search for... startseite entfernen

14.02.2005, 22:14
...neu hier

Beiträge: 1
#1 Hallo!

Ich bekomme aus meinem Browser die Startseite search for... nicht mehr weg. Gibt es eine Möglichkeit sich davor "langfristig" zu schützen? Und wie kann ich das Ding wieder entfernen? Vielen Dank erstmal!

Thomas


Hallo nochmal...!

Ich habe meinen Rechner zusätzlich mit Escan gescannt und die Log-Zeilen "infected" hier eingestellt. Mein Rechner fährt zudem seit der Infektion langsamer hoch nachdem Windows gestartet wird. Die Festplatte läuft erstmal einige Zeit und die Performance ist deutlich schlechter als zuvor. Nach einer Weile läuft er dann ganz normal. Nur immer wieder kommt ein Fenster mit irgendwelchen Viruswarnungen...

Bitte gebt mir einen Tip wie ich vorgehen soll. Ich hab keine Ahnung :-(

DANKE!!!

Thomas


Wed Feb 16 18:35:42 2005 => File C:\DOKUME~1\Thomas\LOKALE~1\Temp\se.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: No Action Taken.

Wed Feb 16 18:37:12 2005 => File C:\DOKUME~1\Thomas\LOKALE~1\Temp\se.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: No Action Taken.

Wed Feb 16 18:45:21 2005 => File C:\DOKUME~1\Thomas\LOKALE~1\Temp\se.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: No Action Taken.

Wed Feb 16 18:46:51 2005 => File C:\DOKUME~1\Thomas\LOKALE~1\Temp\se.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: No Action Taken.

Wed Feb 16 18:49:22 2005 => File C:\Dokumente und Einstellungen\Sonja\Lokale Einstellungen\Temp\se.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: No Action Taken.

Wed Feb 16 18:55:57 2005 => File C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\se.dll infected by "Trojan.Win32.StartPage.gn" Virus. Action Taken: No Action Taken.

Wed Feb 16 19:09:46 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0120248C.htm infected by "Trojan-Downloader.JS.Psyme.ae" Virus. Action Taken: No Action Taken.

Wed Feb 16 19:09:47 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\013B746F.exe infected by "Trojan-Downloader.Win32.Agent.fs" Virus. Action Taken: No Action Taken.

Wed Feb 16 19:09:47 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\013E1E6B.zip infected by "Trojan.Java.Needy.c" Virus. Action Taken: No Action Taken.

Wed Feb 16 19:09:47 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1FF75CB0.dll infected by "Trojan.Win32.StartPage.uh" Virus. Action Taken: No Action Taken.

Wed Feb 16 19:09:47 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\201B2A89.dll infected by "Backdoor.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

Wed Feb 16 19:34:47 2005 => Total Errors: 9
Wed Feb 16 19:34:47 2005 => Time Elapsed: 00:49:30
Wed Feb 16 19:34:47 2005 => Virus Database Date: 2005/02/14
Wed Feb 16 19:34:47 2005 => Virus Database Count: 118236

Wed Feb 16 19:34:47 2005 => Scan Completed.






Hier mein Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 22:01:21, on 14.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\sony\isb utility\ISBMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Thomas\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Thomas\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DD0B9FB7-5AF9-4265-BEB5-3024BADFCB81} - C:\WINDOWS\System32\lpod.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Thomas\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102280254335
O18 - Filter: text/html - {0540297A-7145-48F6-A9C4-3E0202BAA978} - C:\WINDOWS\System32\lpod.dll
O18 - Filter: text/plain - {0540297A-7145-48F6-A9C4-3E0202BAA978} - C:\WINDOWS\System32\lpod.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: PACSPTISVR - Unknown - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VAIO Media Music Server - Sony Corporation - C:\Programme\sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
Dieser Beitrag wurde am 16.02.2005 um 19:59 Uhr von Thomas1974 editiert.
Seitenanfang Seitenende
18.02.2005, 15:10
...neu hier

Beiträge: 2
#2 Anti serarch for:
hi in deinem fall ist wenn ich von de se.dll rede vermutlich immer die lpod.dll gemeint. der name ändert sich auf jeden system.



Entschuldigt, dass ich in diesem Berichtnicht in jedes Detail eingehe, aber ich habe keine Lust jede Kleinigkeit zu erklären.
Wenn ihr etwas nicht verstehen solltet, können das mit Sicherheit die meisten hier im Board erklären.

Man benötigt die Programme hijackThis, ad-aware und eine Startdiskette oder etwas ähnliches um Dateien außerhalb von Windows zu bearbeiten.
Die Programme lassen sich alle über googel kostenlos finden.

Installiert die programme -möglichst in der neuesten version- und vergesst nicht, die Datenbank von ad-aware zu updaten.
Das solltet ihr alles bevor ihr anfangt machen, da man die folgenden Schritte möglichst rasch hintereinander machen sollte.

Zuerst benutzt ihr nun hijackThis und fixt damit die folgenden Einträge.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {B18E08E5-C136-11D8-8846-D2F53E942C73} - C:\WINDOWS\SYSTEM\ALDOC.DLL

Es kann sein, dass nicht alle Einträge genauso aussehen, aber wenn alles bis zum "=" damit übereinstimmt, dann werden diese gefixt (Hacken dran machen).
Außerdem kann es sein, dass die Datei nicht sp.html heißt sondern anders. das macht nichts. jedenfalls solltet ihr alle einträge
bei hijackthis nocheinmal durchsehen, ob die gleiche Datei wie in den oberen Einträgen sonst noch irgendwo vorkommt und alle jene Einträge ebenfalls
fixen.
Statt der aldoc.dll kann dort auch se.dll stehen oder -wie ich vermute- auch noch andere Namen (Ich glaube der Name dieser .dll wird zufällig generiert).
Die Datei die an dieser Stelle steht, in jedem fall merken und alle Verweise die darauf zeigen fixen (also an alle genannten Einträge nen hacken machen).

Das Problem ist, dass die .dll Datei nicht immer die gleiche ist. Deshal ist es schwer eine 100% genaue Anleitung zu schreiben. Ich nenne sie
im Folgenden weiter se.dll da sie bei mir so hieß. Wenn von dieser Datei die rede ist, kann es also sein, dass ihr nach dem Namen der Datei suche müsst der bei euch
im entsprechenden Eintrag steht
(also bei "O2 - BHO: (no name) - {B18E08E5-C136-11D8-8846-D2F53E942C73} - C:\WINDOWS\SYSTEM\???.dll" geht es bei euch nicht um se.dll sondern um ???.dll)

Danach solltet ihr ad-aware einen gründlichen Scan machen lassen. Während der läuft kann man schonmal unter Systemsteuerung/Internetoptionen
die Cookies löschen und danach auf "Dateien löschen" klicken und nicht vergessen dabei den Hacken "Offlineinhalte löschen" zu setzen.

So nun ist euer System fast sauber. Allerdings ist euch vielleicht aufgefallen, dass ein Eintrag bei hijackthis sich zwar löschen lässt, jedoch
taucht er sofort wieder auf. Wenn der drin bleibt habt ihr nach ein paar Stunden die Platte wieder voll mit dem Mist.

Nun geht in die Registry in den Ordner "HKEY_LOCAL_MASCHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RUN".
Hier gibt es einige Einträge. Normal sind der KernelFaultCheck oder z.B. SunJavaUpdateSched, oder sonstige Einträge von Programmen die ihr installiert habt.
Jetzt seht rechts zu den Werten. Wenn einer dieser Werte auf die "se.dll" zeigt versucht diesen zu löschen.
Wie ihr seht taucht er nach dem Aktualisueren sofort wieder auf.

Nun sucht die Datei se.dll und merkt euch wo sie liegt. Es könnte die Datei an mehreren verschiedenen Orten geben, allso alle Pfade merken!
Löschen könnt ihr sie unter windows nicht.
Geht in den dos-modus oder in sonst irgendein Betriebssystem das nicht Windows ist (also die Console in Windows xp bring also rein gatnichts!) und
löscht die Datei überall wo sie auftaucht.

Jetzt fahrt Windows wieder hoch. Vermutlich kommt eine Meldung wie "Fehler beim öffnen von se.dll": DAS IST GUT!
Jetzt löscht ihr noch den oben erwähnten regestry-eintrag von Hand oder wahlweise mit hijackthis. Diesmal wir er nicht wieder auftauchen!
Nun ist euer System ist sauber. Zur Sicherheit solltet ihr nochmal ad-adware
drüber laufen lassen und dann sollte es das gewesen sein.

Viel Erfolg wünsche ich! Mich hat der misst fast einen ganzen Arbeitstag gekostet.
Seitenanfang Seitenende