| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Dealio Adware Search Settings PC infiziertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.03.2010, 01:14
| #1 |
| |  Dealio Adware Search Settings PC infiziert Hey erstmal! Erstmal möchte ich anmerken das ich was Malware und Co betrifft ein absoluter Laie bin. ^^ Und da ich mir in letzter Zeit ein äußerst nerviges Problem eingefangen habe, und mit meinem Latein ziemlich am Ende bin (und auch den Nerven!), habe ich mir gedacht ich frage in diesem von erfahrenen Usern bewandertem Forum einfach mal um Rat und Hilfestellung. Nun seit Gestern oder Vorgestern (seit da fällt es mir jedenfalls erst einprägsam auf!!) öffnen sich bei mir jedesmal wenn ich bspw die Suchfunktion von Windows öffnen will, oder den Explorer, oder in die Systemsteuerungen gelangen will, zwei Fenster von "Search Settings" die ich seit kurzem so schnell wie möglich wegklicke. Das muss ich meistens zwei mal hintereinander machen, da nach dem Beenden des einen Fensters ein Anderes erneut auftaucht. Diesen "Search Settings" Mist habe ich mir wohl durch eine kuriose Freeware Software namens "FLV Player" zugezogen. Da wurde während der Installation wohl die Dealio Toolbar (die schon lange deinstalliert ist. zmd finde ich sie nirgends) zusammen mit der Adware verseuchten Anwendung Search Settings als "Dreingabe" mitgeliefert! (Search Settings v. 1.2.3 bytheway) Nod 32 Antivirus identifizierte heute Mittag mehere Dateien, darunter eine exe und eine dll, die sich im Ordner C:/Programme/Search Settings befanden als Adware der Anwendung Dealio. Diese Dateien wurden gleich in die Quarantäne kopiert aus der ich sie bereits entfernt habe. Da immernoch die selben Probleme auftraten führte ich mehrere fruchtlose Versuche durch mit dem Ärger fertig zu werden. Nachdem ich den Ordner Search Settings komplett gelöscht hatte, habe ich in Mozilla das Plug In Search Settings entfernt sowie alles weitere an Addons was mir verdächtig erschien. Ausserdem habe ich eine komische Datei im Ordner Firefox/extensions gelöscht der irgendwie folgendermßen lautete: "searchsettings@Spigot.com" . Der FLV Player wurde von mir ebenfalls durch eine Deinstallation entfernt. Ich habe ebenfalls einen Registry Scan mit TuneUp gemacht und unwesentliches korrigiert, und mit dem TuneUp Registry Editor nach Einträgen mit dem Stichwort "Search Settings" gesucht. Ein paar Einträge habe ich gelöscht, habe jedoch aufgehört da ich nichts gravierend falsch machen möchte. Anschließend habe ich eine erfolglose Tiefenprüfung mit Nod 32 gemacht und danach Adaware runtergeladen und ebenfalls einen Scan durchgeführt. Diesmal wurden 5 cookies mit einer vorgegeben, empfohlenen Aktion "behandelt". Diese Cookies wurden mit "Private Policy" oder so beschrieben. Immernoch öffnen sich diese Fenster. Ich vermute das irgendwie alles verseucht ist was mit dem Explorer zu tun hat. Aber wie schon gesagt habe ich nicht wirklich Ahnung. ^^ Ich weiß nur das diese Adware/Spyware/Malware was auch immer mehrere Einträge in meiner Registry hat und sich weiterhin öffnet wenn ich bspw den Explorer öffne. Der einzige Fortschritt: Wenn ich mich nun bei Firefox vertippe werde ich nicht mehr zu api.mybrowserbar.com weitergeleitet wie das vorher der fall war. (diese seite hatte irgendwie was mit dealio und search settings zu tun) Meine Symptome halten sich scheinbar in Grenzen... Ich kann mir denken das ich bestimmte Dateien auf meiner Platte und bestimmte Einträge in der Registry löschen muss. Nur welche ist die Frage! ^^ HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:51:50, on 27.03.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Application Updater\ApplicationUpdater.exe C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Programme\LogMeIn Hamachi\hamachi-2.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\TaskSwitchXP\TaskSwitchXP.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\NETGEAR\WG111v3\WG111v3.exe C:\Programme\Logitech\SetPoint II\SetpointII.exe C:\Programme\DesktopEarth\DesktopEarth.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.adobe.com/go/getflashplayer R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe O4 - HKCU\..\Run: [Windows Task-Manager] C:\WINDOWS\system32\taskmgr.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: DesktopEarth AutoStart.lnk = ? O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Common Files\LogiShrd\eReg\Common\eReg.exe O4 - Startup: Registration Assassin's Creed.LNK = D:\games\Ubisoft\Assassin's Creed\Register\RegistrationReminder.exe O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe O4 - Global Startup: SetPointII.lnk = ? O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - D:\games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Google Update Service (gupdate1c9f7f192b5e806) (gupdate1c9f7f192b5e806) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6109 bytes ---- anyway, Dankeschön für die Aufmerksamkeit!  Ich hoffe auf eine baldige Lösung! EDIT: unter systemsteuerungen software ist dieses search settings immer noch aufgelistet. deinstallieren kann ichs aber leider nicht. der button dafür wird nicht einmal angezeigt. das liegt wahrscheinlich daran das ich den ordner search settings gelöscht hatte. EDIT²: kann schon sein das diese adware schon länger aktiv ist. den flv player jedenfalls hatte ich vor einer längeren zeit installiert. nur mal so am rande. ist ja vlt wichtig ^^ EDIT³: O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe ist schonmal verdächtig... wenn ich unter c/programme/applicationupdater gehe finde ich dort eine config ini in der steht drin: [WidgiToolbar] PartnerName=Application Updater PartnerNameSafe=applicationupdater hxxp://www.sophos.com/security/analyses/adware-and-puas/widgitoolbar.html Geändert von germs (27.03.2010 um 02:10 Uhr) |
| Themen zu Dealio Adware Search Settings PC infiziert |
| .com, ad-aware, adware, antivirus, bho, dealio, eset nod32, exe, frage, geliefert, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, log file, malware, mozilla, netgear, pc infiziert, plug in, plug-in, problem, registry, registry scan, rundll, scan, search settings, server, software, spyware, stichwort, widgitoolbar, windows, windows xp |
Baum-Darstellung