Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: enjoysearch...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.04.2004, 20:38   #1
linzer
 
enjoysearch... - Beitrag

enjoysearch...



Hallo Hijacker-geschädigte Gemeinde,

Ich hoffe, Ihr könnt mir helfen.

Mein IE startet immer mit enjoysearch.

Meine log-Datei ist angehängt.

Die Einträge in der Registry habe ich schon korrigiert, sind aber nach jedem Systemstart wieder da!


Wäre für Eure Hilfe dankbar!


Markus


Logfile of HijackThis v1.97.7
Scan saved at 20:45:34, on 09.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\WT32EXE.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\anvshell.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINNT\system32\tblmouse.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\jushed32.exe
C:\WINNT\system32\internat.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
\Server\Server_D\08 DOWNLOADS u TREIBER\0 Internet HTML\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://DF809JOW4WJ2304LFD0SF9FSD0A2T...BIZ/search.htm (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.enjoysearch.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~2\C-Media\WIN_ME\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [TBLFUNC] tblmouse.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Alt 09.04.2004, 20:53   #2
Lutz
 

enjoysearch... - Beitrag

enjoysearch...



Hallo Markus ind Willkommen im Board,

welche Einträge (außer R0 - R1) hast Du bereits entfernt und tauchen trotzdem wieder auf?

Diese Einträge:
</font><blockquote>Zitat:</font><hr />O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)</font>[/QUOTE]erscheinen mir zumindest höchst verdächtig!

Edit
Nachtrag entfernt. War kompletter Blödsinn von mir. Sorry!!

Gruß,
Lutz

[ 09. April 2004, 22:45: Beitrag editiert von: Lutz (DerBilk) ]
__________________

__________________

Alt 16.04.2004, 22:15   #3
linzer
 
enjoysearch... - Beitrag

enjoysearch...



Habe folgende e-mail erhalten, die ich nicht vorenthalten möchte:


Hi,

I saw your message on trojaner-board.de about default Internet Explorer start page pointing on www.enjoysearch.com. I had exactly the same problem yesterday. I have resolved the problem, I suppose you are interested :

1) Kill process jushed32.exe =&gt; I guess this is the trojan, but no anti-virus could detect it... Why ???

2) Delete file jushed32.exe in c:\windows\system32

3) Replace any registry key containing www.enjoysearch.com by about:blank

4) Install the lastest Microsoft patch relative to MS04-011,MS04-012 and MS04-013 vulnerabilities.

5) Reboot and everything is OK !

However, I did not find how the jushed32.exe is started : no Run registry key, nor startup group... Any idea ?

Please put theses informations on your forum if you find them usefull, it could help some people.

Sylvain (werde@chez.com)


******ADSL Tiscali, le Haut débit au meilleur prix ******
Avec Tiscali, profitez de l'ADSL au meilleur prix partout en France !
Pour profiter de cette offre exceptionnelle, cliquez ici : http://register.tiscali.fr/adsl
Sous réserve d'éligibilité à l'ADSL.


Ich werde das nicht mehr brauchen, da mein Rechner ohnehin ein neues Motherboard bekommt und damit eine Neuinstallation unumgänglich ist. Aber vielleicht interessiert es ja sonst jemanden.


Jedenfalls Danke für Eure Hilfe!

Linzer
__________________

Alt 17.04.2004, 00:41   #4
Shadow
/// Mr. Schatten
 
enjoysearch... - Beitrag

enjoysearch...



Ein neues Motherboard bedingt zwar nicht zwangsläufig eine Neuinstallation, aber wenn eh' schon verseucht, ist es in doppelter Hinsicht die sauberere Methode.
Wie die angeblich Schaddatei denn wirklich gestartet wird, wäre hoch interessant, nur um es herauszufinden müsste man an einer verseuchten Kiste hocken und das will ich mir dann doch nicht antun.

Bitte editiere die fragliche Webadresse in nicht anklickbare Form, z.Bsp in h**p://www.enjoysearch.com
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Antwort

Themen zu enjoysearch...
acrobat, adobe, bho, button, dll, explorer, hijackthis, hilfe, html, internet, internet explorer, java, log-datei, microsoft, nvcpl.dll, obfuscated, object, programme, registry, rundll, security, server, shockwave, software, startet, sun java, system32, systemstart, treiber, träge, windows




Zum Thema enjoysearch... - Hallo Hijacker-geschädigte Gemeinde, Ich hoffe, Ihr könnt mir helfen. Mein IE startet immer mit enjoysearch. Meine log-Datei ist angehängt. Die Einträge in der Registry habe ich schon korrigiert, sind aber - enjoysearch......
Archiv
Du betrachtest: enjoysearch... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.