Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   2Search Virus / Trojaner ( 007guard ) (https://www.trojaner-board.de/47492-2search-virus-trojaner-007guard.html)

Figo84 29.12.2007 16:59
2Search Virus / Trojaner ( 007guard )
 
Hallo !

Ich habe seit geraumer Zeit einen Trojaner auf meinem Rechner den ich nicht los werde.
Wenn ich mit Spybot mein System scanne findet er jedes Mal den 2Search Trojaner.
Manchmal werde ich im Internet Explorer auf eine Seite weitergeleitet die sich 007guard.com nennt. Die Google Suchergebnisse zu 2Search sind auch total verfälscht, so werde ich bspw. auf eine Seite geleitet, die ein Programm anbietet um diesen Trojaner zu entfernen - aber das Programm ist selbst wieder ein Virus o.ä.
Mein Antiviren Programm findet allerdings gar nichts - ( AntiVir ).

Auch im abgesicherten Modus habe ich schonmal versucht alles zu löschen - mit diversen Programmen.

Habt Ihr eine Ahnung was ich noch tun könnte - außer format c: ???

Clermont-Ferrand 29.12.2007 17:47
@Figo

Zitat:
Ich habe seit geraumer Zeit einen Trojaner auf meinem Rechner den ich nicht los werde.
:confused:

Poste bitte mal, sofern noch vorhanden, den genauen Pfad, in welchem der Schädling gefunden wurde. (Scan-Report bemühen)

Zitat:
Manchmal werde ich im Internet Explorer auf eine Seite weitergeleitet die sich 007guard.com nennt.
Browser-Hijacking!

Zitat:
Die Google Suchergebnisse zu 2Search sind auch total verfälscht, so werde ich bspw. auf eine Seite geleitet, die ein Programm anbietet um diesen Trojaner zu entfernen - aber das Programm ist selbst wieder ein Virus o.ä.
Dito!

Zitat:
Mein Antiviren Programm findet allerdings gar nichts - ( AntiVir ).
Kein Wunder, es läuft auf dem infizierten System.

Paßt diese Beschreibung?

2Search - Potenziell unerwünschte Anwendung - Sophos Bedrohungsanalyse

Zitat:
Habt Ihr eine Ahnung was ich noch tun könnte - außer format c: ???
Ein sauberes Image einspielen!

Tayk 29.12.2007 18:05
Schick mal ein Hijackthis Logfile dann mache ich eine liste von den gefährlichen einträgen die du fixen solltest dann müsste dein browser wieder einigermasen normal laufen zumindist bis zum neustart :D

Figo84 01.01.2008 15:37
Also der Pfad lag irgendwo bei

..\Dokumente und Einstellungen\...\ibho.log

Seit ich den Internet Explorer nicht mehr nutze, ist er auch nicht mehr aufzufinden...aber ich bin mir sicher, dass sobald ich wieder mit dem
IE ins Netz gehe - der Virus wieder da ist.

hier der Hijackthis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:19, on 01.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Glass2k\Glass2k.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\TrueTransparency\TrueTransparency.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Blaero Start Orb\Blaero Start Orb 2.0.exe
C:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Programme\WinFlip\WinFlip.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\ICQ6\ICQ.exe
C:\Dokumente und Einstellungen\Harald\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://einwahl.oleco.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O2 - BHO: SysApp - {F63F9C76-830D-13DC-8324-3F03201C9A6C} - C:\Programme\Sys-App\ie-improver.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Glass2k] C:\Programme\Glass2k\Glass2k.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TrueTransparency] "C:\Programme\TrueTransparency\TrueTransparency.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Blaero Start Orb.lnk = C:\Programme\Blaero Start Orb\Blaero Start Orb 2.0.exe
O4 - Startup: Thoosje Sidebar.lnk = C:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O4 - Startup: WinFlip.lnk = C:\Programme\WinFlip\WinFlip.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://ca.com/de/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155147399593
O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: GEN - Unknown owner - C:\DOKUME~1\Harald\LOKALE~1\Temp\GEN.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 2: FC Demerath 1976 e.V. - http://www.fc-demerath.de/

--
End of file - 8251 bytes

Clermont-Ferrand 01.01.2008 16:30
Figo

Zitat:
Seit ich den Internet Explorer nicht mehr nutze, ist er auch nicht mehr aufzufinden...aber ich bin mir sicher, dass sobald ich wieder mit dem
IE ins Netz gehe - der Virus wieder da ist.
Das entbindet Dich aber nicht davon, ihn aktuell zu halten. Auch ungenutzt ist er eine große Sicherheitslücke, alleine schon durch seine Systemnähe.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:19, on 01.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
--> Fettschrift durch mich

Ganz schlecht, SP2 fehlt dann auch, nehme ich an.....

Veraltete Software:

Code:
C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
Aktuell ist Adobe in der Version 8.1, und Java in der Version 6, Update 3.

Es nützt aber nichts, bei einem möglicherweise infizierten System die Updates nachzuholen, um diese Versäumnisse im Nachhinein zu *heilen*, das funktioniert nicht.

Dies bitte bei VirusTotal prüfen und posten: (Link in meiner Signatur)

Code:
C:\Programme\Sys-App\ie-improver.dll
Weißt Du, was das hier ist?

Code:
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

Figo84 02.01.2008 20:18
Wollte SP2 schon mehrfach installieren, aber das hat bei mir immer gehakt - keine Ahnung warum. Hätte wohl komplett alles neuinstallieren müssen, das war mir aber zu lästig.

Habe dafür aber auch nichts besonderes runter geladen, um von einem Virus verschont zu sein...

Virus - Total hat mir einige Trojaner angezeigt...hier einen Teil der Liste

EAntivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.2.10 2008.01.02 -
AntiVir 7.6.0.46 2008.01.02 -
Authentium 4.93.8 2008.01.02 -
Avast 4.7.1098.0 2008.01.01 -
AVG 7.5.0.516 2008.01.02 BHO.CVS
BitDefender 7.2 2008.01.02 -
CAT-QuickHeal 9.00 2008.01.02 -
ClamAV 0.91.2 2008.01.02 -
DrWeb 4.44.0.09170 2008.01.02 -
eSafe 7.0.15.0 2008.01.02 -
eTrust-Vet 31.3.5424 2008.01.02 -
Ewido 4.0 2008.01.02 -
FileAdvisor 1 2008.01.02 -
Fortinet 3.14.0.0 2008.01.02 -
F-Prot 4.4.2.54 2008.01.01 W32/Trojan2.QXF
F-Secure 6.70.13030.0 2008.01.02 Trojan-Downloader.Win32.BHO.bs
Ikarus T3.1.1.15 2008.01.02 Trojan-Downloader.Win32.BHO.bs
Kaspersky 7.0.0.125 2008.01.02 Trojan-Downloader.Win32.BHO.bs
McAfee 5197 2008.01.02 -
Microsoft 1.3109 2008.01.02 -
NOD32v2 2762 2008.01.02 -
Norman 5.80.02 2008.01.02 -
Panda 9.0.0.4 2008.01.02 Suspicious file
Prevx1 V2 2008.01.02 Heuristic: Suspicious Browser Help Object
Rising 20.25.22.00 2008.01.02 -
Sophos 4.24.0 2008.01.02 -
Sunbelt 2.2.907.0 2008.01.02 -
Symantec 10 2008.01.02 -
TheHacker 6.2.9.176 2008.01.01 -
VBA32 3.12.2.5 2008.01.02 Trojan-Downloader.Win32.BHO.bs
VirusBuster 4.3.26:9 2008.01.02 -
Webwasher-Gateway 6.6.2 2008.01.02 Worm.Win32.UPXpacked.gen!88 (suspicious)

Hört sich gar nicht gut an...muss ich doch format c:\ machen

Die andere Datei sagt mir gar nichts, werde ich mal durchchecken lassen.

Clermont-Ferrand 02.01.2008 21:01
Zitat:
Wollte SP2 schon mehrfach installieren, aber das hat bei mir immer gehakt - keine Ahnung warum. Hätte wohl komplett alles neuinstallieren müssen, das war mir aber zu lästig.
Dann wirst Du aber Dein Problem nicht los werden.

Zitat:
Habe dafür aber auch nichts besonderes runter geladen, um von einem Virus verschont zu sein...
Sehr erfolgreich, wie man sehen kann. :eek:

Mangelnde Systempflege, insbes. ein ungepatchtes System kann nicht dadurch geheilt werden, daß man *nichts besonderes* runterlädt. Das passiert sozusagen *beiläufig*, ohne daß Du das verhindern kannst.

Zitat:
Hört sich gar nicht gut an...muss ich doch format c:\ machen
Du sagst es, das Ergebnis ist nicht wegzudiskutieren.

Hier ist Lektüre für Dich, damit Du künftig von solchem *Besuch* verschont bleibst:

Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung

Homepage von Malte J. Wetz

Homepage von Malte J. Wetz

http://www.trojaner-board.de/12154-a...sicherung.html

sicher-ins-netz.info - So schützen Sie Ihr System richtig


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:11 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129