| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Immer wieder Search ForWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.05.2004, 02:20
| #1 |
| |  Immer wieder Search For Habe das Problem,das der IE und auch der Slimbrowser beim Start immer auf Search for eingestellt sind auch noch dazu nicht zu benutzen sind,da nach 1-2 Seitenaufrufen Schluss ist und keine Seiten mehr aufgerufen werden koennen. Der Fortschrittsbalken kriecht dahin und bleibt dann haengen ohne das die Seite zu sehen ist. Mit Mozilla gibt es hier keine Probleme. Ich denke aber solange der IE und Slim-Browser nicht funzen ist auch die Malware noch da. Und die muss weg. Spybot hat auch eine Istbar.slotch entdeckt die nicht zu entfernen ist Ich hatte das schon gehabt mal aber nur beim Mailversand mit dem Ergebnis,das der Browser abstuerzte. Mit Ad Aware habe ich dem Treiben ein Ende gesetzt aber hier in diesem Fall hilft das Tool nicht weiter. Hier ein Log aus Hijackthis: Was von dem kann ich ruhigen Gewissens fixen ? thx chimbo </font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7 Scan saved at 21:05:53, on 26.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\DriveCrypt\DcrServ.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\System32\GEARSec.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE401.exe C:\WINDOWS\System32\svchost.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\Programme\Common files\WinTools\WToolsS.exe C:\WINDOWS\Explorer.EXE C:\Programme\Common files\WinTools\WToolsA.exe C:\Programme\Common files\WinTools\WSup.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\ich\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {22CE6AEE-BB95-4CE3-B0F3-4BE6AF949C18} - C:\WINDOWS\system32\kawlovu.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\examples\wsbho2k0.dll O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file) O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Web Rebates - file://C:\Programme\WebRebates\System\Temp\topr1150_script0.htm O9 - Extra button: Trace (HKLM) O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM) O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cslsp.dll' missing O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{08F2FC40-B746-42A5-A240-36060E22D4C3}: NameServer = 200.44.32.12,200.44.32.13 O17 - HKLM\System\CS2\Services\Tcpip\..\{08F2FC40-B746-42A5-A240-36060E22D4C3}: NameServer = 200.44.32.12,200.44.32.13 O17 - HKLM\System\CS3\Services\Tcpip\..\{08F2FC40-B746-42A5-A240-36060E22D4C3}: NameServer = 200.44.32.12,200.44.32.13 </font>[/QUOTE] |
|
27.05.2004, 13:13
| #2 |
  | Immer wieder Search For R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
__________________R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {22CE6AEE-BB95-4CE3-B0F3-4BE6AF949C18} - C:\WINDOWS\system32\kawlovu.dll O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\examples\wsbho2k0.dll O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll ------------------------------------------------ ich kann nicht 100% sagen was für immer wegmuss, aber diese einträge scheinen doch merkwürdig zu sein. hast du ein FTP tool? oder zu acrobat reader plugins installiert? wenn nicht sollte man auf die einträge mit 02 voran achten! mach mal im abgesicherten modus einen fullscan mit dem virenscanner. was ergibt eigentlich ein scan mit spybot search & destroy?? nach viren auch schon gecheckt? verändert sich deine startseite? grundsätzlcih kann man nacher eh nicht viel anderes machen um etwaigen viren/würmern auf die schliche zu kommen, ob log oder nicht log... besten gruss rock |
|
27.05.2004, 13:17
| #3 |
 | Immer wieder Search For </font><blockquote>Zitat:</font><hr />
__________________R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {22CE6AEE-BB95-4CE3-B0F3-4BE6AF949C18} - C:\WINDOWS\system32\kawlovu.dll O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\examples\wsbho2k0.dll O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file) O8 - Extra context menu item: Web Rebates - file://C:\Programme\WebRebates\System\Temp\topr1150_script0.htm O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cslsp.dll' missing [/QB]</font>[/QUOTE]Hi, hast du denn mal im abgesicherten Modus (F8-Boot) mit Cwshredder, Ad-Aware & Spybot mehrmals gefixt/bereinigt ? s. a. die angeheftenen Beiträge im Viren-Forum (obiger Link) * Webrebate ? Kennst/brauchst du das ? mal mit KAV prüfen bzw. entfernen dito diese wintools/wtools prüfen.. und obige zitierte Einträge fixen/bereinigen (SafeMode) gehören die IP-Adresse unter O17 zu deinem Provider (s. Whois oder tracert) ? -> "Latin American and Caribbean IP address Regional Registry" bzw. " TUCOWS INC. / .CANTV.NET": sagt dir das was ?  [ 27. Mai 2004, 14:23: Beitrag editiert von: Who Cares ] |
|
27.05.2004, 13:19
| #4 |
| | Immer wieder Search For HAI HAI Rock... [img]smile.gif[/img] |
|
27.05.2004, 13:19
| #5 |
| | Immer wieder Search For wenn man ein bissl mehr zeit hat kann man sich bei rokop mal diese sachen "zergehen lassen"... http://www.rokop-security.de/main/article.php?sid=703 gruss rock |
|
27.05.2004, 13:19
| #6 |
| |  Immer wieder Search For HAI HAI,...auch schon lang nimmer gesehen... [img]graemlins/lach.gif[/img] gruss rock |
|
27.05.2004, 13:20
| #7 |
| |  Immer wieder Search For achtung, du schreibst gleich dein 700! posting hier... |
|
27.05.2004, 17:47
| #8 |
| | Immer wieder Search For ich habe alles das gemacht bis auf das Fixen mit Hijackthis das ich nicht wusste was Bockmist ist und was zum System gehoert. Spybot findet eine sogenannte Istbar.slotch die sich nicht entfernen laesst. Was ist das ? Ansonsten werde ich das jetzt mal fixen was oben steht. Die IP-Adressen 200.44.32.12 sind ok,da hab ich drauf gepingt weil ich Zugangs-Probleme hatte. Cantv.net ist der Provider. |
|
| Themen zu Immer wieder Search For |
| ad aware, adobe, antivirus, antivirus scan, aufrufe, bho, cs3, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, internet, internet explorer, logfile, mailversand, malware, mozilla, mozilla firefox, nicht, nvcpl.dll, object, problem, registry, rundll, shockwave, software, sun java, symantec, system, tcpip, temp, urlsearchhook, windows, windows xp |
Linear-Darstellung
