Hi Leutz !!

Habe in meiner softwareliste ein paar ungebetene Besucher und zwar :

Home Search Assistant
Search Extender und
Shopping Wizard !!

wenn ich auf entfernen klicke werde ich auf eine Seite verlinkt die mich auffordert ein Programm runterzuladen um vorher genanntes zu entfernen !!

werde dann auf diese Seite verlinkt : http://looking-for.cc/uninstall/Home...Assistant.html

Eine Idee wie man diese entfernen kann ??

hier noch mein HijackThis log :

Logfile of HijackThis v1.98.2
Scan saved at 16:07:29, on 19.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\RunDll32.exe
C:\Programme\AntiVir\AVGNT.EXE
G:\WINDOWS\System32\RUNDLL32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\quickTime\iTunesHelper.exe
G:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\POPUPS~1\PSFree.exe
C:\Programme\BHODemon\BHODemon.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Norton\Norton Utilities\NPROTECT.EXE
G:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Norton\SPEEDD~1\nopdb.exe
G:\Programme\iPod\bin\iPodService.exe
E:\download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\quickTime\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POPUPS~1\PSFree.exe"
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon\BHODemon.exe
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll

ware fuer sachdienliche Hinweise dankbar !!

Greetz !!

@Haze
dein log schaut aber sauber aus,
hast du HJT in normalen modus laufen lassen?

downloade bitte spybot und adaware, update beide programme
und lasse nacheinander in den abgesicherten modus laufen.
starte danach neu mache mit HJT ein neue scan und poste die ergebnisse von
spybot und adaware und HJT hier im board
http://www.lavasoft.de/
http://www.chip.de/downloads/c_downloads_8833199.html
chaosman

AdAware hat nichts ergeben und Spybot hat nur die ueblichen DSO Exploit Eintraege gefunden !!

Das log sieht demnach entsprechend genauso aus !!

Hm und nu ?

Greetz

@ Haze,

lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Moin !!

Hab E scan ne version davor glaub ich !! Werd das heut Mittag ma laufen lassen und dann das Ergebnis posten !!

Greetz

Hi Leutz !!

hier ist mein Log von E-Scan im abgesicherten Modus !!

Wed Oct 20 13:10:58 2004 => Total Number of Files Scanned: 40857
Wed Oct 20 13:10:58 2004 => Total Number of Virus(es) Found: 6
Wed Oct 20 13:10:59 2004 => Total Number of Disinfected Files: 0
Wed Oct 20 13:10:59 2004 => Total Number of Files Renamed: 0
Wed Oct 20 13:10:59 2004 => Total Number of Deleted Files: 1
Wed Oct 20 13:10:59 2004 => Total Number of Errors: 6
Wed Oct 20 13:10:59 2004 => Time Elapsed: 00:57:28
Wed Oct 20 13:10:59 2004 => Virus Database Date: 2004/10/20
Wed Oct 20 13:10:59 2004 => Virus Database Count: 107014



Errors :


ERROR!!! Invalid Entry System32\DRIVERS\Amps2prt.sys in SYSTEM\CurrentControlSet\Services\Amps2prt...

ERROR!!! Invalid Entry G:\WINDOWS\appwu.exe /s in SYSTEM\CurrentControlSet\Services\O?’ŽrtñåȲ$Ó...

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP63\change.log.15

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP63\drivetable.txt

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP64\snapshot\ComDb.Dat

ERROR!!! ScanFile fails for G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP64\snapshot\domain.txt

ERROR!!! FindFirstFile For G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP64\snapshot\Repository\*.* Failed!!! Reason is Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar. (0x570)


Virus:


File G:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

File E:\download\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

File G:\Dokumente und Einstellungen\Wumpe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MS5ZZSBW\CAIRYJ6H.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: File Deleted.

G:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File G:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

der Trojan downloader ist wohl gestern irgendwie draufgekommen , leere meine temporary internetfiles taeglich !! habs gleich nach e scan im abgesicherten Modus nochmal gemacht hatte es vor dem Scan vergessen !!

so dann
Greetz !!