Home » Spyware & Browser Hijacker Support Forum » Kann Searchx Hijacker nicht entfernen (hijack this! log inside) » Themenansicht

Kann Searchx Hijacker nicht entfernen (hijack this! log inside)
#0
17.05.2004, 17:29
Lofy
...neu hier

Beiträge: 3
#1 Hallo,

ich bekomme in den letzen Tagen immer wieder popups, in welchen steht, dass Spyware detected wurde. Im Quellcode der Popups wird auf searchx gelinkt. Ich habe bereits den CWSShredder laufen lassen, welcher dann auch Abhilfe schafft, jedoch nach dem nächsten reboot ist der hijacker wieder da.

Nun habe ich ein Log mit Hijack This! angefertigt, aber kenne mich da nicht wirklich aus, kann mir vielleicht jemand sagen, welche Zeilen ich hier bereinigen muss?

Code

Logfile of HijackThis v1.97.7
Scan saved at 17:24:06, on 17.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
E:\server\Apache\Apache.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\tools\online\DIRECT~1\DUService.exe
E:\server\Mysql\bin\mysqld-nt.exe
E:\server\Apache\Apache.exe
C:\tools\online\security\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\tools\online\security\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\tools\online\security\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\tools\online\security\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\tools\local\Deamon-Tools\daemon.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\tools\system\drivers\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\tools\online\DirectUpdate\DUControl.exe
C:\tools\online\DAP\DAP.EXE
C:\tools\online\ICQ\ICQ.exe
C:\tools\online\DU Meter\DUMeter.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\tools\local\Winamp\winamp.exe
C:\Documents and Settings\Work\Desktop\Premiere Video-tutorials\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ilaad.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ilaad.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ilaad.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ilaad.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ilaad.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ilaad.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://lofy.h3537.serverkompetenz.net/privat/gruppe3/"); (C:\Documents and Settings\Work\Application Data\Mozilla\Profiles\default\d1f6p1n4.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_Germany.src"); (C:\Documents and Settings\Work\Application Data\Mozilla\Profiles\default\d1f6p1n4.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\tools\online\security\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DAB2E673-BDAF-4D87-94E4-F96453F40303} - C:\WINDOWS\System32\ilaad.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\tools\online\security\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\tools\local\Deamon-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\tools\online\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\tools\online\security\NORTON~2\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\tools\system\drivers\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\tools\system\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DUControl] C:\tools\online\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\tools\system\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\tools\online\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DU Meter] C:\tools\online\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NetLimiter] C:\tools\online\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - C:\tools\online\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\tools\online\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37950.7571412037
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://update.anark.com/client/version2-beta/windows-ie/en/AMClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{583FF3F4-D454-41A5-9F7F-25FBACD42D88}: NameServer = 62.206.1.4,212.63.33.66


Würde mich sehr freuen, wenn mir jemand helfen könnte dieses lästige Ding zu entfernen.

mfg Lofy
Dieser Beitrag wurde am 17.05.2004 um 18:20 Uhr von Lofy editiert.
Seitenanfang Seitenende
18.05.2004, 15:45
paff
Member

Beiträge: 1095
#2 Hi Lofy

Schau dir mal diesen Link an
http://www.rokop-security.de/main/article.php?sid=746

Dieses ausführen.
Danach einfach nochmal logfile posten und sagebn ob's geklappt hat.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
18.05.2004, 22:39
Lofy
...neu hier

Themenstarter

Beiträge: 3
#3 Hi paff,

habe das mit dem tool probiert, nur leider hat das nichts geholfen.

Jedoch die manuelle MEthode, die in zugehörigem Thread gepostet wurde hat Abhilfe geschaffen.

Vielen Dank.

mfg Lofy
Seitenanfang Seitenende
19.05.2004, 06:25
paff
Member

Beiträge: 1095
#4

Zitat

Lofy postete
Hi paff,

habe das mit dem tool probiert, nur leider hat das nichts geholfen.

Jedoch die manuelle MEthode, die in zugehörigem Thread gepostet wurde hat Abhilfe geschaffen.

Vielen Dank.

mfg Lofy
Welche manuelle Methode ?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
25.05.2004, 17:50
Lofy
...neu hier

Themenstarter

Beiträge: 3
#5 die Methode, die "DerBilk" in dem Thread am 11. May 2004, 15:15 gepostet hat.

Thread: http://www.rokop-security.de/board/index.php?showtopic=3174&st=0

mfg Lofy[/url]
Dieser Beitrag wurde am 25.05.2004 um 17:51 Uhr von Lofy editiert.
Seitenanfang Seitenende
08.06.2004, 16:20
Sambo
...neu hier

Beiträge: 1
#6 Hatte auch das Problem mit diesem Hijacker. Nach stundenlanger Suche und der mißglückten Problembeseitigung habe ich Erfolg gehabt!!
Mit dem neuesten Update von Antivir ist der nervige Störenfried problemslos uns sofort beseitigt worden. Anschließend Neustart und fertig. Viel Erfolg!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1