Trojaner-Board - Iwantsearch obwohl ich nichts suche

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Iwantsearch obwohl ich nichts suche (https://www.trojaner-board.de/8413-iwantsearch-obwohl-nichts-suche.html)

Iwantsearch obwohl ich nichts suche

Habe einen Rechner der mit Win98 läuft.
Beim Starten von Internet Explorer kommt immer die Seite "Iwantsearch".
Bin Laie und habe daraufhin einiges versucht mit dem Ergebnis das IE jetzt gar nicht mehr richtig läuft.

Habe mir jetzt gedacht einen anderen Browser auf mein System zu laden und IE komplett zu löschen. Geht das ? Und sind dann meine Probleme behoben oder muss ich weitere Dateien löschen ?

Habe unter anderem schon das Verzeichnis von SBSoft gelöscht, dass wohl auch etwas damit zu tun hat weil immer eine zusätzliche Symbolleiste erscheint.

Ich bitte um Hilfe.

Halllo Zimbo510,

Zitat:

Zitat von Zimbo510

Besuche bitte www.windowsupdate.com, repariere dort Deinen IE und aktualisiere ihn.

Zitat:

Zitat von Zimbo510

Habe mir jetzt gedacht einen anderen Browser auf mein System zu laden und IE komplett zu löschen. Geht das ? Und sind dann meine Probleme behoben oder muss ich weitere Dateien löschen ?

Einen anderen Browser zu verwenden, ist eine sehr gute Idee. Lies dazu: - Vorbeugende Maßnahmen: www.trojaner-info.de

Den IE komplett zu löschen, ist eine sehr schlechte Idee, da Du Windows als Betriebssystem verwendest. Lies hierzu: - IE sicher konfigurieren: www.datenschutzzentrum.de.

Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD

Vielen Dank für deine Antwort.
Habe es schon zu einem hohen Teil gelöst.

Mit einer Remove.exe konnte ich die Seite wieder entfernen.
Diese hat allerdings einen Trojaner auf mein System geladen.
Mit Spybot und Adaware habe ich wohl alle Störenfriede beseitigt.
Jedenfalls hoffe ich dies. Etwas erschrocken war ich nur über die vielen
Dinge die diese Programme gefunden haben. Entweder konnte es gelöscht werden oder wenigstens in Quarantäne geschickt werden. Zur Zeit läuft das Sytem wieder einwandfrei. Habe auf jeden Fall Firefox aufgespielt. In der Chip Ausgabe von Oktober soll drin stehen wie man den IE los wird. Ich werde dies wenn es geht auf jeden Fall versuchen. Das ich mir all diese Probleme eingefangen habe, obwohl ich ein Antivirenprogramm und eine Firewall im Einsatz habe war schon erschreckend. Da ich eher weniger im Internet bin werde ich errst am Montag dazu kommen Hjackthis (rcihtig geschrieben?) einzusetzen. Vielen Dank für die Angabe der Referenzen, werde mir diese auf jeden Fall ansehen.

Gruß Zimbo510 :aplaus:

Es geht zwar wieder alles, jedoch langsamer als sonst. (Outlook Express)

Hier mein Log:
Logfile of HijackThis v1.98.2
Scan saved at 13:56:11, on 16.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\ANTI-VIRUS-PAKET\AVKSERV.EXE
C:\PROGRAMME\ANTI-VIRUS-PAKET\AVKWCTL9.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\FIREWALL-PAKET\AGENTA.EXE
C:\PROGRAMME\FIREWALL-PAKET\UMXLDRA.EXE
C:\PROGRAMME\G DATA POWERPDF\PWRPDFSRV.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\IOMEGA\TOOLS\IOWATCH.EXE
C:\PROGRAMME\IOMEGA\TOOLS\IMGICON.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OLYMPUS\CAMEDIA MASTER 4.2\CM_CAMERA.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://just.find-itnow.com/panel_search.html
O2 - BHO: Secure4U Iexplore Addon Class - {BF55256A-3B3B-11D2-B05B-000001145917} - C:\PROGRA~1\GEMEIN~1\PFWSHA~1\ADDON.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [COMSMDEXE] comsmd.exe -on
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAM FILES\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [AudioHQ] C:\PROGRAM FILES\CREATIVE\SBLIVE\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher] C:\WINDOWS\SYSTEM\fpdisp3a.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [S4UAgenta] "C:\Programme\Firewall-Paket\Agenta.exe"
O4 - HKLM\..\Run: [UMXLDR] "C:\Programme\Firewall-Paket\umxldra.exe" /g+
O4 - HKLM\..\Run: [winmain] winmain.exe
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\G DATA PowerPDF\pwrpdfsrv.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [AvkServer] C:\Programme\Anti-Virus-Paket\AvkServ.exe /systemstart
O4 - HKLM\..\RunServices: [AVKWCtl] C:\PROGRA~1\ANTI-V~1\AVKWCTL9.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - Startup: Iomega Watch.lnk = C:\Programme\Iomega\Tools\IOWATCH.EXE
O4 - Startup: Iomega-Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Startup: Iomega Disk Icons.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
O4 - Startup: Refresh.lnk = C:\Programme\Iomega\Tools\REFRESH.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
O15 - Trusted Zone: *.isprime.com

Hier hier etwas zu sehen ?

Üperprüfe mal bitte die Datei winmain.exe hier: http://virusscan.jotti.org/de und teile uns das Ergebnis mit

Hallo Zimbo510,

Platform: MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) - Dein IE ist antik, besuche dringend www.windowsupdate.com.

Boote in den abgesicherten Modus, fixe mit Hijack This:

O4 - HKLM\..\Run: [S4UAgenta] "C:\Programme\Firewall-Paket\Agenta.exe"
O4 - HKLM\..\Run: [winmain] winmain.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://just.find-itnow.com/panel_search.html
O15 - Trusted Zone: *.isprime.com

Beende:

Agenta.exe
winmain.exe

Boote in den normalen Modus.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Na das hat ja ganz toll geklappt.
Die Angaben habe ich gefixt (Agenta.exe und Winmain.exe)
Die Agenta.exe war die Firewall, diese ging dann nicht mehr.
Also, was macht man. Man deinstaliert die Firewall und das Anti-Vir-Paket.
War ja sowieso schon ein paar Jahre alt. Danach wollte ich eine neue Antivir und Firewall aufspielen. Dies ist mir jedoch nicht mehr gelungen.
Der Rechner fährt hoch (ohne Fehlermeldung) und wenn ich auf Start klicke geht das Menue nur zur Hölfe auf und dann steht der Rechner.
Ich vermute, jetzt geht nichst mehr ohne eine Neu-Install von Win98.

Bin weiter dran. :heulen:

@ Zimbo510

Zitat:

Zitat von Zimbo510

zitiert aus: ProcessLibrary.com
Process File: winmain.exe
Process Name: Winmain Trojan

Description: winmain.exe is a process associated with the HTASploit.winmain trojan. This program is a registered security risk and should be removed immediately. If found on your system make sure that you have downloaded the latest update for your antivirus application.

[edit] Firewall-Rubrik(1) - und - PC-Sicherheit(2) [/edit]

(1) bitte nachlesen - es gibt hier auch kostenlose Firewalls als Ersatz für die Agenta.
(2) in diesem Artikel kann man sich u.a. über Virenschutz-Programme informieren.

SD