|
Plagegeister aller Art und deren Bekämpfung: Kennt jemand TR/Small.Dld.FO bzw. greatsearch.bizWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.04.2004, 14:53 | #1 |
| Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Hallo, bin zwar ganz neu hier habe aber gerade ein riesiges Problem. Antivir hat gerade den Trojaner TR/Small.Dld.FO in der Datei xwxload.exe gefunden und gelöscht, dann bin ich wieder ins Internet und schwupps war er wieder da. Ich vermute, dass es einen Zusammenhang gibt zur Seite )!!!ACHTUNG; AUF KEINEN FALL DRAUFKLICKEN!!!) ****http://greatsearch.biz/****, die sich bei mir als Startseite eingeschrieben hat und die ich ums verrecken nicht gelöscht bekomme. Kennt jemand den Trojaner bzw die Seite oder kann mir jemand Tips geben, wie ich sie wieder wegkriege. Bitte bei der Antwort nicht vergessen, ihr habt es mit einem Laien zu tun |
04.04.2004, 14:57 | #2 |
Gast | Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Mach erstmal einen Scan mit Ad-aware und Spybot.
__________________Beide Programme bitte vor dem Scan updaten. http://www.chip.de/downloads/c_downloads_8833064.html http://www.chip.de/downloads/c_downloads_8833199.html Beide Programme sind kostenlos und auf Deutsch erhältlich. Bei Ad-aware musst du zusätzlich noch eine deutsche Sprachdatei installieren. Falls du das Problem danach immernoch hast, dann downloade dir HijackThis und poste hierein dein Log. Download: http://www.wintotaldb.de/yad/softw.php?id=2022 |
04.04.2004, 16:55 | #4 |
| Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz OK, inzwischen habe ich mich an fast alle Vorschläge gehalten. Mit HijackThis habe ich auch verschiedene Dateien gefunden, die greatsearch.biz enthalten und versucht sie zu löschen, war aber nicht erfolgreich. Deswegen hier der logfile in der Hoffnung auf weitere Hilfe, was ich alles löschen muß: Logfile of HijackThis v1.97.7 Scan saved at 17:49:30, on 04.04.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\YAW\YAW.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\WINDOWS\DKDIAL.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\PROGRAMME\ULTIMATEZIP\UZQKST.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\OLECO\_OLECO.EXE C:\PROGRAMME\ULTIMATEZIP\UZIP.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://any-find.com/sp.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.lycos.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [YAW] "C:\PROGRAMME\YAW\YAW.EXE" O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O7 "EPUSB1:" /M "Stylus C44" O4 - HKLM\..\Run: [DKDial] C:\WINDOWS\dkdial.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab |
04.04.2004, 19:08 | #5 |
Moderator, a.D. | Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz MSIE: Internet Explorer v5.00 (5.00.2614.3500) http://www.windowsupdate.com besuchen und aktuellen IE installieren! Weißt Du, was C:\WINDOWS\DKDIAL.EXE ist? Evtl. mit rechte Maustaste/Eigenschaften und unter http://www.kaspersky.com/scanforvirus.html prüfen; mir und Google) sagt der Prozess nichts. Wenn böse, dann Prozess beenden! Folgenden Einträge in HJT anhaken und dann "Fix checked": R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://any-find.com/sp.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ O4 - HKLM\..\Run: [DKDial] C:\WINDOWS\dkdial.exe (NUR, WENN BÖSE!) Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
06.04.2004, 20:49 | #6 |
| Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Geschafft! Im zweiten Anlauf ist es mir mit HijackThis doch gelungen, den Hijacker loszuwerden. Was es mit der Datei DKDIAL.EXE auf sich hat, weiß ich nicht. Ein Check bei Kaspersky hat zwar nichts ergeben, habe die Datei aber zur Sicherheit doch gleich gelöscht, da in den Eigenschaften erkennbar war, dass sie erst seit wenigen Tagen auf meinem Computer war und ich in dieser Zeit nichts dergleichen bewußt installiert habe. Vielen Dank vor allem Yopie für die tatkräftige Hilfe. |
07.04.2004, 18:05 | #7 |
Moderator, a.D. | Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Danke fürs Feedback! [img]smile.gif[/img] Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
08.04.2004, 21:30 | #8 |
| Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Servus an die glückliche Gemeinde, also ich sitze seit ca 2 Tagen an ähnlichem Problem, und zwar, daß meine Eltern an meinem alten Win98 Rechner mit ISDN-Zugang gearbeitet haben und eines Tages (so um den 5.4.) ging plötzlich die Einwahl-DFÜ-Verbindung nicht mehr. bei mehreren Versuchen tauchte sie nur kurz auf und verschwand dann sofort wieder. Selbiges geschieht mit "System" unter "Einstellungen" und fast allen anderen Programmen in "Einstellungen". Gut, erste Reaktion AntiVir updaten und scannen, gab auch ein paar resultate, die runtergeworfen und nochmal versucht, diesmal hab ich auch gleich den IE aufgerufen, da stand dieses bösartige "greatsearch.biz" und lies sich wie oben beschrieben nicht rausschmeißen. Dann bin ich mit dem neuesten Ad-Aware drüber gegangen, auch einige Resultate --> wieder raußgeschmissen, Keine Besserung. Dann versuchte ich eine "Drüberinstallation" von Windows auch ohne den gewünschten Erfolg. Heute habe ich diese glorreiche (keine Ironie!) Seite enddeckt und sofort alle angesprochenen Maßnahmen ergriffen bis zum Scan mit "hijack this" daraufhin habe ich sämtliche Einträge mit dem ominösen "greatsearch.biz" markiert und "fix checked" ... jedoch auch dies nach ca 10maligem Probieren ohne Erfolg (Dateilöschung), also wenn jemand da noch irgendeinen Ausweg wüsste ich wäre euch sehr verbunden, bis denn, Servus |
08.04.2004, 21:42 | #9 |
Moderator, a.D. | Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Hi jbnwijo, willkommen an Board. [img]smile.gif[/img] Poste mal das HijackThis-Log, und dann sehen wir weiter. Vielleicht kannst Du uns auch sagen, was genau die diversen Programme schon entfernt haben? Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
08.04.2004, 21:44 | #10 |
| Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Hi jbnwijo! [img]smile.gif[/img] Ich glaube, es ist besser, wenn Du mit Deinem Posting und Deinem Problem einen eigenen Thread eröffnest - ist hier so üblich ... und macht die *Gemeinde* noch glücklicher - weil übersichtlicher! Gruß von der Grinsekatze |
08.04.2004, 21:46 | #11 |
| Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Oups! Glück gehabt - doch gefunden worden! *ggg* |
08.04.2004, 22:08 | #12 |
Moderator, a.D. | Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz </font><blockquote>Zitat:</font><hr />Original erstellt von Grinsekatze: Ich glaube, es ist besser, wenn Du mit Deinem Posting und Deinem Problem einen eigenen Thread eröffnest - ist hier so üblich ... und macht die *Gemeinde* noch glücklicher - weil übersichtlicher! </font>[/QUOTE]Völlig richtig. [img]smile.gif[/img] Aber jetzt ist zu spät... Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
09.04.2004, 09:08 | #13 |
| Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz Servus, ok, tut mir leid, ich dachte, wenn ihr schon mal im Schwung/Thema drin seid, könnte ich da auf den "fahrenmden Zug" aufspringen, aber dann mach ich halt ein neues Thama auf, nochmal sorry, also denn (hoffentlich) bis gleich in "...nochmal was zu greatsearch.biz" DANKE |
Themen zu Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz |
achtung, als startseite, antivir, antwort, datei, gefunde, gelöscht, inter, interne, internet, laien, neu, nicht, riesiges, seite, startseite, troja, trojaner, vergessen, vermute, zusammenhang |