http://xysearch.biz/?wmid=1010 entfernen |
||
---|---|---|
#0
| ||
19.11.2004, 17:16
Member
Beiträge: 15 |
||
|
||
19.11.2004, 17:59
Moderator
Beiträge: 7805 |
#2
Nutz mal bitte Escan, vieleicht findet es den Rest:
http://www.rokop-security.de/board/index.php?showtopic=3867 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
19.11.2004, 23:25
Member
Themenstarter Beiträge: 15 |
#3
Zitat raman posteteHi, den Escan habe ich nun auch benutzt, welcher auch prompt 4 weitere destruktive Programme/Viren/Trojaner gefunden hat. Mithilfe des Programms Killbox konnte ich im abgesicherten Modus 3 davon löschen, demnach blieb ein Trojaner übrig. Escan gibt folgendes dazu aus: File C:\WINNT\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. Dieser Trojaner ließ sich nicht löschen, auch nicht dann, wenn man die Option wählt, die jeweilige Datei nach einem Reboot zu entfernen, sprich nach dem Neustart wird die Datei trotzdem wieder gefunden. Hättest du/ihr noch einen weiteren Vorschlag? Vielen Dank für entwaige Informationen. |
|
|
||
20.11.2004, 05:55
Moderator
Beiträge: 7805 |
#4
Das ist leidewr schon sehr haeftig. Starte bitte im abgesicherten Modus und lasse Killbox Folgende Dateien nach reboot loeschen:
C:\WINNT\System32\TGBRFV_5.dll C:\WINNT\SYSTEM32\TGBRFV_.exe Sprich alles in einem Arbeitsgang. Erst die Erste Datei loeschen, nicht gleich rebooten, sondern Den Neustart nicht machen und die zweite Datei angeben. Erst dann killbox erlauben, neu zu starten. Fixe im abgesicherten Modus auch noch das: F2 - REG:system.ini: UserInit=Userinit.exe, Das ein Windowsupdate auf SP4 und den IE 6 sp1(2) zwingen noetig ist, brauche ich nict zu sagen? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2004, 11:42
Member
Themenstarter Beiträge: 15 |
#5
Nun habe ich beide Dateien gelöscht, Escan findet die Datei TGBRFV_5.dll auch nicht mehr. F2 - REG:system.ini: UserInit=Userinit.exe, wollte ich fixen, was aber zu keinem Erfolg geführt hatte, da es nach einem HijackThis Scan noch immer angezeigt wird. Jedenfalls ergaben sich auch ansonsten einigen Änderungen in der Logfile:
Logfile of HijackThis v1.98.2 Scan saved at 11:34:50, on 20.11.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\System32\internat.exe C:\Download\Hijackthis\HijackThis.exe C:\bases\mwavscan.com C:\bases\kavss.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: UserInit=userinit.exe,TGBRFV_ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27194995a50b34979e19/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D6FF6139-C498-40E3-85E3-57D496916129}: NameServer = 217.5.112.145,194.25.2.129 Ja, eigentlich sollte ich in sehr naher Zukunft mein System updaten. |
|
|
||
20.11.2004, 12:12
Moderator
Beiträge: 7805 |
#6
Fix bitte mal das im abgesicherten Modus:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: UserInit=userinit.exe,TGBRFV_ by the way: Sicher, das die Datei C:\WINNT\SYSTEM32\TGBRFV_.exe nicht mehr da ist? Meldet Escan nichts mehr? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2004, 12:37
Member
Themenstarter Beiträge: 15 |
#7
Ok, werde ich tun, danke.
Die Datei C:\WINNT\SYSTEM32\TGBRFV_.exe hat er nicht als infiziert gemeldet, nur das Pendant in Form der .dll Datei und jene wird nicht mehr von Escan angezeigt. |
|
|
||
20.11.2004, 12:45
Moderator
Beiträge: 7805 |
#8
Schau mal in den !submit Ordner und schicke die DAteien, die sich dort befinden bitte an virus@protecus.de. Die Exe sollte/muss eigentlich "boese" sein.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2004, 13:05
Member
Themenstarter Beiträge: 15 |
#9
Vielen Dank, der Hijacker scheint nun gelöscht zu sein, da nun wieder als Startseite about:blank erscheint, wie vor der Infizierung.
In dem !Submit Ordner befindet sich als nur die .dll Datei, nicht die .exe Datei. Soll ich diese trotzdem zu der angegebenen Adresse schicken? |
|
|
||
20.11.2004, 14:09
Moderator
Beiträge: 7805 |
#10
Schoen, das es nun wieder alles funktioniert und nein, die DLL brauchst du nicht zu schicken, die wird ja schon erkannt.
Sicher, das die EXe sich nicht in dem Ordner befindet? Auch nicht, wenn du das machst: "Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden." __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2004, 16:34
Member
Themenstarter Beiträge: 15 |
#11
Logisch, die DLL ist natürlich schon bekannt.
Nein, die EXE befindet sich definitiv nicht in dem Ordner, da alle Dateien schon vorher eingeblendet waren, also auch Systemdateien. |
|
|
||
trotz diverser Scans mit Ad-Aware, Spybot - Search & Destroy, SpySubtract und Hijack This erfolgt noch immer http://xysearch.biz/?wmid=1010 als festgelegte Startseite. Alle Programme haben zwar schädliche Programme, Cookies etc. entdeckt und entfernt, aber ohne weitere Auswirkung auf den InternetExplorer. Zudem habe ich mit Hijack This eine Logdatei erstellt und sie auf www.hijackthis.de automatisch auswerten lassen. Dabei ist mir aufgefallen, dass die von mir fett markierten Einträge in der Logfile trotz des Löschens immer wieder auftauchen:
Logfile of HijackThis v1.98.2
Scan saved at 17:13:17, on 19.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
c:\Program Files\interMute\SpySubtract\SpySub.exe
C:\DOKUME~1\ANONYM~1.ANO\LOKALE~1\Temp\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27194995a50b34979e19/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6FF6139-C498-40E3-85E3-57D496916129}: NameServer = 217.5.112.145,194.25.2.129