|
Plagegeister aller Art und deren Bekämpfung: searchx-Virus bleibt hartnäckig / xfind-Variante?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.05.2004, 21:19 | #1 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Hi, habe auch das lästige about:blank-Startseitenproblem (IE Windows XP). Probiere seit Tagen verzweifelt alle guten Tipps aus (CWS Shredder, HijackThis, spybot, Systemwiederherstellung deaktivieren, abgesicherter Modus, Windosw Update, ZoneAlarm uswusw.) Bisher leider alles erfolglos. Auch die hier im Forum vorgestellte real-yellow-page-Lösung und eScan habe ich ausprobiert. Auch nix! Meine letzte Hoffnung: Die xfind-Variante. Allerdings habe ich nicht wirklich verstanden, wie die funktioniert (erbärmlicher Computerlaie). Deshalb meine große Bitte: Kann mir jemand verraten, was ich mit folgendem Ergebnis der xfind-Suche anfangen soll? --===**'FIND-ALL' VERSION 2, 5/04**===-- Tue May 11 21:50:30 2004 -- Results: *System Info: Microsoft Windows XP [Version 5.1.2600] C: "SYSTEM" (A0DB:9126) - FS:NTFS clusters:4k Total: 16 105 062 400 [15G] - Free: 8 296 685 568 [7.7G] Locked or 'Suspect' file(s) found... \\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error \\?\C:\WINDOWS\System32\CDAE.DLL +++ File read error REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2BBD3D0B-93EC-41A3-BF94-331092075F59}] REGEDIT4 [HKEY_CLASSES_ROOT\PROTOCOLS\Filter] [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler] @="AP Class Install Handler filter" "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate] @="AP Deflate Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip] @="AP GZIP Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml] @="AP lzdhtml encoding/decoding Filter" "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] "CLSID"="{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain] "CLSID"="{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml] @="WebView MIME Filter" "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}" Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} C:\WINDOWS\system32\urlmon.dll deflate {8f6b0360-b80d-11d0-a9b3-006097942311} C:\WINDOWS\system32\urlmon.dll gzip {8f6b0360-b80d-11d0-a9b3-006097942311} C:\WINDOWS\system32\urlmon.dll lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} C:\WINDOWS\system32\urlmon.dll text/html {0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll text/plain {0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} %SystemRoot%\system32\SHELL32.dll {0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll {2BBD3D0B-93EC-41A3-BF94-331092075F59} C:\WINDOWS\System32\cdae.dll {0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll {2BBD3D0B-93EC-41A3-BF94-331092075F59} C:\WINDOWS\System32\cdae.dll _______________________________ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx {2BBD3D0B-93EC-41A3-BF94-331092075F59} C:\WINDOWS\System32\cdae.dll Bin dankbar für jeden Tipp! Habe inzwischen zwar auf Firefox umgestellt, will aber nach soviel vergeblichen Versuchen den verdammten Virus endlich loswerden. Gruß Aendru PS: Übrigens findet CWSShredder im absicherten Modus jedes Mal CWS.searchx und CWS.msconfig, im normalen Modus immer nur CWS.searchx. Führt das irgendwie auf die Spur? |
12.05.2004, 01:34 | #2 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Hi,
__________________es wird davon berichtet, dass mehrmaliges scannen und bereinigen mit Cwhsredder einige der hartnäckigen fälle löst.. dito probier mal den ESCAN/KAV-Scanner von microworld und poste doch mal ein hijackthis-log hier.. Hast du für alle Zonen im IE activeX & scripting deaktiviert ? (Links zu o.g. durchgeführten Lösungsvorschlägen können auch nie schaden) |
12.05.2004, 09:51 | #3 |
searchx-Virus bleibt hartnäckig / xfind-Variante? Hallo Aendru und Willkommen im Board,
__________________da hast Du Dir wirklich die bisher hartnäckigste Variante eines Hijackers eingefangen. Eine 'Knopfdrucklösung' gibt es meines Wissens immer noch nicht. Im Board von Rokob-Security habe ich gestern mal schrittweise dokumentiert, welche Schritte ich nach einer bewussten Infektion durchgeführt habe. Ich muss allerdings zugeben, dass das noch nicht 'anfängertauglich' ist. Hier kannst Du es einmal nachlesen. Wenn Du es Dir zutraust, kannst Du versuchen, die einzelnen Schritte (ab Punkt 2) einmal durchzuführen. Ich weise aber ausdrücklich darauf hin, dass das nur auf eigene Gefahr erfolgen kann!! In meinem Beitrag von heute im gleichen Thread bei Rokob habe ich mal meine OUTPUT.TXT mit Deiner verglichen. Die 'interessanten' Einträge habe ich da blau markiert. Um diese Einträge loszuwerden schlage ich folgendes vor. Starte den Editor und kopiere folgendes hinein: </font><blockquote>Zitat:</font><hr /> REGEDIT4 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml] [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml] "{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"="%SystemRoot%\system32\SHELL32.dll" </font>[/QUOTE]Speichere die Datei (am besten direkt auf dem Desktop) unter dem Namen clean.reg. Bei Dateityp musst Du 'Alle Dateien' angeben, damit die Datei auch wirklich als reg-Datei und nicht als reg.txt gespeichert wird. Wenn Du die Datei auf dem Desktop gespeichert hast, führe sie (im abgesicherten Modus) mit einem Doppelklick aus. Damit sollten die 'bösen' Einträge in der Registry entfernt/überschrieben werden. Nochmal der Hinweis: Dies geschieht auf eigene Gefahr! Mach am besten zuerst eine komplette Sicherung der Registry. Dazu gehst Du auf Start -> Ausführen, gibts bei Öffnen regedit ein und bestätigst dies mit der [ENTER]-Tast. Im Registrierungs-Editor gehst Du auf Datei -> Exportieren. Bei 'Speichern in' gibst Du einen Pfad an, den Du Dir gut merken kannst, damit Du die Sicherung bei Bedarf schnell wiederfindest. Auch hier bietet sich imho der Desktop an. Bei 'Dateiname' gibst Du beispielsweise Komplett_12_05_04 an. Unter 'Exportbereich' wählst Du 'Alles' und klickst dann auf 'Speichern'. Wenn etwas schief gehen sollte, kannst Du mit einem Doppelklick auf 'Komplett_12_05_04.reg' den vorherigen Zustand wieder herstellen. Bevor Du etwas unternimmst, möchte ich Dich allerdings bitten, erst einmal ein Log von HijackThis hier zu posten.
__________________ |
12.05.2004, 11:15 | #4 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Hallo Lutz, erstmal vielen Dank für die schnelle Antwort. So sieht der aktuelle Scan-Log von HijackThis aus: Logfile of HijackThis v1.97.7 Scan saved at 12:08:22, on 12.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\D-Link AirPlus\AIRPLUS.EXE C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Link AirPlus Utility.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...100.0333912037 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Normalerweise hätte ich jetzt alle Einträge mit cdae.dll gefixt. Habe bisher aber noch nichts unternommen, falls ich vielleicht bisher immer etwas übersehen habe. Gruß Aendru |
12.05.2004, 11:49 | #5 |
searchx-Virus bleibt hartnäckig / xfind-Variante? Hallo, folgendes muss raus: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing) </font>[/QUOTE]Das Entfernen allein wird dir nichts nützen, da die Einträge spätestens nach 24 Stunden unter einem anderen Namen wieder auftauchen. 'Traust' Du Dir das zu, was ich vorhin geschrieben habe?
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
12.05.2004, 12:16 | #6 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Ich probier's einfach mal. Wahrscheinlich taucht dabei noch die eine oder andere Frage auf. Werde mich dann vertrauensvoll an Dich wenden. Danke und bis dann Aendru [ 12. Mai 2004, 14:56: Beitrag editiert von: Aendru ] |
12.05.2004, 14:04 | #7 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Hallo Lutz, bis Punkt 7) bin ich noch gekommen. Habe den Wert c:\windows\system32\wdmbch.dll wie angegeben gelöscht. Leider tauchte die Datei unter Windows\system32 nicht auf (Ordneroption: Alle Ordner und Dateien anzeigen). Habe im abgesicherten Modus nochmals CWSShredder, adaware und HijackThis durchlaufen lassen und alles Böse eliminiert. Bei der Überprüfung mit Find-All war c:\windows\system32\wdmbch.dll natürlich noch da. Bin mir sicher, das spätestens ab morgen das alte about:blank-Spielchen wieder losgeht. Hast Du noch einen Tipp? Gruß Aendru |
12.05.2004, 14:29 | #8 |
searchx-Virus bleibt hartnäckig / xfind-Variante? Mhmm, so spontan nicht. ;( Eher eine Frage, anders als bei meiner 'Test-Infektion' sind bei Dir ja zwei dll's angegeben. Wird die CDAE.DLL jetzt auch noch mit Find-All angezeigt? Poste doch noch einmal bitte eine aktuelle OUTPUT.TXT, vielleicht fällt mir dann noch etwas auf bzw. ein...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
12.05.2004, 14:45 | #9 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? So sieht das aktuelle Ergebnis aus: --===**'FIND-ALL' VERSION 2, 5/04**===-- Wed May 12 15:38:34 2004 -- Results: *System Info: Microsoft Windows XP [Version 5.1.2600] C: "SYSTEM" (A0DB:9126) - FS:NTFS clusters:4k Total: 16 105 062 400 [15G] - Free: 8 275 591 168 [7.7G] Locked or 'Suspect' file(s) found... \\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error \\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] REGEDIT4 [HKEY_CLASSES_ROOT\PROTOCOLS\Filter] [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler] @="AP Class Install Handler filter" "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate] @="AP Deflate Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip] @="AP GZIP Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml] @="AP lzdhtml encoding/decoding Filter" "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml] @="WebView MIME Filter" "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}" Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} C:\WINDOWS\system32\urlmon.dll deflate {8f6b0360-b80d-11d0-a9b3-006097942311} C:\WINDOWS\system32\urlmon.dll gzip {8f6b0360-b80d-11d0-a9b3-006097942311} C:\WINDOWS\system32\urlmon.dll lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} C:\WINDOWS\system32\urlmon.dll text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} %SystemRoot%\system32\SHELL32.dll _______________________________ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx Gruß Aendru |
12.05.2004, 15:09 | #10 |
searchx-Virus bleibt hartnäckig / xfind-Variante? Kannst Du mal in der Registry (entweder mit regedit oder mit dem Tool RegAlyzer) die komplette Registry im abgesicherten Modus nach folgendem durchsuchen: WDMBCN.DLL Wahrscheinlich ist ein evtl. Aufruf zwar wieder 'superversteckt', aber vielleicht haben wir ja Glück. Wenn wir den finden, können wir evtl. auch diese dll killen. Ansonsten versuch mal die Killbox http://download.broadbandmedic.com/VbStuff/KillBox.zip Eine Anleitung hierzu findest Du hier: http://www.trojaner-info.de/anleitun...llow_page.html Dort unter Schritt 5
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
12.05.2004, 16:40 | #11 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Das kam dabei raus: Als RegAlyzer etwas fand, wurde das Programm merkwürdigerweise automatisch geschlossen. Ich habe die einzelnen Reg-Hauptordner dann einzeln untersuchen lassen, mit folgendem Ergebnis: In folgenden Keys fand RegAlyzer den Eintrag wdmbcn.dll (jeweils an Position 000 REG_SZ): HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604 HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603 HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5604 An den anderen Positionen dieser Keys tauchten auch ziemlich verdächtige Einträge auf (z.B. Position 014 REG_SZ TR/Java.ByteVerify). Leider fand sich unter HKLM/Software (...) Current Version/Windows auch wieder der alte Eintrag c:\windows\sytsem32\wdmbcn.dll, den ich eigentlich schon gelöscht hatte. Mit Killbox bin auch auch wie vorgegeben verfahren. Danach AppInit Clean mit Process-Viewer wie beschrieben. Im Moment sieht der Hijack-Scan auch noch sauber aus. Im Moment... Gruß Aendru PS: CWSShredder hat danach (im abgesicherten Modus) wieder CWS.msconfig gefunden! [ 12. Mai 2004, 17:45: Beitrag editiert von: Aendru ] |
13.05.2004, 10:07 | #12 |
searchx-Virus bleibt hartnäckig / xfind-Variante? Hallo Aendru, im Moment möchte ich Dich um ein bisschen Geduld bitten, falls Dein Problem noch nicht endgültig gelöst ist. 'Wir' arbeiten gerade an einer Lösung. Aber das braucht natürlich seine Zeit, denn es soll ja auch sauber funktionieren. Wenn Du die Datei wdmbcn.dll noch auf Deinem Rechner hast und sie nicht versteckt ist, schick sie mir doch bitte mal per Mail. Ich würde die gerne zu einer genaueren Analyse weitergeben.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
13.05.2004, 10:31 | #13 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Hi Lutz, im Moment sieht noch alles sauber aus. Vielleicht hat's diesmal tatsächlich geklappt. Ganz traue ich dem Frieden allerdings noch nicht. Ich werde Dir morgen nochmal eine Rückmeldung geben. Gruß Aendru |
13.05.2004, 10:42 | #14 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Hallo Aendru, einen gleich (oder zumindest ähnlich) gelagerten Fall findest Du hier. Sieht für mich aus wie StartPage-CZ/StartPage.gv: Ersetze den DLL-Namen des BHO durch einen (beliebigen) anderen, dann passt's! Welchen Virenscanner verwendest Du? Ist die Virendefinition aktuell? F-Secure Anti-Virus, Kaspersky Anti-Virus und McAfee VirusScan sollten ihn mittlerweile erkennen. Ansonsten probier' mal meinen Workaround und mach mal 'ne Testsuche nach "searchx". |
14.05.2004, 08:23 | #15 |
| searchx-Virus bleibt hartnäckig / xfind-Variante? Moin, das Remove-Tool ist da: Rokop Security - aber wie gesagt, ein aktuelles Antiviren-Update tut's mittlerweile auch... Trotzdem: Hut ab, Rokop! [img]graemlins/daumenhoch.gif[/img] |
Themen zu searchx-Virus bleibt hartnäckig / xfind-Variante? |
.dll, acrobat, adobe, appinit_dlls, browser, ellung, ergebnis, escan, explorer, file, firefox, folge, forum, free, helper, hijack, hijackthis, nicht, problem, programme, seite, software, system32, systemwiederherstellung, update, virus, windows, windows xp |