Moin User,
hab seit gestern einen Trojaner drauf, wie oben zulesen meldet Norton AntiVirus einen Bloodhound.Exploit.6, Startseite des IE lautet a-search.biz.
Ich hab schon mein System wie folgt gescannt und gefixt, adaware, CWshredder, Spybot und Regsupreme durchlaufen lassen.
Sollte alles clean sein, jedoch installiert sich das Ding immer wieder von selbst.
Hat jemand eine Idee?
Gruß
Andreas
Re: Bloodhound.Exploit.6 a-search.biz
Scan mal deinen PC mit HiJackThis und psot den log ins HiJackThis Forum
http://www.hijackthis.de/hijackthis_198.zip
lg
christian
Re: Bloodhound.Exploit.6 a-search.biz
Hallo Christian,
hier mein Log, der von der HP als clean getestet wurde:
Logfile of HijackThis v1.98.2
Scan saved at 12:11:45, on 02.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Secure\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Secure\Popup Ad Filter\PopFilter.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Secure\HiJack\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Secure\Spybot\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SmcService] D:\Secure\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\DVD\Clone\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINDOWS\system32\iernonce.dll,RunOnceExProcess
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Secure\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5C…b?1098836528703
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDB3E88-5315-43E9-9D35-CDDAD745144D}: NameServer = 194.97.173.124 194.97.173.125
Re: Bloodhound.Exploit.6 a-search.biz
fix mal diese 2 einträge:
F2 - REG:system.ini: UserInit=Userinit.exe,
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINDOWS\system32\iernonce.dll,RunOnceExProcess
lg
christian
Re: Bloodhound.Exploit.6 a-search.biz
Hallo Christian,
leider blieb die Sache unverändert.
Gruß
Andreas
Re: Bloodhound.Exploit.6 a-search.biz
findet norton was???
scan mal mit NAV
und schau ob er was findet
lg
christian
Re: Bloodhound.Exploit.6 a-search.biz
Norton hat 4 Dateien gefunden, 3 gelöscht 1 davon wird unterbunden, aber genau diese Datei wird als Prozess im System erneut ausgeführt.
Re: Bloodhound.Exploit.6 a-search.biz
was ist wenn du diese datei Händisch löscht???
Re: Bloodhound.Exploit.6 a-search.biz
Hab alles diesgezügliche gelöscht. Jedoch startet sich die xwxload.exe immer wieder neu.
Re: Bloodhound.Exploit.6 a-search.biz
Versuchs mal damit:
http://www.symantec.com/avcenter/FixSwen.exe
lg
christian
Re: Bloodhound.Exploit.6 a-search.biz
W32.Swen..... wurde nicht gefunden.
Re: Bloodhound.Exploit.6 a-search.biz
ich bin langsam ratlos
tut mir wirklich leid, aber vil. hat ja rolfpower eine antwort darauf
lg
christian
Re: Bloodhound.Exploit.6 a-search.biz
ich hab jetzt mal etwas gegoogelt und kam zu folgendem Programm:
eScan, Logfile:
File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\zaebalinah.exe infected by "TrojanDownloader.Win32.Apher.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
Um aber die Dateien ausradieren zu können muss ich das Programm für ca. 50 Eurodollar freischalten lassen, mach ich aber nicht....
Re: Bloodhound.Exploit.6 a-search.biz
Hi japanese-toy
Versuche mal in > Suchen < xwxload.exe einzugeben und wenn sie erscheint, die Quelldatei zu ermitteln um sie dann von Hand zu löschen. Dazu wäre Tune-Up geeignet.
Gruss rolfpower
Re: Bloodhound.Exploit.6 a-search.biz
Moin rolfpower,
auch dir vielen Dank für die Mühe, aber leider auch dies ohne Erfolg.
Die Sache zieht einen immer größer werdenden Kreis hinter sich her. Neues Problem:
* WinAdTools.exe
* WinRatchet.exe
lassen sich nicht beenden.
So, die Sache mit dem WindowsAdTool ist erledigt, jedoch bekomm ich folgende Dinge nicht gefixt.
Logfile of HijackThis v1.98.2
Scan saved at 07:11:46, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Secure\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Secure\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Secure\HiJack\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Secure\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] D:\Secure\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Secure\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
Lt. vorgabe der HP soll gefixt werden:
F2 - REG:system.ini: UserInit=Userinit.exe, Unbekannt
Unbekannt Wird seit HijackThis 1.98 angezeigt. Steht nichts hinter dem "," (Komma), gut. Nicht bekanntes Programm.
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - Böse
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - Eventuell Böse
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.
Ich fixe die Dateien, jedoch sind sie beim nächsten Scan wieder da.
[Editiert am 3/11/2004 von japanese-toy]
Re: Bloodhound.Exploit.6 a-search.biz
Hallo japanese-toy
Bei jeder Netconnection wird Dein System neu infiziert. Überprüfe die Firewall und aktualisiere AV
+ Windows
Fixen:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
F2 - REG:system.ini: UserInit=Userinit.exe,
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
Gruss rolfpower
Re: Bloodhound.Exploit.6 a-search.biz
Hallo Rolf,
alles weiterhin ohne Erfolg.
Die angegebenen Dateien hab ich ich glaube ich schon 50 mal gefixt und die kommen immer wieder, ich glaub ich lösch die Platte und spiele die Gldquelle von Bill neu auf.
Logfile of HijackThis v1.98.2
Scan saved at 14:00:05, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Secure\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Secure\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
F:\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Secure\HiJack\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Secure\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] D:\Secure\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Secure\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDB3E88-5315-43E9-9D35-CDDAD745144D}: NameServer = 194.97.173.124 194.97.173.125
Re: Bloodhound.Exploit.6 a-search.biz
Hi japanese-toy
Nur noch den:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
Gruss rolfpower
Re: Bloodhound.Exploit.6 a-search.biz
Hallo Rolf,
auch dieser Log gehört zu denen,
die ich in den letzten 30 Stunden nicht in den Griff bekam.
Ich hab Laufwerk C formatiert und mittlerweile neu aufgespielt.
Nochmals ein DANK an ALLE !!!
Gruß
Andreas
Re: Bloodhound.Exploit.6 a-search.biz
Hallo Rolf,
auch dieser Log gehört zu denen,
die ich in den letzten 30 Stunden nicht in den Griff bekam.
Ich hab Laufwerk C formatiert und mittlerweile neu aufgespielt.
Nochmals ein DANK an ALLE !!!
Gruß
Andreas
Hallo
Das problem wird seindas du dir Programm Spybot runtergeladen hast !
Wenn du es ausschaltes unten in der Task leiste wird dir norten anti virus sofort den VIRUS : Bloodhound.Exploit.6 anzeigen dieses PROGRAMM gehört gelöscht, doch es wurde mit Sicherheit schon 100000 geladen !!! Ist ja TATÜRLICH auch umsonst !!!!!
Danke an Patrick M Kolla dafür das er uns alle spionieren kann !!!
HP: http://www.safer-networking.org
Gruß Helfer 666
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
