|
Win32.Agent: Home search assistent, Shopping wizard, only the best Hallo, nach mehrfachen Versuchen habe ich lästige Trojaner von meinem PC eliminiert.Trotz aktueller Virensoftware (MacAfee) werden diese Trojaner nicht erkannt. Aktuelles Betriebssystem ist W2K mit Servicepack 4, Browser ist der IExplorer 5.5 Merkmale und Auswirkungen: :koch: 1. unter Systemsteuerung-->Software stehen drei Programme, die sich nicht entfernen lassen: - Home Search Assistent - Shopping Wizard - Search Extender 2. Die aktuelle Startseite und Standardseite im Internet-Explorer werden auf z.B. res://...dll/... umbenannt und sind auch nicht zu ändern. Löscht man die betreffenden Registry-Einträge, sind sie kurz darauf wieder da: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049 3. Immer wieder erscheinen neue Pop-Up-Fenster mit Werbung, häufige Titelzeile: only the best 4. geöffnete Texteditor-Fenster (notepad.exe) werden minütlich geschlossen. 5. die Datei hosts im Ordner C:\WINNT\system32\drivers\etc wird minütlich gelöscht. 6. Unter Systemsteuerung-->Verwaltung-->Dienste gibt es einen Dienst namens Network Security Service oder Netzwerk Sicherheitsdienst. Unter "Eigenschaften" steht die entsprechende Datei, z.B. c:\winnt\netsm32.exe Nach dem Beenden und Deaktivieren des Dienstes ist dieser trotzdem kurz darauf wieder gestartet. Behebung des Problems::kloppen: 1. den ominösen Dienst (Network Security Service) beenden, deaktivieren und die entsprechende exe-Datei unter C:\ WINNT löschen (oder zumindest umbenennen). 2. alle Dateien im Ordner C:\WINNT (ohne Unterverzeichnisse) und C:\WINNT\system32, die 9, 26, 32, 69 oder 89 KB groß sind und die Endung .exe, .dat oder .dll haben, zusammenpacken, z.B. mit winzip. Da die zip-Datei max 1 MB groß sein darf, evtl. mehrere erzeugen. Diese zip-Archive können jetzt online unter http://www.kaspersky.com/de/scanforvirus geprüft werden. Bei mir ergab diese Prüfung einen Befall von 32 (!) Dateien. Hauptsächlich wurde der Trojaner Win32.Agent.an gefunden, teilweise auch Win32.Agent.aq und Win32.Winshow.u. Auffällig viele Dateien entsprechen dem Muster <5 Buchstaben>.exe bzw. <5 Buchstaben>32.exe und sind überwiegend 9 und 26 KB groß. Die infizierten Dateien sollten gelöscht (oder zumindest umbenannt, z.B. mit der Endung .back, und dann verschoben werden). trojaner.zip Archive: ZIP trojaner.zip/netef32.exe - packed with UPX trojaner.zip/netef32.exe Infiziert: TrojanDownloader.Win32.Agent.an trojaner.zip/atlii.exe - packed with UPX trojaner.zip/mfcqc.exe Infiziert: TrojanDownloader.Win32.Agent.an trojaner.zip/javaiy32.dll Infiziert: TrojanDownloader.Win32.WinShow.ag ~9299.16177/cuagb.dll.b/data0001.html Infiziert: TrojanDownloader.Win32.Winshow.u 3. Anschließend sollte die registry bereinigt werden. Nützlich ist dafür HijackThis. Hier ein Auszug aus meinem HijackThis-Log. Verdächtige Einträge sind rot markiert. ---------------------------------------------- Logfile of HijackThis v1.97.7 Scan saved at 12:12:59, on 29.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\system32\winlogon.exe C:\WINNT\system32\lsass.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\apidc.exe C:\WINNT\mfcqc.exe C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049 O2 - BHO: (no name) - {21EAC97B-F474-7E96-0FC5-B2880E463177} - C:\WINNT\system32\sysmd.dll O4 - HKLM\..\Run: [apidc.exe] C:\WINNT\apidc.exe O4 - HKLM\..\RunOnce: [mfcqc.exe] C:\WINNT\mfcqc.exe O4 - HKLM\..\RunOnce: [atlii.exe] C:\WINNT\atlii.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http ://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab ------------------------------------------------------------- 4. Die Software-Einträge unter Systemsteuerung-->Software lassen sich nun z.B. mit Advanced Uninstaller Pro Vers 6 entfernen (Option forced). 5. Ein nun zu empfehlendes Scannen der Festplatten mit den Progammen Spybot-Search &Destroy 1.3 und Ad-Aware 6 Personal deckt noch evtl. weitere infizierte Dateien und Einträge auf, die auch mit diesen Programmen entfernt werden können. 6. Abschließend den Browser nochmal aufrufen und Startseite kontrollieren. Weiterhin notepad starten und warten, ob es nicht mehr automatisch geschlossen wird. Jetzt ist wieder alles ok! :crazy: Viel Erfolg! Oli- |
Danke für die Mühe, die du dir gemacht hast. :daumenhoc |
Hallo Oli, Super Einstiegs-Posting ! :daumenhoc Für XP-User sei noch angemerkt, dass der Standard-Pfad anstatt C:\WINNT\system32 -> C:\Windows\system32lautet. Ansonsten ist die Vorgehensweise identisch. Ansonsten kann die OnlineScan-Prozedur bei Kaspersky noch mit eScan (s. Signatur) 'vereinfacht' werden... |
hi, habe diesen Trojaner und kann ihn nicht bekämpfen! habe alles getan was hier beschrieben wurde. komischerweise hatte er beim virusscan nur 1 virus entdeckt! ich kann es die dateien auch per force uninstall deinstallieren und spybot erkennt und löscht auch soweit alles! jemand ne idee woran das liegen kann? es nervt mich langsam echt an... mfg hlat |
@ hlat Um deine Aussagen nachvollziehen zu können, bräuchte man mehr Infos. Erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen. |
habe mal escan durchlaufen lassen und der hatte schon 40 infizierte files bis ich abbrechen musste! die angaben die oli gemacht hatte waren wohl nich vollständig oder ich habe nicht alles gefunden.. werde es jetzt noch einmal probieren :) mfg hlat |
Ich habe das selbe Problem, ich habe mir irgendwo etwas eingefangen und ich habe jetzt ohne das ich es will die als Startseite „Home Search“ und irgendwelche Popups gehen immer auf! Ich habe eine Virenscann durchgeführt und es hat 32 risiko behaftete Dateien gefunden, Spyboot hat ebenfalls 32 Dateien gefunden, wovon sich viele löschen ließen, jetzt findet Spyboot bloß noch 7 dateien aber die jedes Mal! Das selbe mit Hijack, Hijack findet Dateien die es als böse angibt, ich lösche diese und führe Hijack wieder aus und die Dateien sind immer noch da! Ich bin bald am verzweifeln! Habt ihr einen Tipp für mich? mfg |
Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html Wo wird was gefunden? |
Zitat:
Dein Tip hat geholfen, der Rechner ist wieder Sauber! mfg |
Zitat:
Gruss |
Zitat:
Keine Ahnung was das alles war, ich habe einfach alles gelöscht was eScan gefunden hat! Und jetzt geht es wieder. Das einzige was noch war, das mein Norton nicht mehr ging, das habe ich jetzt neu installiert und es funktioniert auch wieder! mfg |
Das war ggf sehr unklug von dir,wenn du einen Backdoor zb drauf hast,oder hattest,ist dein System nicht mehr vertrauenswürdig,deswegen hat Christian auch geschrieben:"Wo wird was gefunden?" |
mmmhhhhhhhh speichert eScan irgendwo die log Datei ab? mfg |
hi ja, wenn du alles richtig installiert hast, nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein http://img8.exs.cx/img8/9665/infected6xz.gif jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten :) Zitat:
|
hi zusammen ich bin zwar noch neu hier beschäftige mich aber auch mit dem Home Search Problem. Da ich es selbst auch immer noch habe. Der Tip von Oli ist klasse aber ich habe auch noch einen. Überprüft bitte im Task Manager anwendungen die euch unbekannt sind sucht diese per SUCHEN packt sie und lasst sie auf der homepage http://www.kaspersky.com/de/scanforvirus überprüfen. Wenn ihr dateien aus dem System32 ordner löscht, im Ordner Windows/Prefetch auch gleich löschen. Also ich hätte nie gedacht das mein Rechner so verseucht ist. Hijack hilft bei dieser Suche dann auch noch mal. Gruß Mystie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:52 Uhr. |
Copyright ©2000-2024, Trojaner-Board