| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Home Search, Search Extender und Shopping WizardWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.11.2004, 14:40
| #1 |
| |  Home Search, Search Extender und Shopping Wizard Hallo, ja ich weiss, für die meisten alt eingesessen hier ist das vermutlich nur eine Wiederholung des bereits besprochenen.... Tut mir leid aber ich habe die Anweisung in den anderen Threads befolgt und stehe nach wie vor vor dem Problem das die 3 kleinen Nervensägen (HOme Search, SEarch Extender und Shopping Wizard) nach wie vor ihr unwesen auf meinem Rechner tun. Benutzt habe ich dir Programme: Spybot Advanced Uninstaller hab meine Files in den Ordnern c:\windows\ und c:\windwos\systems32\ durchsucht und verdächtige Dateien auch mit http://www.kaspersky.com/de/scanforvirus scannen lassen. habe dabei hauptsächlich "Infiziert: TrojanDownloader.Win32.Agent.cd " das gefunden. Hier ein Auszug aus Hijack: StartupList report, 19.11.2004, 14:40:15 StartupList version: 1.52 Started from : C:\Dokumente und Einstellungen\Administrator\Desktop\von harm lass mal drauf is gegen viren\StartupList.EXE Detected: Windows 2000 SP4 (WinNT 5.00.2195) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\CPUCool\CooLSrv.exe C:\WINNT\System32\svchost.exe C:\WINNT\netji.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\system32\sstray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\internat.exe C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Innovative Solutions\Advanced Uninstaller PRO 2004 version 6\uninstaller.exe C:\Programme\TuneUp Utilities 2004\Integrator.exe C:\Programme\TuneUp Utilities 2004\RegistryCleaner.exe C:\WINNT\system32\appdu.exe C:\Dokumente und Einstellungen\Administrator\Desktop\von harm lass mal drauf is gegen viren\StartupList.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINNT\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe nForce Tray Options = sstray.exe /r NeroFilterCheck = C:\WINNT\system32\NeroCheck.exe TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui appdu.exe = C:\WINNT\system32\appdu.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run internat.exe = internat.exe PopUpStopperFreeEdition = "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe" SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe -------------------------------------------------- Shell & screensaver key from C:\WINNT\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINNT\system32\ssflwbox.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7} (no name) - C:\WINNT\system32\msap.dll - {E0C0AA20-312B-4E09-2AC3-63D1D4CC57B7} -------------------------------------------------- Enumerating Task Scheduler jobs: 1-Klick-Wartung.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [v2cab] CODEBASE = http://searchmiracle.com/cab/v2cab.cab OSD = C:\WINNT\Downloaded Program Files\OSD319.OSD [{11120607-1001-1111-1000-110199901123}] CODEBASE = ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/eu.chm::/11711.exe [Upload Control] InProcServer32 = C:\WINNT\DOWNLO~1\upload.ocx CODEBASE = https://img.web.de/v/fotoalbum/activex/upload_1115.cab [RdxIE Class] InProcServer32 = C:\WINNT\Downloaded Program Files\RdxIE.dll CODEBASE = http://software-dl.real.com/233b0b07...dxIE601_de.cab [F-Secure Online Scanner] InProcServer32 = C:\WINNT\Downloaded Program Files\fscax.dll CODEBASE = https://www7.pc-sicherheit.web.de/ols/fscax.cab [Update Class] InProcServer32 = C:\WINNT\System32\iuctl.dll CODEBASE = http://v4.windowsupdate.microsoft.co...165.6057291667 [Shockwave Flash Object] InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll WebCheck: C:\WINNT\system32\webcheck.dll SysTray: stobject.dll -------------------------------------------------- End of report, 5.563 bytes Report generated in 0,016 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Vielen Dank für eure HIlfe im voraus shcon mal. gruss geahmaster |
|
20.11.2004, 14:52
| #2 |
| Gast | Home Search, Search Extender und Shopping Wizard http://filepony.de/download-hijackthis/
__________________Erstelle so das Log. |
|
20.11.2004, 14:56
| #3 |
| | Home Search, Search Extender und Shopping Wizard gesagt, getan, hier nochmal:
__________________(ach noch was. unter systemsteuerung ->verwaltung ->dienste ist der eintrag namens Network Security Service oder Netzwerk Sicherheitsdienst. nicht zu finden) ich sage das weil unter http://www.trojaner-board.de/showthread.php?t=6138 von oli- darauf hingewiesen wird, das man diesen dienst auch deinstallieren sollte. ich habe win 2k falls das von belangen ist. Logfile of HijackThis v1.98.2 Scan saved at 14:55:50, on 19.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\CPUCool\CooLSrv.exe C:\WINNT\System32\svchost.exe C:\WINNT\netji.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\system32\sstray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\appdu.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vzhsg.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ich habe dich schrecklich lieb. Dein Schatz R3 - Default URLSearchHook is missing O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {E0C0AA20-312B-4E09-2AC3-63D1D4CC57B7} - C:\WINNT\system32\msap.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [appdu.exe] C:\WINNT\system32\appdu.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\WICHTI~1\progs\ICQLite\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\WICHTI~1\progs\ICQLite\ICQ\ICQ.exe O9 - Extra button: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Wichtiges\progs\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Wichtiges\progs\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) (HKCU) O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/eu.chm::/11711.exe O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/233b0b07...dxIE601_de.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab Geändert von geahmaster (20.11.2004 um 15:08 Uhr) |
|
20.11.2004, 15:17
| #4 |
| Administrator, a.D.   | Home Search, Search Extender und Shopping Wizard Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vzhsg.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\vzhsg.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ O2 - BHO: (no name) - {E0C0AA20-312B-4E09-2AC3-63D1D4CC57B7} - C:\WINNT\system32\msap.dll O4 - HKLM\..\Run: [appdu.exe] C:\WINNT\system32\appdu.exe O9 - Extra button: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {8627DB21-630B-439F-9E43-C374D168130C} - (no file) (HKCU) O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/eu.chm::/11711.exe Lösche diese Dateien: C:\WINNT\system32\appdu.exe C:\WINNT\netji.exe C:\WINNT\system32\msap.dll - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - neue Startseite vergeben - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HijackThis und die Virus Log Information von eScan posten |
|
| Themen zu Home Search, Search Extender und Shopping Wizard |
| .dll, 1.exe, administrator, browser, dateien, desktop, einstellungen, explorer, f-secure, google, helper, hijack, hilfe, home, infiziert, internet, internet explorer, meinem, microsoft, ordner, pop-up, problem, programme, registry key, registry value, saver, screensaver, shockwave, software, system32, tuneup utilities, update, userinit, userinit.exe, viren, wiederholung, windows |
Linear-Darstellung
