Computerhilfen.de Logo
Forum
Tipps
News

Tofger.BI.2 +escan

Hallo Leute!
Riesenproblem!
Dieser verflixte Trojaner Tofger.BI.2 lässt sich absolut nicht entfernen. Egal, ob escan(auch abgesicherter Modus), sysclean, antivir, stinger, a2 etc. Er kommt immer wieder. Escan listet zwar die befallenen Dateien auf, aber ich kann sie nicht manuell entfernen(A00*.exe-Dateien, htpatch.bak, etc.) Was kann ich machen? Wie kann ich mit escan die betroffenen Dateien löschen? Geht das überhaupt? Von 26 erkannten Viren wurden nur 11 gelöscht. Habe hier in diesem Forum auch schon alle Tips durch.
Bitte helft mir!
Gruß,
Kay



Antworten zu Tofger.BI.2 +escan:

Wo liegen denn die Dateien in welchem Ordner?
Is das alles der gleiche Virus?

Poste mal ein Hijackthis-Log (V 198.2)

Gruß

Ja, die meisten im C:\Windows-Ordner. Es hiess immer was mit Trojaner. Aber auf dem Desktop meldet sich immer nur der Tofger.BI.2

Gruß,
Kay

P.S.: Wier erstelle ich dieses Hijackthis-File??

Zitat
Es hiess immer was mit Trojaner
Muss ja im AVScanner-Log stehn welche Dateien wo mit was infiziert sind.

Download-Hijackthis

Kleine Anleitung hier unter 2.
http://www.computerhilfen.de/hilfen-17-30578-0.html


Gruß

So hier das File!
Gruß,
Kay

Logfile of HijackThis v1.98.2
Scan saved at 22:11:36, on 23.08.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\apppe32.exe
C:\Programme\Ahead\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\My Received Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5CFEB4E0-8479-632E-797D-F22850C1CBCD} - C:\WINDOWS\system32\atlml32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [apppe32.exe] C:\WINDOWS\system32\apppe32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)

So hier das File!
Gruß,
Kay

P.S.: Soll ich das dann alles "fixen"?

Logfile of HijackThis v1.98.2
Scan saved at 22:11:36, on 23.08.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\apppe32.exe
C:\Programme\Ahead\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\My Received Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5CFEB4E0-8479-632E-797D-F22850C1CBCD} - C:\WINDOWS\system32\atlml32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [apppe32.exe] C:\WINDOWS\system32\apppe32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)


Besorg dir About:Buster

Damit scannen und danach nochmaln Log machen.

Gruß

suche mal unter C:\ nach 6432.exe und 64SP32sy.exe wenn vor handen in den Abgesicherter Modus zu DOS

del 6432.exe
del 64SP32sy.exe

neu starten

bei mir hat’s geholfen :)

Hi Nighty!
Endlich habe ich heute geschafft About: Buster
zu downloaden.
Hier das Ergebnis des Scans:-- Scan 1 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 6 Random Key Entries
Deleted 2 Service Keys Successfully!
Removed! : C:\WINDOWS\fjcvv.dat
Removed! : C:\WINDOWS\fqmbo.dat
Removed! : C:\WINDOWS\kuave.dat
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 6 Random Key Entries
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

Tofger nervt nach wie vor!
Bitte um Hilfe!Dringend!Gruss Kay

Hi Fargo/Gast!

Habe nach den Dateien gesucht:

6432.exe  +   64SP32sy.exe auf C\:

aber nichts gefunden!!!!!!!!! ???

Gibst noch jemanden der weiss, wie das Problem
zu beheben ist??????
Warte auf Hilfe!DAnke KAy!

Hast du Escan vorher upgedatet + vor dem Scannen Alle Laufwerke und Services bei den Einstellungen angeklickt ?

Wenn nicht nochmal machen..ansonsten machste nochn Hijackthis-Log und schaust hier:
http://www.computerhilfen.de/hilfen-17-32951-0.html

Gruß

« Letzte Änderung: 27.08.04, 21:42:21 von Nighty »

@Nighty
Hier nochmal das Hijackthis-File. Das mit escan hatte ich alles ordnungsgemäß gemacht.
Muss ich eigentlich die Probleme dann "fixen"?
Mit der Anleitung von Dir komme ich nicht ganz zurecht. Den "Network Security Service" finde ich nicht bzw. auch keine rotmarkierten Dateien. Sorry deswegen - bin halt ein Laie. Wäre trotzdem sehr nett, wenn Du mit mir weiterhin Geduld hast.
Gruß,
Kay

P.S.: Tofger nervt natürlich immer noch!



Logfile of HijackThis v1.98.2
Scan saved at 22:50:42, on 29.08.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\apppe32.exe
C:\Programme\DVD Shrink\DVD Shrink 3.1.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\My Received Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5CFEB4E0-8479-632E-797D-F22850C1CBCD} - C:\WINDOWS\system32\atlml32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [apppe32.exe] C:\WINDOWS\system32\apppe32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunOnce: [netwq32.exe] C:\WINDOWS\system32\netwq32.exe
O4 - HKLM\..\RunOnce: [msyu32.exe] C:\WINDOWS\system32\msyu32.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)

Zitat
Muss ich eigentlich die Probleme dann "fixen"?
Welche probleme meinst du?

Zitat
Den "Network Security Service" finde ich nicht bzw. auch keine rotmarkierten Dateien

Meistens heist er so, kann aber auch anderst heissen:
- Workstation Netlogon Service
- Remote Procedure Call (RPC) Helper

Und wo wolltest rote Dateien finden? Die sind doch nur in der Anleitung als Beispiel im LOG rot markiert und sind natürlich bei jedem anderst.

Bei dir:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nvyga.dll/sp.html#37049
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {5CFEB4E0-8479-632E-797D-F22850C1CBCD} - C:\WINDOWS\system32\atlml32.dll

O4 - HKLM\..\Run: [apppe32.exe] C:\WINDOWS\system32\apppe32.exe

O4 - HKLM\..\RunOnce: [netwq32.exe] C:\WINDOWS\system32\netwq32.exe

O4 - HKLM\..\RunOnce: [msyu32.exe] C:\WINDOWS\system32\msyu32.exe

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)


Jetzt weisst was schädlich ist und damit soltest die Anleitung abarbeiten können.

Beim Fixen etc sollte der Internet-Explorer immer zu sein egal ob normaler-mode oder abgesichert, sonst schreibt er sich jeweils immer neu wenn du was fixst.

Kopierst dir die Anleitung + das hier in den Editor/Notepad dann brauchst den IE nicht.

Gruß

@Nighty
Großer Notstand!
Hatte schonmal selbst angefangen und wohl zuviel Probleme behoben. Plötzlich ging Opera nicht mehr. Und komischwerweise auch nicht mehr nach der Neuinstallation. Habe bei Hijackthis "Restore" gemacht, hat aber nix gebracht.
Dazu kam, dass der Tofger mittlerweile eine d3hu.exe angreift, d.h. keine *.exe-Dateien und Anwendungen funktionieren mehr. Schreibe auch grad vom Computer meines Kumpels. Irgendwelche letzten Ideen für mich oder soll ich dem ein Ende machen und formatieren??  :P

Gruß,
Kay

OK - das wars. Platte geplättet und alles neu draufgebracht. Sorry Nighty, hatte echt keinen Sinn mehr! Trotzdem danke für Deine Hilfe. Ich kann echt nur warnen - Tofger.BI.2 + Tofger.BI.5 waren beide bei mir drauf und haben letztendlich alles lahmgelegt. Vielleicht sollte dieses Thema unter "Wichtig" abgespeichert werden.
Sowas hatte ich echt noch nie! Ein extrem rabiater Virus trotz Standardvorsichtsmaßnahmen. Zonealarm + antivir + Konsorten haben letztendlich nichts genützt!  :-X

Gruß,
Kay

Auf jedenfall solltest mal was an den Ursachen ändern ..
IE6 SP1 + XP-SP2 aufspielen und danach Windows-Update ausführen.

Und dann den Browser wechseln zb.Firefox.
Die Hijacker die du hattest kommen alle durch Sicherheitslückwen des IE's für die es keine Patches gibt.

Und zuletzt nochn gutes AV-Proggie wie Kaspersky

Gruß

Hi,
das war schön zu lesen,ich bedanke mich bei allen!
Mein Kumpel hat dieses Biest auch,da kann er auch
neu installeren,mit den entspr.Updates

Mfg   Eisenherz

Ps: er wird sich freuen......


« home searchw32.randex und keine hilfe??????? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!