Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: SearchAssistant um's Verrecken nicht löschbar!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.09.2004, 09:02   #1
SunDancer
 
SearchAssistant um's Verrecken nicht löschbar! - Standard

SearchAssistant um's Verrecken nicht löschbar!



Ich habe hier den Laptop eines Kunden... sowas verseuchtes habe ich noch nicht gesehen...

Das gröbste ist raus allerdings will der SearchAssistant Eintrag sich nicht entfernen lassen! Google ist auch "ratlos".

So sieht das Log vor der Entfernung aus...

Logfile of HijackThis v1.98.0
Scan saved at 09:49:43, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kwgognmsuwrrj.com/i4gse/r..._VovNO3mS.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NAME ONLINE] C:\PROGRA~1\WAYDEN~1\binfunkphone.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O20 - AppInit_DLLs: MSLib.dll

Dann kann man den R0-Schlüssel löschen... startet man dann aber Hijack nochmal, dann sieht es (das Log) so aus:

Logfile of HijackThis v1.98.0
Scan saved at 09:55:05, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
D:\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.xdenxglghpgpuy.com/i4gse/..._VovNO3mS.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NAME ONLINE] C:\PROGRA~1\WAYDEN~1\binfunkphone.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O20 - AppInit_DLLs: MSLib.dll

Es ist zum Wahnsinnig werden. HILFE!

Danke! ;)

Alt 08.09.2004, 09:38   #2
MountainKing
 
SearchAssistant um's Verrecken nicht löschbar! - Standard

SearchAssistant um's Verrecken nicht löschbar!



Besorg dir mal die aktuelle Version von Hijackthis, deine ist überholt: http://www.hijackthis.de/hijackthis_198.zip

Dann E-Scan holen, updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html


Deaktiviere die Systemwiederherstellung.
Fixe:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kwgognmsuwrrj.com/i4gse/...o_VovNO3mS.html

IMO muss auch das noch weg:

O20 - AppInit_DLLs: MSLib.dll

Safe Mode, E-scan durchlaufen lassen, Reboot, Systemwiederherstellung aktivieren, neues Log erstellen.
__________________


Alt 08.09.2004, 10:05   #3
SunDancer
 
SearchAssistant um's Verrecken nicht löschbar! - Standard

SearchAssistant um's Verrecken nicht löschbar!



Hab ich alles getan und _das_ kam dabei rum:

Logfile of HijackThis v1.98.2
Scan saved at 11:03:36, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bgqrdbijzsesqcrtc.info/i4..._VovNO3mS.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NAME ONLINE] C:\PROGRA~1\WAYDEN~1\binfunkphone.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O20 - AppInit_DLLs: MSLib.dll

Wie man sieht, der Eintrag ist immer noch da... [Ja, eScan hatte noch was gefunden und gelöscht... scheint aber nix geholfen zu haben...]
__________________

Alt 08.09.2004, 11:16   #4
MountainKing
 
SearchAssistant um's Verrecken nicht löschbar! - Standard

SearchAssistant um's Verrecken nicht löschbar!



Hm, das habe ich so auch noch nicht gesehen:

C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe

aber vielleicht ja nur ein Darstellunsgfehler.

Was genau ist das hier denn:

O4 - HKLM\..\Run: [NAME ONLINE] C:\PROGRA~1\WAYDEN~1\binfunkphone.exe

konnte dazu nichts herausfinden. Und trotz deaktivierter Systemwiederherstellung tauchen beide Sachen wieder auf?

Antwort

Themen zu SearchAssistant um's Verrecken nicht löschbar!
antivirus, appinit_dlls, bho, dateien, drivers, entfernen, explorer, google, hijack, hijackthis, hilfe, ics, internet, internet explorer, kunde, log, messenger, microsoft, monitor, programme, ratlos, security, security center, software, symantec, system, system32, t-online, userinit.exe, webroot, windows, windows xp




Ähnliche Themen: SearchAssistant um's Verrecken nicht löschbar!


  1. exe Datei heruntergeladen, nicht aufgestarten, nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 04.12.2013 (1)
  2. Programme nicht löschbar - Delta Search evtl. nicht sicher entfernt.
    Plagegeister aller Art und deren Bekämpfung - 26.05.2013 (17)
  3. Ask-Suche nicht löschbar+Windows Defender funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 22.03.2013 (1)
  4. HDD sauber - aber eine Datei lässt sich ums Verrecken nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 16.10.2011 (43)
  5. Rootkits nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 08.08.2010 (6)
  6. Virtumonde.sci nicht löschbar! selbst nach Neustart nicht
    Log-Analyse und Auswertung - 29.01.2009 (1)
  7. Malware nicht löschbar!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2008 (20)
  8. TR/Vundo.Gen nicht löschbar
    Log-Analyse und Auswertung - 02.01.2008 (30)
  9. Kriege um Verrecken Tray-Icon nicht weg
    Plagegeister aller Art und deren Bekämpfung - 02.07.2007 (7)
  10. Funweb.A nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 18.11.2006 (13)
  11. Tr/Vundo.gen nicht löschbar
    Mülltonne - 17.10.2006 (1)
  12. Datei nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 20.02.2006 (10)
  13. Hijackthis lässt sich ums verrecken nicht mehr öffnen
    Log-Analyse und Auswertung - 15.10.2005 (19)
  14. Dialer - 180solutions.SearchAssistant
    Plagegeister aller Art und deren Bekämpfung - 06.07.2005 (1)
  15. Trojaner nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 12.03.2005 (2)
  16. .exe .dll files nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 27.12.2004 (1)
  17. Backdoor nicht löschbar!
    Plagegeister aller Art und deren Bekämpfung - 18.03.2003 (25)

Zum Thema SearchAssistant um's Verrecken nicht löschbar! - Ich habe hier den Laptop eines Kunden... sowas verseuchtes habe ich noch nicht gesehen... Das gröbste ist raus allerdings will der SearchAssistant Eintrag sich nicht entfernen lassen! Google ist auch - SearchAssistant um's Verrecken nicht löschbar!...
Archiv
Du betrachtest: SearchAssistant um's Verrecken nicht löschbar! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.