Home » Spyware & Browser Hijacker Support Forum » Smartsearch Startseite kommt immer wieder » Themenansicht
Smartsearch Startseite kommt immer wieder |
||
|---|---|---|
| #0
| ||
|
12.07.2004, 11:47
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
12.07.2004, 13:47
Member
Beiträge: 1095 |
#2
@isleif
Dein Log sieht eigentlich sauber aus 1. Die einzigen Sachen sind diese hier O4 - HKLM\..\Run: [Daemon14] D:\PROGRA~1\MICROS~1\GAMECO~1\STRATE~1\daemon14.exe C:\WINDOWS\System32\sdpasvc.exe C:\WINDOWS\notepad.exe (gab viele Viren die sich für notepad.exe ausgeben) Check diese Dateien mal hier http://www.kaspersky.com/de/remoteviruschk.html 2. Ist dein Windows auf aktuellem Stand? www.windowsupdate.com 3. Lass mal diese hier laufen http://www.rokop-security.de/board/index.php?showtopic=3867 am besten im abgesicherten Modus. Poste dann was gemeldet wurde Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
13.07.2004, 09:57
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo paff!
Erstmal vielen Dank für Deine Antwort auf meinen Thread. Ich habe mich gestern Abend direkt daran gemacht Deine Tips umzusetzen. Zum 1. Punkt, die Daemon14.exe gehört zum Microsoft Strategic Commander, die sdpasvc.exe gehört zu meiner Panasonic D-Snap Kamera und die notepad.exe ist laut Kaspersky online Scanner genauso in Ordnung wie die beiden anderen Dateien. Am Punkt 2 angelangt wurde ich erneut infiziert, ich bin aber sehr sicher, das ich aktuell war. Danach habe ich erstmal wieder Ad-Aware laufen lassen, welches wie immer viele Registry Einträge mit about:blank und infizierte Dateien gefunden hat, dann Spybot-Search & Destroy, der hat nur zwei Cookies (Mediaplex und Doubleclick) gefunden, CWShredder hat nix gefunden. Dann bin ich zu Punkt 3 gewechselt, also in den abgesicherten Modus und habe E scan laufen lassen. Der hat einen Virus gefunden und gelöscht und zwar einen Trojan.W32.Startpage.l oder so, in C:/recycled/NPROTECT/ in einer dll und einige Dateien die er als Virus gefunden dann aber als Not-A-Virus (W32.reboot oder so) definiert hat und keine Aktion ausgeführt hat. Danach habe ich einen der größten Fehler gemacht, den ich wohl machen konnte. Weil ein Teil der von E scan gefundenen Dateien in den Recycled Ordnern gefunden wurde habe ich im abgesicherten Modus die Datenträgerbereinigung benutzt, welche "alte" Indexdateien auf Laufwerk C gefunden hat. Nachdem ich die gelöscht habe, war mein PC weder im normalen noch im abgesicherten Modus mehr zu starten und auch über die XP Cd nicht mehr zu reaktivieren, da ich während der Trojanerjagd die Systemwiederherstellung deaktiviert hatte. Jetzt bleibt mir nur noch das formatieren meiner gesamten Partitionen (2 Festplatten aufgeteilt auf 5 Laufwerke) und die Neuinstallation. Mir drängen sich da allerdings zwei Fragen auf, die ich noch stellen wollte. 1. Wie sicher kann ich sein, das die Infizierung durch das formatieren und die Neuinstallation wirklich weg ist? 2. Muß ich bei der Neuinstallation irgendwas beachten um die Infizierung mit Sicherheit zu beseitigen? Gruß isleif |
|
|
|
|
|
|
13.07.2004, 10:26
Member
Beiträge: 1095 |
#4
@isleif
Zitat 1. Wie sicher kann ich sein, das die Infizierung durch das formatieren und die Neuinstallation wirklich weg ist?Wenn du wirklich neu installierst und danach keine Daten mehr vom alten System recovers , kannst du sicher sein das kein Virus da ist. Es sei denn es hätte sich ein BootVirus eingenistet, aber wir reden hier von einem "billigen" Trojaner  der überlebt das formatieren nicht.Zitat 2. Muß ich bei der Neuinstallation irgendwas beachten um die Infizierung mit Sicherheit zu beseitigen?Der gefährlichste Moment ist , wenn du mit einem Neuinstallieren System das erste mal online gehts. Das sind noch keine Patches geladen und du bist "Blaster" und Konsorten hilflos ausgeliefert. Dein XP muß dann so schnell wie möglich upgedatet werden Also am besten vor dem ersten Online gehen die XP Firewall aktivieren oder am besten SP1 und IE upadtes auf CD besorgen. Dann sofort zu www.windowsupdate.com und System auf aktuellen Stand bringen. Tip von Mir Wenn du eh alles neu machst, vergiß den Internet Explorer und Outlook. Nur mit denen fängst du dir den ganzen HiJackerkram ein. Also opera, firebird oder mozilla sind gute und "umsonste" Alternativen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
So langsam bin ich wirklich verzweifelt und hoffe das mir jemand helfen kann, denn ich bin seit drei Wochen mit dieser Smartsearch Geschichte am kämpfen und stehe kurz davor eine Neuinstallation zu wagen, aber ich bin nicht sicher ob mir das wirklich hilft, oder ob das Problem dann wieder kommt. Ausserdem weiß ich nicht, was ich dann sichern könnte ohne das Problem wieder in die neue Installation zu ziehen. Hier in Kürze die Historie des Befalls
meines PCs.
Norton Antivirus Professional meldet Virenbefall:
Quelle: C:\Dokumente und Einstellungen\Familie Boes\Desktop\ebplfaba.tmp
Beschreibung: Die Datei C:\Dokumente und Einstellungen\Familie Boes\Desktop\ebplfaba.tmp ist mit dem Virus Trojan.StartPage infiziert.
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Trojan.StartPage
Quelle: Worker.class
Beschreibung: C:\Dokumente und Einstellungen\Familie Boes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHQNS9I7\arc[1].zip
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Trojan.ByteVerify
Quelle: VerifierBug.class
Beschreibung: C:\Dokumente und Einstellungen\Familie Boes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHQNS9I7\arc[1].zip
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Trojan.ByteVerify
Startseite in Internetoptionen immer about:blank, tatsächlich aber smartsearch seite
Norton Antivirus Removal Instructions abgearbeitet.
Ad-Aware 6.181 mehrfach laufen lassen, findet einiges mit about:blank und infizierte Dateien, alles reparieren lassen.
about:blank Eintrag in Internetoptionen und smartsearch Seite immer noch da.
Windows Media Player und Fritz Software nicht mehr funktionsfähig.
CWShredder 1.59 findet und fixed CWS.SearchX.
Alle Einträge in registry die about:blank enthalten gelöscht.
Startseite wieder änderbar und bleibt eine Weile.
Windows Media Player 9 installiert und funktioniert.
Fritz Software mit Hilfe von AVM Support repariert.
Dann gings los, der Mist kommt immer wieder.
Immer bei neuem Befall, bekomme ich ihn vermeintlich wieder mit folgenden Tools weg:
Ad-Aware 6.181
Spybot - Search & Destroy 1.3
XP Clean free 5.5.0
CWShredder 1.59
Derzeitiger Stand:
Nachdem ich alle Tools mal wieder über meinen PC gejagt habe (wenn das jeweilige Tool es ermöglicht über alle meine Laufwerke):
Derzeitiger Stand:
Alle Tools finden nichts mehr, meine Startseite GMX.de ist gesetzt, und mit Hilfe von XP-Clean auf nicht manuell änderbar gesetzt.
Mozilla Firefox PC-Welt Edition aus der letzten PC-Welt als Zweitbrowser installiert. Standardbrowser geht leider nicht, weil Starmoney den IE braucht um zu funktionieren.
Aktuelles Logfile von HijackThis.
Logfile of HijackThis v1.97.7
Scan saved at 08:24:27, on 12.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\PROGRA~1\MICROS~1\GAMECO~1\STRATE~1\daemon14.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\sdpasvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\notepad.exe
C:\Programme\Messenger\msmsgs.exe
E:\XP-Treiber etc\XP Patch\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Daemon14] D:\PROGRA~1\MICROS~1\GAMECO~1\STRATE~1\daemon14.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\FRITZ!\Iwfilter.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37969.2579513889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48A74E32-EC1B-4534-B45B-7B4768075A7A}: NameServer = 192.168.120.252,192.168.120.253
Bitte helft mir ...............