Wie kriegt man "Trojan.Downloader.Agent.GM" und Home-Search weg?

#1 Hallo,

ich hatte bislang leichtsinnigerweise keinen Virenschutz und dafür vor einigen Tagen leider die "Quittung" bekommen:

mein Rechner (Betriebssystem Windows XP) wurde mit Trojanern infiziert, die in meinem Internet-Explorer stets die lästige Seite "Home Search" als Startseite hinterlegen. Das Modem macht auch seit dieser Zeit keine Einwahlgeräusche mehr (was an sich nicht so tragisch wäre, denn die Einwahl funktioniert trotzdem).

Mittlerweile habe ich mir Bitdefender 7.2 installiert und verschiedene Trojaner aufgespürt, die ich damit löschen konnte. Einer jedoch blieb resistent: "Trojan.Downloader.Agent.GM". Bei jedem Start des Internet Explorers wird sofort eine 29 KB große Datei erzeugt (i. d. Regel im Ordner "C:\Windows" oder "C:\Windows\System32"), in der dieser Trojaner enthalten ist. Bitdefender meldet mir dies auch sofort. Dies passiert immer bereits VOR der Internet-Einwahl; das Problem kommt also nicht aus dem Internet, sondern hat sich irgendwo auf meiner Festplatte eingenistet.

Daraufhin lösche ich dann jedesmal die infizierte Datei, bevor ich die Internet-Verbindung starte. Allerdings geht bei jedem neuen Starten von IE alles wieder von vorne los.

Mittlerweile benutze ich Firefox als Browser (tja, hinterher ist man schlauer) und könnte also theoretisch meine Ruhe haben. Ich will aber meinen PC wirklich sauber und trojanerfrei haben und bitte darum um Eure Hilfe.

Vielleicht kann jemand einen Blick auf das Hijack-log werfen und mir einen Tipp geben, was ich tun muss…

Logfile of HijackThis v1.97.7
Scan saved at 06:29:18, on 28.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\d3mw.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\A.tmp.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Marcel Krug\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {B6321D00-8C7F-4126-EB7B-CE5AAC5E4314} - C:\WINDOWS\system32\appxw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [winti.exe] C:\WINDOWS\system32\winti.exe
O4 - HKLM\..\Run: [A.tmp] C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\A.tmp.exe 0 10001
O4 - HKLM\..\Run: [A.tmp.exe] C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\A.tmp.exe 0 10001
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c7.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab


Vorab schon mal vielen Dank.
Marcel

#2 Hallo Marcel,

Also, leichtsinn sie mal dahingestellt, grob fahrlässig würde ich es eher bezeichnen.

Nun aber zu deinem Problem:

1. Bitdefender updaten!!!
2. Microsoft Anti Spyware Tool installieren und ausführen
3. Mozilla Firefox herunterladen und auch nutzen. Kein IE!!!
4. Dann Rechner vom Netz trennen!!
5. Virenscanner und Anti Spyware ausführen.
6. Im Internetexplorer unter Extras - Internetoptionen - Sicherheit erstmal alle Einträge unter Trusted Sites entfernen. s. Hijack 015
7. C:\WINDOWS\d3mw.exe löschen! Definitiv löschen!
8. O16 Einträge suchen und löschen.
9. Normalen User anlegen, kein Administrator
Mit diesem User gehst du online. Da dieser keine Rechte hat, Sachen herunterzuladen und zu installieren bist du auf der sicheren Seite.

gruß g-u-r-u

#3 @ g-u-r-u,

vielen Dank für deine Antwort und den Tipp mit MS AntiSpyware. Habe damit 14 „Thread“ ausfindig und unschädlich gemacht, die bei Bitdefender allesamt unentdeckt blieben.

Ich bin exakt nach deiner Beschreibung vorgegangen.

Zu Punkt 6.: als ich den IE öffnete (um an die Liste der „Trusted Sites“ zu kommen), ist wieder ein neuer Trojaner aufgetaucht (“Trojan.Z“ bzw. Trojan.Downloader. Agent.Z“), den AntiSpyware gleich bemerkt hat und den ich dann gelöscht habe. Habe bei den „Trusted Sites“ alle Einträge gelöscht; es waren genau die aus dem HijackThis-Log (unter O15 aufgeführt). Zwei dieser Einträge tauchen allerdings immer wieder erneut auf, und zwar *frame.crazywinnings.com und *.static.topconverting.com. Diese beiden lassen sich auch mit HijackThis nicht fixen!

Zu Punkt 7.: die Datei C:\WINDOWS\d3mw.exe war bereits weg, als ich sie löschen wollte. Vermutlich ist sie schon im Zuge der Säuberung mit Antispyware unter Punkt 2. gelöscht worden.

Zu Punkt 8: die O16 Einträge konnte ich auf meinem Rechner trotz intensiver Suche nicht finden; sie ließen sich aber mit HijackThis fixen.

Fazit:
Beim Surfen mit Firefox ist alles in Ordnung. Beim Öffnen des IE (den ich nur noch öffne, um nachzusehen, ob dann ein böser Trojaner erzeugt wird) wird ein böser Trojaner erzeugt. (siehe Punkt 6.)
Allerdings gab es auch ein neues Problem: mein Outlook funktionierte nicht mehr richtig. Ich konnte keine E-Mails mehr abrufen oder senden, es kam immer eine Timeout-Fehlermeldung. Erst nach der Deinstallation (!) von MS AntiSpyware ging alles wieder.

Ich schicke hier nochmal ein aktuelles Log von HijackThis (ist so ‘n HOBBY von mir ;-). Wie du siehst, sind keine O16-Einträge mehr aufgeführt. Aber igendwo muss sich ja noch etwas übles verstecken….

Logfile of HijackThis v1.97.7
Scan saved at 17:21:57, on 01.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Marcel Krug\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {B6321D00-8C7F-4126-EB7B-CE5AAC5E4314} - C:\WINDOWS\system32\appxw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [winti.exe] C:\WINDOWS\system32\winti.exe
O4 - HKLM\..\Run: [A.tmp] C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\A.tmp.exe 0 10001
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com


Vielleicht hat ja auch irgend jemand anderer noch ’ne Idee hierzu…


Gruß,
Marcel

#4 Hi,

entschuldige war krank daher melde ich mich heute erst wieder.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bggth.dll/sp.html#12345

Die Datei bggth.dll löschen. Das wird wohl definitiv der Trojaner sein!

gruß g-u-r-u

#5 @ g-u-r-u,

Danke für deinen Tipp.

Die Datei bggth.dll kann ich leider nirgends finden: weder wenn ich mir im Windows-Explorer den Inhalt von „C:\WINDOWS\system32“ anzeigen lasse, noch wenn ich eine Suche starte. Auch mit der Option „verstecke Elemente durchsuchen“ endet die Suche ohne Ergebnis.

Wenn ich den Order allerdings mit Bitdefender scanne, wird mir die Datei anschließend (wie Zehntausende andere auch) im Log aufgeführt (mit dem Vermerk, sie sei OK). Sie ist also tatsächlich irgendwo vorhanden.

Bringt es etwas, wenn ich die R0-Zeile einfach mit HijackThis fixe?

Marcel

#6 @ g-u-r-u,

dein Tipp mit bggth war goldrichtig. Hab die R0-Zeile (und einiges andere, was mir der Log-Check bei [url]www.hijackthis.de [/url]angezeigt hat) gefixt, und bin ENDLICH, ENDLICH den ganzen Mist losgeworden.

Keine "Home-Search"-Seite mehr beim IE;
auch kein neuer Trojaner, wenn man IE startet! :-)

Werde aber trotzdem bei Mozilla Firefox bleiben, und bin für alle Zeiten für das Thema "Sicherhait am PC" sensibilisiert!

Nochmals vielen Dank für deine Hilfe!

Marcel