|
Plagegeister aller Art und deren Bekämpfung: Kriege Websearch-variante nicht entfernt!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.05.2004, 16:44 | #1 |
| Kriege Websearch-variante nicht entfernt! Hallo! Bin relativ neu hier und hoffe das dieser Thread an der richtigen Stelle steht. Also bei mir hat sich vor ein paar Tagen eine Websearch-Variante eingeschlichen. Diese hat meine Startseite verändert Badlinks(Hijack) gemacht. Habe als erstes temporäre Dateien und Cookies entfernt. Das half natürlich nichts. Dann folgende Programme ausprobiert : Add-Aware, CW Shredder, Spybot - Search & Destroy, Hijack This, Sphjfix und Reg Clean. Also alle empfohlenen Programme. Doch leider ohne Wirkung. Entweder wird was gefunden und angeblich repariert, aber dann ist es beim Neustart wieder da oder es wird nichts gefunden. Geupdatetd habe ich die Proggys auch so weit ein Update vorhanden war. Hier mal eine log aus HijackThis: ---------------------------------------------------------------------------------- R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://D:\PROGRA~1\Toolbar\toolbar.dll/sa R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - D:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - D:\Programme\QuickSearch\QuickSearchBar1_27.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - D:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - D:\Programme\QuickSearch\QuickSearchBar1_27.dll O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file) O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Config33.exe] Config33.exe O4 - HKLM\..\Run: [WinTools] D:\Programme\Common files\WinTools\WToolsA.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [Config33.exe] Config33.exe O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...886.4935648148 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F0D44B-7437-4DF7-87B4-DE99DFED1876}: NameServer = 217.237.149.161 194.25.2.129 -------------------------------------------------------------------------------- Weiss nicht was ich da machen soll. Auf jeden Fall habe ich die Sachen mit "GReatSearch" angeklickt. Die löscht er auch aber kommen beim Neustart wieder. By Addaware hat er das gefunden: -------------------------------------------------- ArchiveData(auto-quarantine- 21-05-2004 00-14-52.bckp) ====================================================== NEW.NET ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[0]=Verzeichnis : D:\Programme\NewDotNet obj[8]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\new_net.exe obj[21]=Datei : d:\programme\newdotnet\newdotnet6_22.dll obj[22]=Datei : d:\programme\newdotnet\uninstall6_22.exe obj[35]=Datei : d:\windows\ndnuninstall5_20.exe obj[36]=Datei : d:\windows\ndnuninstall6_22.exe VIRTUALBOUNCER ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[1]=Verzeichnis : D:\Programme\VBouncer TRACKING COOKIE ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[2]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@180solutions[1].txt obj[3]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@as1.falkag[1].txt obj[4]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@mediaplex[1].txt obj[29]=Datei : d:\windows\temp\cookies\freak@mediaplex[1].txt 180SOLUTIONS ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[5]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\fleok\msbb.exe obj[6]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\msbb.exe obj[7]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\ncmyb.dll obj[43]=Datei : d:\windows\wfwxydsx.exe WEBHANCER ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[9]=Datei : d:\program files\webhancer\programs\whagent.ini obj[42]=Datei : d:\windows\webhdll.dll obj[44]=Datei : d:\windows\whagent.inf obj[45]=Datei : d:\windows\whinstaller.exe obj[46]=Datei : d:\windows\whinstaller.ini CLEARSEARCH ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[10]=Datei : d:\programme\clearsearch\loader.exe obj[23]=Datei : d:\programme\stc\clrschp070.exe ADROTATOR ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[11]=Datei : d:\programme\common files\slmss\slmss.exe obj[24]=Datei : d:\programme\stc\slmss.exe obj[32]=Datei : d:\windows\ieasst.dll obj[33]=Datei : d:\windows\mwsvm.bin obj[34]=Datei : d:\windows\mwsvm.exe obj[40]=Datei : d:\windows\urls.bin obj[41]=Datei : d:\windows\vurls.bin SHIELD-BLSS ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[12]=Datei : d:\programme\edonkey2000\support\bl-install4.exe EZULA ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[13]=Datei : d:\programme\edonkey2000\support\ezstub.exe obj[14]=Datei : d:\programme\ezula\chcon.dll obj[15]=Datei : d:\programme\ezula\eabh.dll obj[16]=Datei : d:\programme\ezula\genun.ez obj[17]=Datei : d:\programme\ezula\mmod.exe obj[18]=Datei : d:\programme\ezula\seng.dll obj[31]=Datei : d:\windows\ezinstall.exe IBIS TOOLBAR ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[19]=Datei : d:\programme\gemeinsame dateien\wintools\btiein.dll obj[20]=Datei : d:\programme\gemeinsame dateien\wintools\wintools.exe obj[26]=Datei : d:\programme\toolbar\iexploreskins.exe SECONDTHOUGHT ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[25]=Datei : d:\programme\stc\stc.exe obj[28]=Datei : d:\windows\system32\idleui.dll DIALXS ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[27]=Datei : d:\windows\downloaded program files\dialxs.ocx VX2.BETTERINTERNET ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[30]=Datei : d:\windows\alchem.exe obj[38]=Datei : d:\windows\preinstt.exe obj[39]=Datei : d:\windows\twaintec.dll WEBDIALER ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[37]=Datei : d:\windows\ole32ws.dll -------------------------------------------------------------- zeigt keine Wirkung.......... Dann bei Spybot das hier : --------------------------------------------------------------------- DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-515967899-492894223-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 --- Spybot - Search && Destroy version: 1.3 --- 2004-05-12 Includes\Cookies.sbi 2004-05-12 Includes\Dialer.sbi 2004-05-12 Includes\Hijackers.sbi 2004-05-12 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2004-05-12 Includes\Malware.sbi 2004-05-12 Includes\Revision.sbi 2004-05-12 Includes\Security.sbi 2004-05-12 Includes\Spybots.sbi 2004-05-12 Includes\Tracks.uti 2004-05-12 Includes\Trojans.sbi ----------------------------------------------------------- Und die anderen haben gar nichts gefunden. Ich weiss nichtmal welche Variante das von Websearch ist. Wenigstens hat Spybot die Hijack Verlinkung blockiert. Trotzdem hängt sich manchmal die Startseite auf. Als Alternative benutze ich Firefox. Aber der gefällt mir nicht so gut. Von der Oberfläche usw. Deswegen würde ich gerne den IE weiter verwenden.Wie kriege ich den Eintrag raus der die Startseite verändert? PS: Ich hatte die ganze Zeit Norton Antivirus laufen das sich regelmäßig selber updated. |
23.05.2004, 17:04 | #2 |
Kriege Websearch-variante nicht entfernt! Hallo Andy und Willkommen im Board,
__________________schau dir bitte mal diesen Thread an. Das dürfte 'passen'. Edit: Thread verschoben nach 'Trojaner-Info Trojaner, Viren, Würmer'
__________________ |
23.05.2004, 18:06 | #3 |
| Kriege Websearch-variante nicht entfernt! Danke!!!!!!!!!!!!!!!!!
__________________Könnt diesen hier ja dicht machen. Es hat geklappt. Der Dreck is weg.......jetzt den neuesten Sicherheitspatch besorgen! |
Themen zu Kriege Websearch-variante nicht entfernt! |
adobe, alternative, antivirus, bho, dateien, einstellungen, explorer, file, hijack, hijack this, hijackthis, hängt, icq, internet, internet explorer, log, messenger, microsoft, neu, neustart, object, programme, s-1-5-18, software, symantec, tcpip, temporäre dateien, urlsearchhook, windows, windows\temp |