Hallo an alle,
hab' mir letzte Woche ein paar nervige Trojaner eingefangen, von denen ich einen Teil zum Glück schon losgeworden bin, aber das "nette" Trio Home Search Assistent, Search Extender und Shopping Wizard werde ich einfach nicht los. Kurzzeitig waren sie schon mal aus der Software-Liste raus, aber nach jedem Internet-Besuch sind sie wieder da, meine drei Probleme. Ad-aware und Spybot erkennen sie jedesmal, ich lösche sie, aber beim nächsten Mal sind sie wieder drauf. CWShredder sagt, mein System sei sauber, das kann aber nicht stimmen. Hab' mein aktuelles HijackThis-Logfile angehängt und wäre sehr froh, wenn mir jemand helfen könnte. Ein paar dieser Einträge kommen mir ziemlich suspekt vor, aber ich will mal lieber nicht wild drauflos löschen, soooo viel Ahnung hab' ich dann doch nicht. Vielen Dank schonmal!

Logfile of HijackThis v1.98.2
Scan saved at 13:10:59, on 22.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Windows Update.log:xtzrk
C:\WINDOWS\netop.exe
C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Temp\Temporäres Verzeichnis 10 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vipup.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost;
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {378AE8EE-0426-C141-F3C8-F6BD25766BFA} - C:\WINDOWS\iegh.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [netop.exe] C:\WINDOWS\netop.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sbbd] C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe
O4 - HKCU\..\Run: [Bpwpeyak] C:\WINDOWS\System32\?hkdsk.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.megware.de
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{31F0A51D-D08E-443C-B9E5-DA7C303F05C2}: NameServer = 139.18.25.3
O19 - User stylesheet: (file missing)

Scanne mal im abgesicherten Modus mit eScan: http://www.trojaner-board.de/showthread.php?t=6083
Anschließend erstelle und poste ein neues HijackThis-Log.

OK, ist erledigt ...
hier mein neues HijackThis-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 22:02:40, on 22.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Windows Update.log:xtzrk
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Temp\Temporäres Verzeichnis 16 für hijackthis1982.zip\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vipup.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost;
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1F9F0150-0C22-FA76-7428-8EB8540D4AA4} - C:\WINDOWS\system32\ieez32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sbbd] C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.megware.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{31F0A51D-D08E-443C-B9E5-DA7C303F05C2}: NameServer = 139.18.25.3

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist nach wie vor nicht gepatcht, damit erfüllst alle Anforderungen die Malware braucht, um dein System zu kompromittieren.

Hast du wirklich im abgesicherten Modus gescannt?
Normalerweise müsste eScan den TrojanDownloader.Win32.Agent.bq von der Platte gefegt haben!

ja, ich war ziemlich nachlässig mit dem Updaten ... dafür hab' ich jetzt auch den Salat (obwohl ich kürzlich was Aktuelles bei MS runtergezogen habe, aber der IE muss noch aktualisiert werden. Ist es ratsam, das jetzt zu machen, wo mir diese suspekten Teile auf dem Rechner rumgeistern?).
Zumindest bin ich mir relativ sicher, den abgesicherten Modus genutzt zu haben, also beim Hochfahren F8 gedrückt und dann eScan ausgeführt, wie es hier in dem anderen Thread beschrieben war. Der Scan hat mir auch Win32Agent angezeigt und die entsprechenden Dateien gelöscht. Danach hab' ich das HijackThis-Logfile erstellt.
ich hab' mir soeben mal das Log von dem gestrigen eScan genauer zu Gemüte geführt und, wie gesagt, den schon erwähnten Win32.Agent (in den Varianten .an, .bq, .bc und .cd - keine Ahnung, ob das wichtig ist) gefunden. Dann waren da noch einige Einträge für Backdoor.Rbot.gen - und alles, was ich von diesen "Backdoor"-Teilen hier im Forum lesen konnte, klang nicht so nett.
Ich hoffe, ich hab' alles richtig gemacht, ansonsten bitte ich um weitere Tipps ... Danke Euch erstmal für die Mühe!
Grüße,
Kermit79

Sende diese Dateien:
C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe
C:\WINDOWS\system32\ieez32.dll
an partytime-germany.ice@web.de
Es handelt sich wahrscheinlich hier um neue Malware, die noch nicht erkannt wird.

Anschließend lösche die Dateien im abgesicherten Modus.

Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vipup.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1F9F0150-0C22-FA76-7428-8EB8540D4AA4} - C:\WINDOWS\system32\ieez32.dll
O4 - HKCU\..\Run: [Sbbd] C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe

Schützen kannst du dich z. B. mit einem anderen Browser: www.firefox-browser.de ist sicher und kostenlos.
Siehe auch:
www.mozilla.kairo.at
www.opera.com

Hallo ich habe schon seit längeren Home Search und habe garnicht gemerkt das das ein Trojaner ist. Jetzt kriege ich es nicht mehr weg! Ich habe Ad-Aware Norton Antivirus und noch so eins von Kaspersky.
Immer wenn ich die ausführe ist das weg aber bei nächsten internetzugriff ist das wieder da. Wie kriege ich das weg? Bitte um Hilfe.
Bond999

----------------------------------------------------------
Schaut mal vorbei:
www.Bond999.de.vu

@Bond999
Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/