Hallo Leute,

ich hab mal eine Bitte.

Vor einiger Zeit habe ich mir einen Trojan eingefangen, den bringe ich nicht mehr weg. Es ist wahrscheinlich ein Browser Hijacker

Symantec meldet zwar den Trojan (cdplayer.ini:rycrxk) kann aber nichts löschen oder reparieren.

Ich entferne zwar immer alle Registryeinträge und lösche die erzeugten Dateien, aber die Ursache kann ich nicht finden.
Die Dateien werden immer neu generiert. Ich habe zwar Firefox
als Browser, doch manchmal brauche ich auch den Dateiexplorer und dann geht es schon los.
Eigentlich wollte ich das System platt machen und neu aufspielen.


In diesem Forum bin ich auf Hijack aufmerksam geworden.

Ich habe mein Sytem mal durchlaufen lassen, hier die Dateien.

Kann jemand erkennen welche Datei den Unfug erzeugt und was ich machen soll?

Für eine Hilfe wäre ich dankbar, ansonsten muß ich leider den anderen Weg gehen.


Logfile of HijackThis v1.99.1
Scan saved at 11:28:59, on 07.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\wampp2c\apache\bin\Apache.exe
C:\WINDOWS\System32\GEARSec.exe
C:\wampp2c\mysql\bin\mysqld-nt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\wampp2c\apache\bin\Apache.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\InkSaver\InkSaver.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ASCOMP Software\Task Wizard\TaskWiz.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Jürgen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {927E57D6-F30D-0656-3454-9DCE557E5E8E} - C:\WINDOWS\system32\sysyz32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [CRC Value Verifier] svchost32.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [InkSaver] C:\Programme\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [BOL Master] D:\Setup.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [WindowsUpdate Service] wuautlc.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [CRC Value Verifier] svchost32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O4 - Global Startup: Task Wizard.lnk = C:\Programme\ASCOMP Software\Task Wizard\TaskWiz.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfan\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://security.symantec.com
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crdi32.exe (file missing)
O23 - Service: Apache2 - Unknown owner - C:\wampp2c\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: MySql - Unknown owner - C:/wampp2c/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hi!

Fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\copxn.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {927E57D6-F30D-0656-3454-9DCE557E5E8E} - C:\WINDOWS\system32\sysyz32.dll

O4 - HKLM\..\Run: [blah service] msnmsgrr.exe

O4 - HKLM\..\Run: [CRC Value Verifier] svchost32.exe

O4 - HKLM\..\RunServices: [WindowsUpdate Service] wuautlc.exe

O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe

O4 - HKLM\..\RunServices: [CRC Value Verifier] svchost32.exe

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crdi32.exe (file missing)

O23 - Service: Apache2 - Unknown owner - C:\wampp2c\apache\bin\Apache.exe" -k runservice (file missing)

============================

Killbox: (bebilderte Anleitung)
http://virus-protect.net/killbox.html

Füge folgende Dateien ein:

*C:\WINDOWS\system32\sysyz32.dll
*msnmsgrr.exe
*svchost32.exe
*wuautlc.exe

NEUSTART

===========================

http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Download durch Klick auf den entsprechenden Link starten.

http://virus-protect.net/killbox.html
Ab diesem Punkt, folge der Anleitung!

===========================

CCleaner--> loesche alle *temp-Datein
http://virus-protect.net/temp.html

===========================

•Online-Scann (Panda)
http://virus-protect.net/onlinescan.html
===========================

Vor einiger Zeit habe ich mir einen Trojan eingefangen, den bringe ich nicht mehr weg. Es ist wahrscheinlich ein Browser Hijacker

Sorry aber so eine verseuchte Kiste habe ich schon lange nicht mehr gesehen. Du hattest mindestens 3 !!! Trojaner bzw. Viren drauf!

MfG,

Hi,

noch mal besten Dank für alles.
Hab alles gemacht genau wie beschrieben
Es hat geholfen, alles weg.
Die verseuchte Kiste funktioniert tatsächlich wieder einwandfrei.
Das hat mir jetzt eine Menge Arbeit erspart.
Ich hatte schon einige Zeit nach Lösungen gesucht das Zeug los zu werden.
Bisher habe ich immer nur gelesen, man soll das System neu Aufspielen.

Ein Super Forum hier.

Ein Frage, wenn das Trojaner waren, warum erkennt die nicht eine Antivierensoftware von Symantec?
Wozu gebe ich da Geld aus?


Gruß

Gern geschehen

Um Spyware / Malware / Adware gut bekämpfen zu können, muss man immer die neuesten Signaturen bzw. Virendateien/Adwaredateien der verschiedenen Software laden. Trojaner und Malware etc. entwickeln sich so schnell und es gibt so schnell so viele varianten eines Trojaners, das man immer auf dem neuesten Stand sein sollte. Ein Antivirenprogramm sollte JEDEN TAG auf updates geprüft werden. Ein auch sehr hilfreiches Tool ist spywareblaster.

MfG,