Searchforit und andres glomb

scut · 26.05.2005, 18:27

Hi,
könnt ihr mal bitte an meiner Config drüberschauen und mir sagen wie ich das Zeugs wegbekomm, v.a. das Searchforit. Benutz AV Gaurd und Spybot -Searh and Destroy. Bei dem Spybot dingen fällt mir immer wieder auf dass ich nach einem neustart und erneutem scannen wieder die gleichen cookies erscheinen wie beim scan davor.

wäre euch sehr dankbar.

mfg
scut

log:

Logfile of HijackThis v1.99.1
Scan saved at 19:23:27, on 26.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\proton\proton.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\scut\LOKALE~1\Temp\Rar$EX00.421\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\system32\replaceSearch.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [ifgdshkv] C:\WINDOWS\ifgdshkv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109341905875
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - h**p://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E48A7A9-CF22-402A-B008-4BA67A15CB7C}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E48A7A9-CF22-402A-B008-4BA67A15CB7C}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
_____________
Anm.
Aktive Links editiert!
Beachte die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Rene-gad · 26.05.2005, 18:38

@scut
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Lese bitte die Anleitung zum HJT und insatlliere das Tool in einem eigenen Verzeichnis.

Fixe diese Einträge:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar
R3 - Default URLSearchHook is missing
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\system32\replaceSearch.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [ifgdshkv] C:\WINDOWS\ifgdshkv.exe
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://h**p://www.adshooter.com/pop_...0/SYSsfitb.cab

Lösche im abghesicherten Modus diese Dateien:

Zitat:

C:\WINDOWS\system32\replaceSearch.dll
c:\programme\180solutions\sais.exe
C:\WINDOWS\ifgdshkv.exe

Haui45 · 26.05.2005, 18:41

Hallo,

eScan runterladen und updaten. Speichere die Anleitung am besten als *.pdf ab. Schau dir dazu bitte auch diesen Thread von mir an.
Spybot Search&Destroy und Ad-Aware runterladen, installieren und updaten. Clearprog runterladen.

Starte den Pc im abgesicherten Modus.

Lösche mit Clearprog den Cache des IE und alle Temp-Files von Windows.

Deinstalliere, falls möglich, unseriöse Software (z.B. 180solutions o.ä.) über "Systemsteuerung-> Software"

Fixe mit Hijackthis (mit HjT scannen, Haken setzen und "fix checked" anklicken)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar
R3 - Default URLSearchHook is missing

O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\system32\replaceSearch.dll

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [ifgdshkv] C:\WINDOWS\ifgdshkv.exe

O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - h**p://www.adshooter.com/pop_shoote...00/SYSsfitb.cab

Lösche manuell:
c:\programme\180solutions
C:\WINDOWS\ifgdshkv.exe
C:\WINDOWS\system32\replaceSearch.dll

Scanne mit Ad-Aware und Spybot S&D

Scanne jetzt mit eScan und lösche die gefundenen Dateien wie in der Anleitung beschrieben. (bei Dateien, die als "not-a-virus" solltest du vorsichtig sein).

Neustart

Alternativen Browser wählen!

Neues HijackThis-Logfile und die "Virus-Log-Information von eScan posten. Problem gelöst?

PS: Falls du Probleme hast, die Dateien zu finden, nimm bitte folgende Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

BTW: Editiere bitte die Links so, wie ich es gemacht habe.

EDIT: zu langsam

scut · 26.05.2005, 19:23

Hi,
so hoffe ich habe alles editiert was editiert sein muss. viele Dank für eure schnelle Antwort. werd mich mal hinsetzten und das zeugs machen was ihr mir geraten habt

.

vielen dank schonmal !

// edit:
hab jetzt mal soweit alles gemacht, hoffe dass ich auch alles richtig gemacht habe. eScan hat och einiges gefunden hier mal die log:

// wie kann ich die log einfügen? :> sind bischen zu viel zeilen

Vielen Dank für eure Hilfe.

mfg
scut

Haui45 · 28.05.2005, 01:33

-> http://www.trojaner-board.de/showthr...340#post145340
Führe dann die von dir erstellte Find.bat mittels Doppelklick aus und poste den Inhalt der automatisch erstellten C:\eScan_neu.txt

Searchforit und andres glomb

Log-Analyse und Auswertung: Searchforit und andres glomb