easy-search.biz als Startseite

#0
18.05.2004, 14:46
Member

Beiträge: 61
#16 Hallo Sabina,

mein System ist jetzt wirklich sauber! Danke!

Und alle die mit SearchX oder so Probleme haben, bitte SphjFix
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
checken lassen, der findet Sachen (siehe oben), die andere Programme echt übersehen.

Glückwunsch und Danke den Entwicklern!
Gruß Philipp
Dieser Beitrag wurde am 18.05.2004 um 14:54 Uhr von PhilippBayer editiert.
Seitenanfang Seitenende
20.05.2004, 23:52
...neu hier

Beiträge: 6
#17 Habe folgendes durch HijackThis ausgegeben bekommen ..

Logfile of HijackThis v1.97.7
Scan saved at 23:48:25, on 20.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\DSL\NIS\NISUM.EXE
C:\WINDOWS\ASUSKBService.exe
D:\DSL\NIS\ccPxySvc.exe
D:\DSL\NIS\Antivirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\treiber\Logitech\itouch\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\DSL\Spamihilator\spamihilator.exe
C:\WINDOWS\runwin32.exe
C:\treiber\Logitech\Maus\MouseWare\system\em_exec.exe
C:\Treiber\Main\Corecenter\CoreCenter.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\PACKER\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Trysil\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 69.50.170.20 www.google.com
O1 - Hosts: 69.50.170.21 search.yahoo.com
O1 - Hosts: 69.50.170.22 search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\areader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\DSL\NIS\Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\DSL\NIS\Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\treiber\Logitech\itouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Sound\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\grafik\Quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Spamihilator] "D:\DSL\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Treiber\ATI\SmartDoc\SmartDoctor.exe /start
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - Startup: Anwahl.lnk = ?
O4 - Global Startup: CoreCenter.lnk = C:\Treiber\Main\Corecenter\CoreCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://petrovich.ud-dial.biz/1/dexDE547.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE348.exe
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.7011921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2764ED7E-B322-4726-8A9E-54978D5F7341}: NameServer = 217.237.151.33 194.25.2.129




Wollte wie von dem tool empfohlen nochmal fragen was ich tun soll.

Danke für jede Hilfe.

Gruß
Pingu
Seitenanfang Seitenende
21.05.2004, 09:42
Member

Beiträge: 1095
#18 Hi pingu

Führe mal dies bitte durch
http://board.protecus.de/t9373.htm
besonders CWShredder

Fixe bitte das in HiJAckThis
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 69.50.170.20 www.google.com
O1 - Hosts: 69.50.170.21 search.yahoo.com
O1 - Hosts: 69.50.170.22 search.msn.com
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - Startup: Anwahl.lnk = ?
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://petrovich.ud-dial.biz/1/dexDE547.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE348.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Dann neustart machen (Wichtig!!!!!!!!!!!!!!)

Poste dann nochmal das HiJAckThis Logfiel

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 21.05.2004 um 09:48 Uhr von paff editiert.
Seitenanfang Seitenende
21.05.2004, 11:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 LADE:
Lade diese Tool , UPDATE und scanne.(AdAware, Spybot,Cwshredder....)
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
Dann lade den e-scann (mwav.exe)<ALLE Dateien scanne <
loesche alles manuell, was er anzeigt
http://www.mwti.net/antivirus/free_utilities.asp
#Lade den Webwasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
#Mache im abgesicherten Modus einen Vollscann mit dem aktualisierten Norton.
(F8 beim Hochfahren druecken)
#Onlinescann mit PestPatrol
http://www.pestscan.com/Scan.asp
#Onlinescann
http://housecall.trendmicro.com/
Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.05.2004, 13:30
...neu hier

Beiträge: 6
#20 Vielen Dank schonmal. Sieht so aus als hätte ich den aktiven Code lahm legen können.

Übrig ist auf den ersten Blick noch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz


Kann ich die fixen lassen ?
Seitenanfang Seitenende
21.05.2004, 14:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 natuerlich
du musst das fixen .

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 69.50.170.20 www.google.com
O1 - Hosts: 69.50.170.21 search.yahoo.com
O1 - Hosts: 69.50.170.22 search.msn.com
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - Startup: Anwahl.lnk = ?
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://petrovich.ud-dial.biz/1/dexDE547.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE348.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab

O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB

http://lawgical.jura.uni-sb.de/archives/000197.html
Neuer Trick: Internetverbindung via Emsat und Italsat
nutzten die Dienste von Emsat von Eutelsat und Telespazio des Italsat-F2-Satelliten
Mein Schwager wurde auch von emsat mit einer Telefonrechnung von über 200 Euro überrascht. Sein Sohn hatte sich den Dialer eingefangen. Insgesamt waren es auf der letzten Telefonrechnung 2 mal 39,58 Minuten zu je 105 Euro. Die Vorwahl war eine 0088 Nummer. Er hat Anzeige erstattet und die Rechnung abzüglich dieser Gebühren bezahlt. Die Kopie der Anzeige hat er dann der Telekomm geschickt.


Dann neustart machen (Wichtig!!!!!!!!!!!!!!)

dann mit allen Tools scannen
Lade diese Tool , UPDATE und scanne.(AdAware, Spybot,Cwshredder....)
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
Dann lade den e-scann (mwav.exe)<ALLE Dateien scanne <
loesche alles manuell, was er anzeigt
http://www.mwti.net/antivirus/free_utilities.asp
#Lade den Webwasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
#Mache im abgesicherten Modus einen Vollscann mit dem aktualisierten Norton.
(F8 beim Hochfahren druecken)
#Onlinescann mit PestPatrol
http://www.pestscan.com/Scan.asp
#Onlinescann
http://housecall.trendmicro.com/
und sie Startseite unter InternetOptionen neu einstellen

Sabina
Dann poste das Log noch mal.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.05.2004 um 14:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.05.2004, 17:45
...neu hier

Beiträge: 4
#22 Hi Sabina.
Ich hab das selbe Problem - als Startseite immer http://easy-search.biz/...
Hoffe du hilfst mir.

Ach ja, SpHjfix.exe findet bei mir nichts.

Hier ist mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 17:45:56, on 22.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\dokume~1\lucas\anwend~1\updater.exe
C:\WINDOWS\runwin32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Go!Zilla\gozilla.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 22.05.2004 um 17:48 Uhr von 321lupo editiert.
Seitenanfang Seitenende
23.05.2004, 11:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 @321lupo

#Deinstalliere zuerst den GoZilla
#und aktualisiere den IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp
#Mache die WindowsUpdates unter Start<Programme <WindowsUpdate

Dann fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll

O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
auch im Taskmanager deaktivieren

O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html

neustarten
----------------------------------------------------------------------------
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RunWin32 %windir%\RunWin32.exe
auf der rechten Seite loeschen

# Loesche alles was mit PWSteal.AlLight zu tun hat
#Loesche die RunWin32.exe


Update den Symantec, gehe in den abgesicherten Modus
(F8 beim Hochfahren druecken) und scanne dort (Vollscann)
---------------------------------------------------------------------------
#e-scann (mwav.exe) laden, alle Dateien scannen und manuell loeschen, was das Tool anzeigt
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
#AdAware laden, updaten und scannen
http://www.lavasoft.de/support/download/
#Cwshredder von dieser Site laden
http://www.spywareinfo.com/~merijn/downloads.html
#Lade spybot und scanne
http://beam.to/spybotsd

Diese Tools duerften alle Spyware von Go!Zilla entfernen

#mit WebWasher den IE saeubern und unter InternetOptionen die Startseite neu einstellen
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

TemporaryInternetFiles loeschen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp (Windows XP), bleibt nur die Index.Dat , den Rest loeschen
---------------------------------------------------------------------------


Poste dann mal das gereinigte Log

MfG
Sabina

http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.allight.html
http://www.oit.duke.edu/ats/support/spyware/gozilla.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.05.2004 um 12:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.05.2004, 20:43
...neu hier

Beiträge: 4
#24 hi, sieht so aus als hättes geklappt!
vielen dank auf jeden fall!!!

hier is das neue log

Logfile of HijackThis v1.97.7
Scan saved at 20:41:46, on 23.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\The Cleaner\tca.exe
C:\WINDOWS\System32\ctfmon.exe
C:\dokume~1\lucas\anwend~1\updater.exe
C:\Programme\Webroot\Washer\wwDisp.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Lucas\Wichtig\Software\Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O4 - HKLM\..\RunOnce: [Index Washer] C:\Programme\Webroot\Washer\WashIdx.exe "Lucas"
O4 - HKCU\..\RunOnce: [Index Washer] C:\Programme\Webroot\Washer\WashIdx.exe "Lucas"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38130.3261805556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

;)
bis dann,
321lupo
Seitenanfang Seitenende
23.05.2004, 21:09
Member
Avatar Dafra

Beiträge: 1122
#25 Fix mal:
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe

Und schick mir dire Datei
c:\dokume~1\lucas\anwend~1\updater.exe

an

Spam-Email@gmx.net

MFG
DAFRA
Seitenanfang Seitenende
23.05.2004, 21:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe
Ja, das muss unbedingt geloescht werden.
Also im Taskmanager deaktiviere, fixen mit dem HijackThis, neustarten und dann die exe und auch in der Registry loeschen .
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2004, 18:01
...neu hier

Beiträge: 4
#27 ok ... äh, ich weiß ihr lacht mich jetzt alle aus...

wo finde ich die "registry"...???

ach ja,

danke nochmal an sabina und dafra!


bis dann

321lupo;)
Seitenanfang Seitenende
25.05.2004, 12:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 1. Geh in den abgesicherten Modus (F8 beim Hochfahren druecken)
2. Mit der Suchfunktion von Windows suchst und loeschst du updater.exe
3.In die Registry gehen:

Start<Ausfuehren
regedit
reinschreiben

es oeffnet sich die Registry
oben links ist die Suchfunktion der Registry
schreib updater.exe rein und loesche alles, was du findest.(mit rechts anklicken und <loeschen<
-----------------------------------------------------------------------------------------------------
Tipp:
Lade den RegCleaner von dieser Site

http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm
du kannst ihn in Deutsch einstellen.
a) Tools<Registry saeubern<alles durchfuehren
scannen lassen und alles loeschen, was angezeigt wird
b) unter Autostart sind alle StartProgramme (die im HijackThis unter 04 eingetragen sind aufgelistet.
Dort musst du die updater.exe checken !!! neustarten...dann ist der Trojaner aus dem Autostart (04) raus.
Sonst kann man die exe nicht loeschen !

c) mit dem RegCleaner kommst du ganz elegant in die Registry und musst dir nicht die Arbeit machen ueber Ausfuehren<regedit)
gehe im RegCleaner ueber :Tools<Starte den Regeditor und schon bist du in der Registry
-------------------------------------------------------------------------
Dann poste das Log noch einmal.

MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.05.2004 um 12:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.05.2004, 15:44
...neu hier

Beiträge: 4
#29 so - hab alles gemacht
der rechner scheint jetzt sauber zu sein

vielen, vielen dank! zum dritten mal ;)

lucas

ps: hier das log

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38130.3261805556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
25.05.2004, 15:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 @321Lupo

Fixe bitte noch :

O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab

Das sieht sehr komisch aus...oder du weisst hundertprozentig, wozu es gut ist.

neustarten
----------------------------------------------------------------------------------
Dann scannst du noch einmal mit AdAware ...free-version (aktualisieren und scannen)
http://www.lavasoft.de/support/download/

Ich empfehle dir ebenfalls den Firefox als Zweitbrowser ;)
ist hijackerfrei...
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.05.2004 um 15:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: