http://xysearch.biz/?wmid=1010 entfernen

#1 Hallo,

trotz diverser Scans mit Ad-Aware, Spybot - Search & Destroy, SpySubtract und Hijack This erfolgt noch immer http://xysearch.biz/?wmid=1010 als festgelegte Startseite. Alle Programme haben zwar schädliche Programme, Cookies etc. entdeckt und entfernt, aber ohne weitere Auswirkung auf den InternetExplorer. Zudem habe ich mit Hijack This eine Logdatei erstellt und sie auf www.hijackthis.de automatisch auswerten lassen. Dabei ist mir aufgefallen, dass die von mir fett markierten Einträge in der Logfile trotz des Löschens immer wieder auftauchen:


Logfile of HijackThis v1.98.2
Scan saved at 17:13:17, on 19.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
c:\Program Files\interMute\SpySubtract\SpySub.exe
C:\DOKUME~1\ANONYM~1.ANO\LOKALE~1\Temp\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27194995a50b34979e19/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6FF6139-C498-40E3-85E3-57D496916129}: NameServer = 217.5.112.145,194.25.2.129

#2 Nutz mal bitte Escan, vieleicht findet es den Rest:
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
Nutz mal bitte Escan, vieleicht findet es den Rest:
http://www.rokop-security.de/board/index.php?showtopic=3867

Hi,

den Escan habe ich nun auch benutzt, welcher auch prompt 4 weitere destruktive Programme/Viren/Trojaner gefunden hat. Mithilfe des Programms Killbox konnte ich im abgesicherten Modus 3 davon löschen, demnach blieb ein Trojaner übrig. Escan gibt folgendes dazu aus: File C:\WINNT\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken. Dieser Trojaner ließ sich nicht löschen, auch nicht dann, wenn man die Option wählt, die jeweilige Datei nach einem Reboot zu entfernen, sprich nach dem Neustart wird die Datei trotzdem wieder gefunden.

Hättest du/ihr noch einen weiteren Vorschlag? Vielen Dank für entwaige Informationen.

#4 Das ist leidewr schon sehr haeftig. Starte bitte im abgesicherten Modus und lasse Killbox Folgende Dateien nach reboot loeschen:

C:\WINNT\System32\TGBRFV_5.dll

C:\WINNT\SYSTEM32\TGBRFV_.exe

Sprich alles in einem Arbeitsgang. Erst die Erste Datei loeschen, nicht gleich rebooten, sondern Den Neustart nicht machen und die zweite Datei angeben. Erst dann killbox erlauben, neu zu starten. Fixe im abgesicherten Modus auch noch das:
F2 - REG:system.ini: UserInit=Userinit.exe,

Das ein Windowsupdate auf SP4 und den IE 6 sp1(2) zwingen noetig ist, brauche ich nict zu sagen?
__________
MfG Ralf
SEO-Spam Hunter

#5 Nun habe ich beide Dateien gelöscht, Escan findet die Datei TGBRFV_5.dll auch nicht mehr. F2 - REG:system.ini: UserInit=Userinit.exe, wollte ich fixen, was aber zu keinem Erfolg geführt hatte, da es nach einem HijackThis Scan noch immer angezeigt wird. Jedenfalls ergaben sich auch ansonsten einigen Änderungen in der Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:34:50, on 20.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Download\Hijackthis\HijackThis.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=userinit.exe,TGBRFV_
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27194995a50b34979e19/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6FF6139-C498-40E3-85E3-57D496916129}: NameServer = 217.5.112.145,194.25.2.129


Ja, eigentlich sollte ich in sehr naher Zukunft mein System updaten.

#6 Fix bitte mal das im abgesicherten Modus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xysearch.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=userinit.exe,TGBRFV_

by the way: Sicher, das die Datei C:\WINNT\SYSTEM32\TGBRFV_.exe nicht mehr da ist? Meldet Escan nichts mehr?
__________
MfG Ralf
SEO-Spam Hunter

#7 Ok, werde ich tun, danke.

Die Datei C:\WINNT\SYSTEM32\TGBRFV_.exe hat er nicht als infiziert gemeldet, nur das Pendant in Form der .dll Datei und jene wird nicht mehr von Escan angezeigt.

#8 Schau mal in den !submit Ordner und schicke die DAteien, die sich dort befinden bitte an virus@protecus.de. Die Exe sollte/muss eigentlich "boese" sein.
__________
MfG Ralf
SEO-Spam Hunter

#9 Vielen Dank, der Hijacker scheint nun gelöscht zu sein, da nun wieder als Startseite about:blank erscheint, wie vor der Infizierung.

In dem !Submit Ordner befindet sich als nur die .dll Datei, nicht die .exe Datei. Soll ich diese trotzdem zu der angegebenen Adresse schicken?

#10 Schoen, das es nun wieder alles funktioniert und nein, die DLL brauchst du nicht zu schicken, die wird ja schon erkannt.

Sicher, das die EXe sich nicht in dem Ordner befindet? Auch nicht, wenn du das machst:
"Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden."
__________
MfG Ralf
SEO-Spam Hunter

#11 Logisch, die DLL ist natürlich schon bekannt.

Nein, die EXE befindet sich definitiv nicht in dem Ordner, da alle Dateien schon vorher eingeblendet waren, also auch Systemdateien.