .back, und dann verschoben werden).

trojaner.zip Archive: ZIP
trojaner.zip/netef32.exe - packed with UPX
trojaner.zip/netef32.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/atlii.exe - packed with UPX
trojaner.zip/mfcqc.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/javaiy32.dll Infiziert: TrojanDownloader.Win32.WinShow.ag
~9299.16177/cuagb.dll.b/data0001.html Infiziert: TrojanDownloader.Win32.Winshow.u


3. Anschließend sollte die registry bereinigt werden. Nützlich ist dafür HijackThis.

Hier ein Auszug aus meinem HijackThis-Log. Verdächtige Einträge sind rot markiert.
----------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 12:12:59, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\apidc.exe
C:\WINNT\mfcqc.exe
C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049
O2 - BHO: (no name) - {21EAC97B-F474-7E96-0FC5-B2880E463177} - C:\WINNT\system32\sysmd.dll
O4 - HKLM\..\Run: [apidc.exe] C:\WINNT\apidc.exe
O4 - HKLM\..\RunOnce: [mfcqc.exe] C:\WINNT\mfcqc.exe
O4 - HKLM\..\RunOnce: [atlii.exe] C:\WINNT\atlii.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http ://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-------------------------------------------------------------

4. Die Software-Einträge unter Systemsteuerung-->Software lassen sich nun z.B. mit Advanced Uninstaller Pro Vers 6 entfernen (Option forced).

5. Ein nun zu empfehlendes Scannen der Festplatten mit den Progammen Spybot-Search &Destroy 1.3 und Ad-Aware 6 Personal deckt noch evtl. weitere infizierte Dateien und Einträge auf, die auch mit diesen Programmen entfernt werden können.

6. Abschließend den Browser nochmal aufrufen und Startseite kontrollieren. Weiterhin notepad starten und warten, ob es nicht mehr automatisch geschlossen wird.

Jetzt ist wieder alles ok!

Viel Erfolg!
Oli-


Alt 01.07.2004, 21:41   #2
*Christian*
Gast
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Danke für die Mühe, die du dir gemacht hast.
__________________


Alt 01.07.2004, 21:58   #3
Lutz
 

Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Hallo Oli,

Super Einstiegs-Posting !

Für XP-User sei noch angemerkt, dass der Standard-Pfad anstatt C:\WINNT\system32 -> C:\Windows\system32 lautet. Ansonsten ist die Vorgehensweise identisch.
__________________
__________________

Alt 28.07.2004, 13:42   #4
Smiraculix
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Hallo,

habe genau dieses Problem, habe es auch genau auf diese Weise fixen wollen.
ABER - Ich finde diesen ominösen Prozess nicht und denke das es daran liegt.
Immer wenn ich alles gelöscht und gefixt habe (so wie beschrieben im abgesicherten Modus) kommt es nach dem Neustart sofort wieder zu einer Infektion! Ich öffne den IE und das Teil wird sofort wieder nachgeladen und die drei Programme sind wieder in der Softwareumgebung, obwohl eScan und Highjakthis vorher gesagt haben alles ist sauber!

Jemand noch ne Idee ??

WinXP Prof (alle Updates und Servicepacks) und aktuelller IE

Danke bis denne
Smiraculix

Alt 30.07.2004, 06:26   #5
Jigga
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Hi zusammen
ich habe mal mein pc gescannt mit HijackThis aber ich bin noch son richtiger anfänger. ich wollte mal fragen was ich vom scan löschen kann.
hier schreib ich mal mein log:

Logfile of HijackThis v1.98.0
Scan saved at 07:18:56, on 30.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\ANTIVIR\AVGUARD.EXE
D:\ANTIVIR\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Dokumente und Einstellungen\Jigga\Eigene Dateien\stinger.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Jigga\Eigene Dateien\HiJackThis_Last.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecu...th.srf?lc=1031
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: IEHelper - {21a285f7-b9d5-4d87-88cf-114e164c860e} - C:\WINDOWS\System32\Q102831625.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: (no name) - {C4CD0991-7C4E-49F5-ADE9-4D221869B77C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...c048e710a78631

Danke für die antworten.
Ciao Jigga


Alt 30.07.2004, 15:17   #6
*Christian*
Gast
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Ich denke, dass du dies fixen kannst:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsec...uth.srf?lc=1031
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: IEHelper - {21a285f7-b9d5-4d87-88cf-114e164c860e} - C:\WINDOWS\System32\Q102831625.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: (no name) - {C4CD0991-7C4E-49F5-ADE9-4D221869B77C} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...048e 710a78631

Danach die Datei C:\WINDOWS\System32\Q102831625.dll löschen!

Alt 11.08.2004, 13:19   #7
Mitch
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



hallo,
ich habe auch das problem mit den installierten programmen home search etc..
wenn ich nun wie oben beschrieben vorgehe und bei Network Security Service - Eigenschaften nach der entsprechenden datei suche wird diese dort zwar angegeben aber sie lässt sich auf meinem pc nicht finden.
zudem ist bei dem scan unter http://www.kaspersky.com/de/scanforvirus keine datei infiziert, bei allen steht OK außer einmal steht system32.zip/exe2bin.exe - packed with ExePack.
außerdem kenne ich mich wie Jigga in solchen dingen auch nicht besonders aus und weiß auch nicht was ich bei Hijack This fixen kann und was nicht.

LOG:
Logfile of HijackThis v1.97.7
Scan saved at 14:05:24, on 11.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\apizq32.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\explorer.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\mfcmx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Michael Münch\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AF80DA50-F550-DE46-10B3-C8F6CC729CB7} - C:\WINDOWS\javajn32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [apizq32.exe] C:\WINDOWS\apizq32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\RunOnce: [mfcmx.exe] C:\WINDOWS\mfcmx.exe
O4 - HKLM\..\RunOnce: [eixsl] C:\WINDOWS\earnmoney.ico:eixsl
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {359F7E49-1EA0-4671-92E9-61E32FE25C5E} - http://69.0.137.190/version3/Netster.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - file://C:\IberoDialerHTML.cab
O16 - DPF: {788A7678-38D7-4EEC-9D20-67A86D21A7FD} (Webupdate Control) - http://213.131.225.4/esel2/webupdate.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...714.1112037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/internet-...istIOcrack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5EB4836-839A-4DFC-8934-E036FBED2F82}: NameServer = 205.188.146.146

Wäre echt dankbar wenn mir jemand weiterhelfen könnte.

Alt 11.08.2004, 13:21   #8
*Christian*
Gast
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Lass mal eScan im abgesicherten Modus drüberlaufen: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues Log mit der aktuellen Version von HijackThis.

Dies kannst du schonmal fixen:
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/internet...DistIOcrack.CAB
TrojanDownloader!

Alt 11.08.2004, 15:22   #9
Mitch
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



hab escan im abgesicherten modus laufen lassen. hat 49 dateien gefunden und 43 gelöscht.

hier ist nun der neue log:


ogfile of HijackThis v1.98.2
Scan saved at 16:22:27, on 11.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\apizq32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\earnmoney.ico:eixsl
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Michael Münch\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [apizq32.exe] C:\WINDOWS\apizq32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\MICHAE~1\LOK

Alt 11.08.2004, 15:41   #10
*Christian*
Gast
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Zunächst diese Datei C:\WINDOWS\apizq32.exe an partytime-germany.ice@web.de schicken!
Es müsste sich um unbekannte Malware handeln.

Danach dies fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R3 - Default URLSearchHook is missing

Bitte vergess nicht die Datei an die oben genannte Adresse mit Angabe dieses Thread (Link) zu schicken.

Bitte unbedingt www.windowsupdate.com besuchen und alle Patches und Updates installieren.

Schutz vor soetwas: www.firefox-browser.de ist schnell, sicher und kostenlos.

Alt 17.08.2004, 20:36   #11
pimanka
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Hallo,

wir haben uns heute auch den "home search"- Hijack iengefangen...nun leider haben wir alles versucht: die neuen MS-Updates gezogen, escan drüber laufen lassen und mehrmals mit HijackThis.exe gescannt...leider kommt das immer wieder. Kann uns einer helfen??
Hier der Ausschnitt aus HijackThis:


Danke Bianca



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\COMPAQ\ACLIENT\ACLIENT.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\system32\hfp.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\ipcj32.exe
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe
C:\WINDOWS\PFCTOC.DLLfeie
C:\Dokumente und Einstellungen\Timo Lindenberger\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {DE10C0C2-6E08-CABB-135A-E38BB36A3958} - C:\WINDOWS\system32\apixg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ipcj32.exe] C:\WINDOWS\ipcj32.exe
O4 - HKLM\..\RunOnce: [ofeie] C:\WINDOWS\PFCTOC.DLLfeie
O4 - HKLM\..\RunOnce: [pwytf] C:\WINDOWS\msxmidi.exewytf
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &MST Search - res://C:\PROGRA~1\DHTOOL~1\DHBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Timo Lindenberger\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx

Alt 17.08.2004, 21:16   #12
*Christian*
Gast
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Lass mal im abgesicherten Modus eScan scannen: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues Log von HijackThis.

Alt 18.08.2004, 10:13   #13
pimanka
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Hallo,

habe im abgesicherten Modus escan drüber laufen lassen, ist aber immer noch da. Weiß nicht was ich noch machen soll.

Protokoll hijack:

unning processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\COMPAQ\ACLIENT\ACLIENT.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\hfp.exe
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\ipcj32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\msxmidi.exewytf
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Timo Lindenberger\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {DE10C0C2-6E08-CABB-135A-E38BB36A3958} - C:\WINDOWS\system32\apixg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ipcj32.exe] C:\WINDOWS\ipcj32.exe
O4 - HKLM\..\RunOnce: [pwytf] C:\WINDOWS\msxmidi.exewytf
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &MST Search - res://C:\PROGRA~1\DHTOOL~1\DHBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Timo Lindenberger\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3A0A6B9-9A2E-4861-8901-E1ADE0779D7C}: NameServer = 62.27.27.62 62.27.53.66

Alt 18.08.2004, 10:25   #14
mmk
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Die folgend genannten Dateien bei Kaspersky prüfen und Ergebnisse hier posten:
http://www.kaspersky.com/de/scanforvirus

C:\WINDOWS\system32\hfp.exe
C:\WINDOWS\ipcj32.exe
C:\WINDOWS\msxmidi.exe
C:\WINDOWS\ebnxu.dll
C:\WINDOWS\system32\apixg.dll



Alle IE- und Windows Explorer-Fenster schließen, dann fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {DE10C0C2-6E08-CABB-135A-E38BB36A3958} - C:\WINDOWS\system32\apixg.dll
O4 - HKLM\..\Run: [ipcj32.exe] C:\WINDOWS\ipcj32.exe
O4 - HKLM\..\RunOnce: [pwytf] C:\WINDOWS\msxmidi.exe:pwytf
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Timo Lindenberger\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx
__________________
Grüße, Markus

Alt 18.08.2004, 20:06   #15
pimanka
 
Win32.Agent: Home search assistent, Shopping wizard, only the best - Standard

Win32.Agent: Home search assistent, Shopping wizard, only the best



Hallo, 2 der genannten Dateien waren befallen und wurden gelöscht, trotz mehrfachen Versuchen Highjack nach Anweisung bekomme ich den Mist nicht weg. Logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\COMPAQ\ACLIENT\ACLIENT.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hfp.exe
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\javanw.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\Explor.exe:bgzlm
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Timo Lindenberger\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lzpyu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lzpyu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lzpyu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lzpyu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lzpyu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lzpyu.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lzpyu.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8F228210-2541-0E0A-BDA9-8E58949C0AA0} - C:\WINDOWS\system32\iezb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [javanw.exe] C:\WINDOWS\system32\javanw.exe
O4 - HKLM\..\RunOnce: [bgzlm] C:\WINDOWS\Explor.exe:bgzlm
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &MST Search - res://C:\PROGRA~1\DHTOOL~1\DHBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3A0A6B9-9A2E-4861-8901-E1ADE0779D7C}: NameServer = 62.27.27.62 62.27.53.66

Was soll ich nich machen, bitte kann mir jemand helfen?

Bianca

Antwort

Themen zu Win32.Agent: Home search assistent, Shopping wizard, only the best
ad-aware, aufrufe, behebung, bho, browser, desktop, drivers, einstellungen, entfernen, exe-datei, festplatte, hijack, hijackthis, home, immer wieder, infizierte, infizierte dateien, internet explorer, logfile, logon.exe, löschen, mehrere, meinem, netzwerk, notepad.exe, object, ordner, programme, security, shockwave, software, starten, trojaner, träge, unter, virensoftware, werbung, windows, winlogon.exe, zip-datei



Ähnliche Themen: Win32.Agent: Home search assistent, Shopping wizard, only the best


  1. Home search Assistent and more
    Log-Analyse und Auswertung - 11.03.2006 (16)
  2. Home search assistent und andere
    Plagegeister aller Art und deren Bekämpfung - 17.05.2005 (6)
  3. Home Search Assistent - Search Extender - Shopping Wizard
    Log-Analyse und Auswertung - 06.05.2005 (1)
  4. Shopping Wizard, Search Extender und Home Search Assistant
    Plagegeister aller Art und deren Bekämpfung - 24.02.2005 (3)
  5. Win32.Agent Home search assistent
    Plagegeister aller Art und deren Bekämpfung - 19.02.2005 (2)
  6. search assistant shopping wizard usw
    Log-Analyse und Auswertung - 25.01.2005 (6)
  7. Eingefangen: Home Search, Shopping Wizzard, Search Extender
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (5)
  8. Home Search Assistent: der nächste
    Log-Analyse und Auswertung - 14.01.2005 (4)
  9. Home search assistent, Search extender & Trojaner
    Log-Analyse und Auswertung - 13.01.2005 (2)
  10. Home search assistent, Search Extender
    Log-Analyse und Auswertung - 13.01.2005 (1)
  11. Home search assistent, search extender, shopping wizard
    Plagegeister aller Art und deren Bekämpfung - 04.01.2005 (21)
  12. Win32.Agent: Home search assistent, Shopping wizard, only the best
    Log-Analyse und Auswertung - 29.12.2004 (14)
  13. Home Search Search Extender Shopping Wizard
    Log-Analyse und Auswertung - 10.12.2004 (1)
  14. Home Search, Search Extender und Shopping Wizard
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (4)
  15. Home Search, Search Extender und Shopping Wizard
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (3)
  16. Home Search Assistent, Shopping Wizard, Search Extender,
    Plagegeister aller Art und deren Bekämpfung - 23.10.2004 (22)
  17. Home Search Assistan, Shopping Wizard, Search Extender
    Log-Analyse und Auswertung - 18.10.2004 (5)

Zum Thema Win32.Agent: Home search assistent, Shopping wizard, only the best - Hallo, nach mehrfachen Versuchen habe ich lästige Trojaner von meinem PC eliminiert.Trotz aktueller Virensoftware (MacAfee) werden diese Trojaner nicht erkannt. Aktuelles Betriebssystem ist W2K mit Servicepack 4, Browser ist der - Win32.Agent: Home search assistent, Shopping wizard, only the best...
Archiv
Du betrachtest: Win32.Agent: Home search assistent, Shopping wizard, only the best auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.