Bloodhound.Exploit.6 a-search.biz

Status
Für weitere Antworten geschlossen.
J

japanese-toy

Guest
Moin User,

hab seit gestern einen Trojaner drauf, wie oben zulesen meldet Norton AntiVirus einen Bloodhound.Exploit.6, Startseite des IE lautet a-search.biz.

Ich hab schon mein System wie folgt gescannt und gefixt, adaware, CWshredder, Spybot und Regsupreme durchlaufen lassen.

Sollte alles clean sein, jedoch installiert sich das Ding immer wieder von selbst.

Hat jemand eine Idee?

Gruß
Andreas

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hallo Christian,

hier mein Log, der von der HP als clean getestet wurde:

Logfile of HijackThis v1.98.2
Scan saved at 12:11:45, on 02.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Secure\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Secure\Popup Ad Filter\PopFilter.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Secure\HiJack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Secure\Spybot\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SmcService] D:\Secure\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\DVD\Clone\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINDOWS\system32\iernonce.dll,RunOnceExProcess
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Secure\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
Please, Anmelden or Registrieren to view URLs content!

O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDB3E88-5315-43E9-9D35-CDDAD745144D}: NameServer = 194.97.173.124 194.97.173.125

 
C

chris7ian

Guest
Re: Bloodhound.Exploit.6 a-search.biz

fix mal diese 2 einträge:

F2 - REG:system.ini: UserInit=Userinit.exe,

O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINDOWS\system32\iernonce.dll,RunOnceExProcess

lg

christian

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hallo Christian,

leider blieb die Sache unverändert.

Gruß
Andreas

 
C

chris7ian

Guest
Re: Bloodhound.Exploit.6 a-search.biz

findet norton was???

scan mal mit NAV

und schau ob er was findet

lg

christian

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Norton hat 4 Dateien gefunden, 3 gelöscht 1 davon wird unterbunden, aber genau diese Datei wird als Prozess im System erneut ausgeführt.

 
C

chris7ian

Guest
Re: Bloodhound.Exploit.6 a-search.biz

was ist wenn du diese datei Händisch löscht???

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hab alles diesgezügliche gelöscht. Jedoch startet sich die xwxload.exe immer wieder neu.

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

W32.Swen..... wurde nicht gefunden.

 
C

chris7ian

Guest
Re: Bloodhound.Exploit.6 a-search.biz

ich bin langsam ratlos

tut mir wirklich leid, aber vil. hat ja rolfpower eine antwort darauf

lg

christian

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

ich hab jetzt mal etwas gegoogelt und kam zu folgendem Programm:

eScan, Logfile:

File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\zaebalinah.exe infected by "TrojanDownloader.Win32.Apher.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.

Um aber die Dateien ausradieren zu können muss ich das Programm für ca. 50 Eurodollar freischalten lassen, mach ich aber nicht....

 
A

anonymum2

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hi japanese-toy

Versuche mal in > Suchen < xwxload.exe einzugeben und wenn sie erscheint, die Quelldatei zu ermitteln um sie dann von Hand zu löschen. Dazu wäre Tune-Up geeignet.

Gruss rolfpower

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Moin rolfpower,

auch dir vielen Dank für die Mühe, aber leider auch dies ohne Erfolg.
Die Sache zieht einen immer größer werdenden Kreis hinter sich her. Neues Problem:

* WinAdTools.exe
* WinRatchet.exe

lassen sich nicht beenden.

So, die Sache mit dem WindowsAdTool ist erledigt, jedoch bekomm ich folgende Dinge nicht gefixt.

Logfile of HijackThis v1.98.2
Scan saved at 07:11:46, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Secure\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Secure\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Secure\HiJack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Secure\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] D:\Secure\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Secure\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -

Lt. vorgabe der HP soll gefixt werden:

F2 - REG:system.ini: UserInit=Userinit.exe, Unbekannt
Unbekannt Wird seit HijackThis 1.98 angezeigt. Steht nichts hinter dem "," (Komma), gut. Nicht bekanntes Programm.

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - Böse
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - Eventuell Böse
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

Ich fixe die Dateien, jedoch sind sie beim nächsten Scan wieder da.

[Editiert am 3/11/2004 von japanese-toy]

 
A

anonymum2

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hallo japanese-toy
Bei jeder Netconnection wird Dein System neu infiziert. Überprüfe die Firewall und aktualisiere AV
+ Windows
Fixen:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
F2 - REG:system.ini: UserInit=Userinit.exe,
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -

Gruss rolfpower

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hallo Rolf,

alles weiterhin ohne Erfolg.

Die angegebenen Dateien hab ich ich glaube ich schon 50 mal gefixt und die kommen immer wieder, ich glaub ich lösch die Platte und spiele die Gldquelle von Bill neu auf.

Logfile of HijackThis v1.98.2
Scan saved at 14:00:05, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Secure\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Secure\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
F:\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Secure\HiJack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Secure\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] D:\Secure\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Secure\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDB3E88-5315-43E9-9D35-CDDAD745144D}: NameServer = 194.97.173.124 194.97.173.125



 
A

anonymum2

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hi japanese-toy

Nur noch den:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -

Gruss rolfpower

 
J

japanese-toy

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hallo Rolf,
auch dieser Log gehört zu denen,
die ich in den letzten 30 Stunden nicht in den Griff bekam.

Ich hab Laufwerk C formatiert und mittlerweile neu aufgespielt.

Nochmals ein DANK an ALLE !!!

Gruß
Andreas

 
H

Helfer666

Guest
Re: Bloodhound.Exploit.6 a-search.biz

Hallo Rolf,
auch dieser Log gehört zu denen,
die ich in den letzten 30 Stunden nicht in den Griff bekam.

Ich hab Laufwerk C formatiert und mittlerweile neu aufgespielt.

Nochmals ein DANK an ALLE !!!

Gruß
Andreas


Hallo

Das problem wird seindas du dir Programm Spybot runtergeladen hast !

Wenn du es ausschaltes unten in der Task leiste wird dir norten anti virus sofort den VIRUS : Bloodhound.Exploit.6 anzeigen dieses PROGRAMM gehört gelöscht, doch es wurde mit Sicherheit schon 100000 geladen !!! Ist ja TATÜRLICH auch umsonst !!!!!

Danke an Patrick M Kolla dafür das er uns alle spionieren kann !!!

HP:
Please, Anmelden or Registrieren to view URLs content!


Gruß Helfer 666

 
Status
Für weitere Antworten geschlossen.
Oben