Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Searchwebleiste geht nicht weg!!!! (mit Log File) (https://www.trojaner-board.de/36990-searchwebleiste-geht-weg-log-file.html)

melly79 11.03.2007 21:59
Searchwebleiste geht nicht weg!!!! (mit Log File)
 
Hallo, ich habe seit heute diese blöde Leiste von Searchweb dauernd auf meinem Desktop. Kann die weder wegklicken noch finde ich sonst was auf meinem Rechner. Die Leiste kommt aber nur wenn ich den IE öffne. Bei Mozilla passiert nichts. Habe schon Adaware und Spybot drüberlaufen lassen. Die finden zwar was, aber die Leiste ist noch immer da! Ebenso öffnen sich dauernd irgendwelche Popups, obwohl der Popupblocker an ist!
Und der der Lappi wird auch immer langsamer irgendwie...
Wäre nett wenn mir da jemand helfen kann!

Vielen Dank Mell


Logfile of HijackThis v1.99.1
Scan saved at 21:32:30, on 11.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Admin\Desktop\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\STEGAN~2\PopUp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: FBFBar - {982E186D-7E13-45ac-9789-50B535246E28} - C:\Programme\FRITZ!Box Monitor\fbfbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [BEND TITLE CLOSE ACE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pure gpl bend title\Bags View.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ooze bleh] C:\DOKUME~1\Admin\ANWEND~1\STUPID~1\EqName.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by134fd.bay134.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Damon Ridenow 11.03.2007 22:07
Zitat:
Zitat von melly79 (Beitrag 258125)
O4 - HKLM\..\Run: [BEND TITLE CLOSE ACE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pure gpl bend title\Bags View.exe
O4 - HKCU\..\Run: [ooze bleh] C:\DOKUME~1\Admin\ANWEND~1\STUPID~1\EqName.exe
Das sind ja putzige Dateinamen. Bitte beides mal unter http://www.virustotal.com/ scannen und die kompletten Ergebnislisten inklusive der "additional information" hier posten. Danke.

myrtille 11.03.2007 22:17
Du hast dir Swizzor eingefangen.
Allgemein kommt es mit Programmen wie Netpumper, hast du in letzter Zeit neue Software aus dem Internet installiert?
Eine Anleitung zur Entfernung findest du hier: klick

Die für dich relevanten Beiträge sind:
O4 - HKLM\..\Run: [BEND TITLE CLOSE ACE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pure gpl bend title\Bags View.exe
O4 - HKCU\..\Run: [ooze bleh] C:\DOKUME~1\Admin\ANWEND~1\STUPID~1\EqName.exe


Lasse bitte auch noch Silentrunners drüberlaufen, da Swizzor sich in letzter Zeit weiterentwickelt hat und versteckt.


Was mich irritiert sind diese Einträge:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Hast du selbstständig Einschränkungen beim IE aktiviert?

lg myrtille

melly79 11.03.2007 22:44
Ist das normal, dass das hochladen so lange dauert? Habe jetzt die ganze Zeile reinkopiert.... Oder ist es dieser Swizzor wie Myrtille geschrieben hat? Dann bräuchte ich das ja nicht mehr hochladen?!
LG Mel


@ myrtille: Ja habe schon einiges in letzter Zeit aus dem Internet installiert. Dann werd ich mal Silentrunners drüberlaufe lassen und das vorher entfernen.
Ja, so genau weiß ich garnicht was ich da gemacht habe beim IE. Habe da schon was geändert, weil mir halt diese Popups auf die Nerven gegangen sind. Aber was genau das jetzt war, dass weiß ich nicht mehr. Ist das denn schlimm?

LG Mel

myrtille 11.03.2007 22:51
Dauert das hochladen solange, oder kommst du auf eine Seite auf der "your file has been queued ...." steht?
Das Auswerten der Dateien, kann schon länger dauern, je nachdem wieviele Leute vor dir ihre Dateien auswerten ;)
Hast du wirklich die ganze Zeile reinkopiert oder nur die Adresse der Datei? Also was du reinschreiben solltest ist:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pure gpl bend title\Bags View.exe

Ich würds auswerten lassen. ;) Wie heißt das so schön: Vertrauen ist gut, Kontrolle ist besser.:huepp:

Das mit dem IE ist kein Problem, solange das gewollt ist, kannst du damit tun und lassen was du willst. ;) Ich dachte nur, dass die Einstellungen evtl. von einem weiteren Trojaner vorgenommen wurden und dann wäre es wichtig gewesen, rauszufinden wer das war.

melly79 11.03.2007 23:00
Nein, da steht noch immer uploading file und ist auch noch die gleiche Seite wie vorher auch.
Hatte die ganze Zeile da reinkopiert wie sie bei Hijackthis steht.
Habe mal die Anleitung angeschaut grade, da steht das es sich meist um 2 Einträge handelt. Einmal der bei 04 und dann noch 02. Das ist ja bei mir jetzt nicht der Fall... Soweit wie ich das sehen kann scheinen die 02 alle ok zu sein, oder?

Ach so, ne ich hoffe mal nicht, dass hier noch einer drauf ist. Aber ich kann mir auch nicht vorstellen, dass es vom MSN Plus3 gekommen ist. Habe das Programm ja schon seit Monaten drauf und bisher war alles ok.

melly79 11.03.2007 23:07
So der erste ist fertig: 04 HKLM

Antivirus Version Update Result
AntiVir 7.3.1.41 03.11.2007 TR/Dldr.Swizzor.Gen
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.11.2007 no virus found
AVG 7.5.0.447 03.11.2007 Downloader.Obfuskated
BitDefender 7.2 03.11.2007 Trojan.FatObfus.Gen
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 no virus found
Fortinet 2.85.0.0 03.11.2007 suspicious
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.11.2007 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 03.11.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.11.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.11.2007 Adware/Lop
Prevx1 V2 03.11.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.11.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.19:9 03.11.2007 Adware.Lop.Gen


Aditional Information
File size: 543744 bytes
MD5: 9997604f317bda339bacd5ba7dc440bc
SHA1: db8d7a7fca5b49e49904dd5c29fac5b08e7cb692


Und der zweite HKCU:

Antivirus Version Update Result
AntiVir 7.3.1.41 03.11.2007 TR/Dldr.Swizzor.Gen
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.11.2007 no virus found
AVG 7.5.0.447 03.11.2007 Downloader.Obfuskated
BitDefender 7.2 03.11.2007 Trojan.FatObfus.Gen
CAT-QuickHeal 9.00 03.10.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 03.11.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.11.2007 no virus found
Fortinet 2.85.0.0 03.11.2007 suspicious
F-Prot 4.3.1.45 03.09.2007 no virus found


Aditional Information

Aditional Information
File size: 437760 bytes
MD5: 3a326e3aca23712f5a40ec0dcb8af629
SHA1: 02c2297555f3e691782075d3e8013af68ed73ca5

Damon Ridenow 11.03.2007 23:10
Myrtille hat mit seiner Vermutung Recht gehabt. Arbeite das ab, was unter dem Link steht, den er genannt hat: http://www.trojaner-board.de/28388-a...ntfernung.html

myrtille 11.03.2007 23:13
Ja, swizzor kommt definitiv mit MessengerPlus... also das programm bitte vorher deinstallieren, sonst bringt das mit dem Swizzor entfernen nicht viel. ;)

EDIT: ich bin zu langsam, die Datein sind schon ausgewertet. :huepp:

Wenn du sicher gehen willst, dass nichts weiter drauf ist, dann würde ich noch nen eScan machen, zumal Swizzor eigentlich nur Pop-Ups bewirkt und keine Leiste erzeugt.
Was für Dateien werden denn gefunden für die Searchwebleiste? Hast du das HJT-Log erstellt nachdem eine Bereinigung vorgenommen worden ist?
Deine 02-Einträge sind mE sauber, was verwirrend ist, weil das die Einträge für searchbars und ähnliches sind, searchweb sollte dort eigentlich auftauchen.
(Gibt es einen searchweb-ordner bei programme? bzw andere ordner, die dir unbekannt sind? Schau auch mal bei der software nach, ob dort unbekannte programme installiert sind)

melly79 11.03.2007 23:30
Liste der Anhänge anzeigen (Anzahl: 1)
Ja wie kommt das denn dann, dass erst jetzt diese komische Leiste kommt? Oder hat die mit Swizzor nichts zu tun?
Habe hier mal nen Anhang bei gemacht wo die Leiste zu sehen ist. Ein Ordner oder sonstiges ist nicht zu finden. Habe ich schon alles nachgeschaut.
Wenn ich unter suchen: Serarchweb eingebe dann kommt garnichts.

Das mit Swizzor und dem löschen werd ich gleich mal machen, aber ich vermute mal, dass es mit dieser blöden Leiste nicht zusammenhängt!


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131