</font><blockquote>Zitat:</font><hr />Original erstellt von design-willy:
im Windows\system32 ordner kann ich die syswb32 finden eine winet.dll exestiert nicht (oder nicht mehr) es gibt eine wininet.dll</font>[/QUOTE]wininet.dll ist eine Datei, die im Originalzustand zu Windows gehört. Aber natürlich kann diese Datei theoretisch auch (mittlerweile) infiziert sein. Halte ich aber im Moment für eher unwarscheinlich. Aber Du kannst sie ja trotzdem mal bei Kaspersky überprüfen.


</font><blockquote>Zitat:</font><hr />im windows ordner gibt es unzählige viele kleine Programme alle mit 5 oder 6 zufälligen Buchstabenkombinationen (erstellungsdatum mai bzw. Juni 2004) von ca. 9 bis 90 kB Grösse.
z.B. bxhyl, cqgqzz usw. oder n_akgxfu, n_vvotun usw. bei google bekomme ich auf die keine Suchergebnisse??</font>[/QUOTE]Was haben diese Dateien den für Endungen? Stehen in den Dateigenschaften nähere Informationen?

Gruß,
Lutz

@ Hallo Lutz,

ich habe alle diese Anwendungen bei Kaspersky online prüfen lassen und er hat mir ca. 20 Treffer angezeigt.
Es handelt sich dabei jeweils um Trojan Downloader win32.a oder z oder ai
Ich habe mir ein Removal-Programm von kaspersky gezogen und die neuerste Version (16.06.04) über den Rechner laufen lassen (öffnet beim scan ein Dos-fenster). Der scan hat die vorher beim onlinescan als "verseucht" angezeigten Programme nicht gefunden.
Soll ich die Anwendungen .dat Dateien löschen???

Zur Zeit habe ich wieder meine normale Startseite.
Nachdem ich die Interneteinstellung nach Anweisung auf ziemlich "streng" eingestellt habe bleibt diese anscheinend auch (mal sehen).
Dürfte aber das eigentliche Problem Trojaner nicht lösen?

Hallo Willy,

mach doch bitte mal einen Neustart des Rechners, wenn nicht erst kürzlich passiert, starte den Internet-Explorer und erstelle dann ein neues Log mit HijackThis.
Ich hab ein bisserl den Überblick verloren... [img]graemlins/crazy.gif[/img]

Hallo Lutz,

ich habe meinen rechner zwischenzeitlich min 10 neugestartet und bisher bleibt die normale Startseite.
Die befallenen Anwendungen unter windows gibt es natürlich immer noch!
aLogfile of HijackThis v1.97.7
Scan saved at 19:02:23, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

ktueller log file

Im Moment sieht das Log sauber aus, aber Du hast Recht, eine endgültige Lösung ist das sicherlich nicht...

Geh mal in Systemsteuerung/Verwaltung/Dienste und schau ob es dort einen Dienst namens "Network Security Service" oder so ähnlich gibt. Wenn ja, mach einen Doppelklick auf den Dienst und schau was unter "Pfad zur exe-Datei" steht. Diese Pfad teil ggf. mit.

So langsam glaube ich kommen wir in Richtung einer Lösung.
Der HiJacker besteht aus 4 Teilen
2 dll's + 2 exe'en

Leider benennen die sich bei jedem Start um, so ist's ein bißchen schwierig.
Die eine DLL steht unter R0
Die 2.te DLL steht unter O2 BHO
Die eine exe steht unter O4
Die 2.te exe trägt sich als Dienst ein . Die sieht man nur in den Diensten.
Was wir jetzt noch herausfinden müssen ist, wie die Dateien aktuell bei Dir heißen.

Siehe auch hier: http://board.protecus.de/showtopic.p...2144b800f91de6

Bei einem Scan mit eScan bitte folgende Optionen auswählen:



Wenn Du nicht alle Einstellungen aktiv hattest, bitte mach noch mal einen neuen Scan. Auch wenn es wieder lange dauert. Der sollte das gleiche finden, wie ein OnlineScan bei Kaspersky.

Hallo Lutz,

vielen Dank erstmal für Deine Mühe.
Ich habe den Dienst gefunden und deaktiviert.
Es war ein Pfad eingetragen auf
"C:\WINDOWS\addmq32.exe" /s

soll ich den Pfad und die datei unter windows löschen?
Ich mache "schnell" (ha ha 60 Minuten) einen e-scan und poste das Ergebnis.
Bin zwischenzeitlich mit einem anderen PC online.
Gruss Willy

</font><blockquote>Zitat:</font><hr />Ich habe den Dienst gefunden und deaktiviert.
Es war ein Pfad eingetragen auf
"C:\WINDOWS\addmq32.exe" /s

soll ich den Pfad und die datei unter windows löschen?
</font>[/QUOTE]Offensichtlich sind wir auf dem richtigen Weg. [img]smile.gif[/img]
Lass jetzt erstmal eScan durchlaufen (ich hoffe, Du hast an den abgesicherten Modus gedacht?!?).
Ich bin mir eigentlich sicher, dass eScan noch einiges mehr findet, wenn er alle Verzeichnisse durchscannt.
Die addmq32.exe muss auf jeden Fall gelöscht werden, aber bitte nicht den ganzen Pfad!

BTW:
eScan läßt sich mit einem 'kleinen Trick' sogar updaten. Habe ich gerade aber erst erfahren. Danke an 'raman'. [img]graemlins/daumenhoch.gif[/img]

Mit Hilfe von Winzip, Winrar oder vergleichbar muss der Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpackt und dort dann die Datei kavupd.exe ausgeführt werden. In einer DOS-Box laufend werden die neusten Virensignaturen heruntergeladen. Dann kann mit msavscan.com gescannt werden. So braucht man eScan nicht bei jedem Update komplett herunterladen.

Hallo Lutz

e-scan hat trotz aktueller Version nichts mehr gefunden (hatte allerdings 2xError Ergebnis). Die infizierten Dateien in windows gibt es noch, sind aber wohl z.Z. nicht aktiv???

Die gibt es nicht mehr "addmq32.exe" (war im Pfad des "Network Security Service").

Soll ich die infizierten dateien manuell löschen?
Warum hat er bei mir den Hijacker nicht aus dem Netz nachgeladen?
Sind ev. die Änderungen die ich am IE vorgenommen hab dafür verantwortlich!
Was mache ich mit der regestry, da dürfte doch jede Menge Müll drin sein?

Ach ja, wars das???

Gruss Willy

Der Hijacker kann imho nicht mehr nachgeladen werden, da der dafür verantwortliche Prozess nicht mehr vorhanden ist. Im 'großen und ganzen' denke ich, war es das, ja.

</font><blockquote>Zitat:</font><hr />Soll ich die infizierten dateien manuell löschen?</font>[/QUOTE]Ja, lösche sie manuell.

Du solltest noch die Registry durchsuchen nach den infrage kommenden Dateien aus Deinem ersten Log, also
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\zgxpq.dll
C:\WINDOWS\addmq32.exe
C:\WINDOWS\system32\winet.dll
</font>[/QUOTE]Wenn es in der Registry verweise hierzu gibt, lösche diese.

Nachtrag:
Suche in der Registry auch noch hiernach: addmq32.exe

[ 17. Juni 2004, 22:10: Beitrag editiert von: Lutz ]

@ Hallo Lutz und auch alle anderen - Vielen Dank für die Hilfe - tolles Forum.
Werde öfter mal reinschauen.
Ich hoffe es gibt bald ein removal tool. Ich Habe jede Menge infizierter Dateien gefunden (lt. online scan kapersky) aber ob ich alle erwischt habe?
Der Pfad der im Network Service (dienstprogramm) eingetragen ist, den finde ich auch in der regestry.
Ich habe eine kopie der regestry erstellt, aber mit dem entfernen des Pfades habe ich so meine Probleme! Kann man das ganze Dienstprogramm entfernen, wenn ja wie? oder nur den Pfad, wenn ja wie?

Gruss Willy

</font><blockquote>Zitat:</font><hr />Original erstellt von design-willy:
...Kann man das ganze Dienstprogramm entfernen, wenn ja wie? oder nur den Pfad, wenn ja wie?</font>[/QUOTE]Das Programm selbst ist ja ganz offensichtlich schon entfernt. Also musst Du in der Registry noch die entsprechenden Aufrufe entfernen.

Der Registrierungs-Editor ähnelt ja optisch dem Datei-Explorer von Windows. Rechts hast Du eine Verzeichnis-Struktur und links stehen die einzelnen Werte. Wenn Du jetzt bei der Suche einen passenden Wert (auf der rechten Seite) angezeigt bekommst, kannst Du diesen mit einem Rechtsklick entfernen.

Ein Backup der Registry hast Du ja schon gemacht. Die würde ich an Deiner Stelle ein paar Tage 'aufbewahren' und wenn Du dann feststellst, dass alles rund läuft, kannst Du diese löschen.
Aber vorsicht, diese *.reg-Datei wird ausgeführt bei einem Doppelklick. Also mit ruhiger Hand an die Datei gehen...

Danke mal an alle die mir hier geantwortet haben, aber dieser TrojanDownloader.Win32.Agent.z
ist ein spezielles Ding, unser PC Spezialist in unserer Firma hat es auch nicht geschafft ihn zu entfernen, ich werden meinen PC komplett neu insalliern

Frage: oder hat es hier irgend jemand geschafft dieses Ding mit erfolg zu entfernen??

Grüsse an alle

Hallo lubin,

ich gehe immer noch davon aus, dass es der gleiche Hijacker ist, der so viele andere auch getroffen hat in den letzten Tagen!

Geh mal in Systemsteuerung/Verwaltung/Dienste und schau ob es dort einen Dienst namens "Network Security Service" oder so ähnlich gibt. Wenn ja, mach einen Doppelklick auf den Dienst und schau was unter "Pfad zur exe-Datei" steht. Nenne uns diese Datei und deaktiviere den Dienst.
Anschließend mach ein aktuelles Log mit HijackThis und poste es hier. Schließe im Moment nicht den InternetExplorer, sondern warte auf weitere Anweisungen. . Beim nächsten Start des IE heißen die in Frage kommenden Dateien u.U. anders.

Danke Lutz ich versuchs nochmal

Die Datei unter Network Security heisst

"C:\WINDOWS\sysqs.exe" /s

die Aktuelle Hijack Liste

schliesse den Explorer im Moment nicht

Gruss

Logfile of HijackThis v1.97.7
Scan saved at 20:34:33, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Windows\SRVANY.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINDOWS\sysqs.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\winel32.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\mmc.exe
\CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jwtkb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jwtkb.dll/sp.html#96676
O2 - BHO: (no name) - {079FC989-AC41-02CB-5596-5A02A41BB70E} - C:\WINDOWS\addnj32.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [winel32.exe] C:\WINDOWS\system32\winel32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: cww.delaval.com
O15 - Trusted Zone: http://cww.delaval.com
O15 - Trusted Zone: cww.seso.delaval.com
O15 - Trusted Zone: http://cww.seso.delaval.com
O15 - Trusted Zone: cww.setu.delaval.com
O15 - Trusted Zone: http://cww.setu.delaval.com
O15 - Trusted Zone: setuagrint32.delaval.com
O15 - Trusted Zone: http://setuagrint32.delaval.com
O15 - Trusted Zone: setuagrint51.delaval.com
O15 - Trusted Zone: setuagrint51.setu.delaval.com
O15 - Trusted Zone: setuagrint66.sestu.delaval.com
O15 - Trusted Zone: setuagrint66.setu.delaval.com
O15 - Trusted Zone: cww.delaval.local
O15 - Trusted Zone: intranet.delaval.local
O15 - Trusted Zone: http://*.setuagrint32
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\Software\..\Telephony: DomainName = delaval.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local