Startseite verändert - http://ssearch.biz entfernen

#16 @Arnold

Habe AntiVir scannen lassen. Hat aber nichts gefunden. Kann doch einfach nicht wahr sein. Ich finde im Netz keine Infos über dieses Problem. Da muss es doch was geben. Naja, trotzdem danke. Übrigens, dein Deutsch ist doch sehr gut.

#17 Hallo zusammen,
habe seit vorgestern das gleiche Problem; ich werde allerdings entführt auf "http://ssearch.biz/?wmid=3304". Alle Links auf dieser Seite führern zu einer Domain namens "huyator.biz", wo unter anderem Spyware-removal-tools angeboten werden. Der "aboutURLs"-Teil der Registry scheint in Ordnung:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"Home"=dword:0000010e
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"

Mein HijackThis-Logfile scheint clean zu sein, ich poste es aber trotzdem mal:
-----------schnipp----------------
Logfile of HijackThis v1.98.0
Scan saved at 09:05:52, on 22.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\winnt\System32\smss.exe
C:\winnt\system32\winlogon.exe
C:\winnt\system32\services.exe
C:\winnt\system32\lsass.exe
C:\winnt\system32\svchost.exe
C:\winnt\System32\svchost.exe
C:\winnt\system32\spoolsv.exe
C:\winnt\System32\GEARSec.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\Microsoft Shared\VS7Debug\mdm.exe
C:\winnt\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\winnt\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\winnt\regedit.exe
W:\WARENWIRTSCHAFT\lexbswa.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User.Server.000\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=server01:3128;gopher=server01:3128;http=server01:3128;https=server01:3128
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {E07FC3F9-38C7-4CB9-8378-CCA78975A69B} (BITSoundRecorder.bitsndrec) - http://www.vcb.de/VCB-Seminare/476.1673.21364/bitmedia_sprachen/efa11/lm/redist/bitsndrec.cab
-------------schnipp---------------

CWShredder und Spybot haben auch nix gefunden.
Weitere Auffälligkeiten: zurück- und vorwärts-Button im IE sind deaktiviert, vor dem laden der ssearch.biz-Seite erscheint immer kurz die about:blank-Seite. Startseiten-Eintrag wie bei Murphy ok, erscheint dann auch, wenn man den Home-Button benutzt, nur eben nicht beim Browser-Start. Allmählich habe ich keine Idee mehr, wo das Problem liegen könnte und bitte um Hilfe!!!!

Danke.....

#18 Hallo nochmal,
ich habe eben gerade über google etwas zu dieser Sache gefunden. Unter diesem URL: http://www.adwareaway.com/google/ssearchbiz.htm, wird eine Software mit Namen "Adware Away" angeboten, die diesen Hijacker angeblich entfernen soll. Allerdings handelt es sich nicht um Freeware. Der Anbieter will sich das Prog mit 29,95 Dollar bezahlen lassen. Wer weiß, vielleicht steckt sogar der Urheber des Hijackers dahinter und will sich die Entfernung jetzt bezahlen lassen. Möglich ist alles. Naja, ich werde es jedenfalls nicht kaufen.

#19 @murphy

Da wir so nicht weiterkommen, beginnen wir von vorne

Lade dir mal bitte die Datei pv.zip
http://tools.zerosrealm.com/pv.zip
in einen Ordner auspacken und runme.bat starten

Dann 1 und return
Jetzt erscheint ein Textfile
dieses speichern.
Dies bis Nummer 6 machen.

Pack alle 6 Textdateien in ein zipfile und schick Sie bitte an
mike_hangover@gozomail.com

Dann schau ich mal was da los ist

Hoffe ich finde was, es wäre doch gelacht wenn wir diesem Teil nicht beikommen.

----------------------
Such mal bitte in deinem im Verzeichnis D:\WINDOWS\system32 nach *.dll

Schau welche DLL_Datei neueren Datums ist.
----------------------
Ich find immer mehr
Das hier könnte was sein
http://forums.spywareinfo.com/index.php?s=1eec9591e71f8e79e2502754fd23e547&showtopic=10748

Schick mal bitte noch deine hosts-Datei mit
Pfad D:\WINDOWS\system32\drivers\etc

Gruß paff
Wenn Fragen sind, einfach fragen
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#20 @paff

Habe im angegebenen Verzeichniss gesucht. Es sind aber nur Veränderungen vom 21. und 22.07. vorhanden. Die Sache fing aber schon am 17.07. an. Also kann es doch damit nichts zu tun haben, oder?

#21

Zitat

Murphy postete
@paff

Habe im angegebenen Verzeichniss gesucht. Es sind aber nur Veränderungen vom 21. und 22.07. vorhanden. Die Sache fing aber schon am 17.07. an. Also kann es doch damit nichts zu tun haben, oder?

War nur eine Idee

Mach mal das mit der pv.zip bitte.
Dann sehen wir weiter

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#22 @paff

Habe das mit der pv.zip bereits an die addy gepostet. Die hosts ebenfalls. Müsste schon längst da sein.

#23 Hallo zusammen,

bei mir scheint das Problem gelöst:

im "%systemroot%/system32"-Ordner befand sich eine Datei namens
"LORUX[^a.dll",
welche wie unter dem von paff angegeben Thread vom 29.01.2000 stammt. Dateilänge allerdings bei mir 67Kb. Nach dem Löschen dieser Dll (unter Linux) verhält sich das System bisher wieder normal. Ich hoffe, das wars....
Danke für die Hilfe,
freakb

#24

Zitat

Murphy postete
@paff

Habe das mit der pv.zip bereits an die addy gepostet. Die hosts ebenfalls. Müsste schon längst da sein.

Ist leider nicht angekommen
Hier nochmal die Addy
mike_hangover@gozomail.com (Meine FakeEMail)

@freakb
Saugut das du's gefunden hast. Hoffen wir mal das das die Lösung ist.
Ich glaube Murphy würde sich auch freuen
WICHTIG
Hast du die Datei noch, wäre sehr wichtig. Wenn ja schick Sie an die oben genannte Addy BITTE
Wenn nicht dann such bitte in der Registry nach der Datei ""LORUX[^a.dll"
Schreib bitte "alle" Fundstellen auf oder exportiere die Einträge und schick mir die Datei bitte, wenns zu viele sind zum Aufschreiben.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#25 @paff:

Datei ist unterwegs. Es gibt übrigens einen weiteren Thread, bei dem diese dll eine Rolle spielt:
http://board.protecus.de/t11089.htm
Das habe ich aber nicht über die Forensuche, sondern über google gefunden.

mfg freakb

#26

Zitat

freakb postete
Datei ist unterwegs. Es gibt übrigens einen weiteren Thread, bei dem diese dll eine Rolle spielt:
http://board.protecus.de/t11089.htm

Ich glaube das ist was anderes
Diese DLL wurde in HiJackThis angezeigt unter O18
In diesem Fall hier wurde in HJT nichts angezeigt.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#27 So Neuigkeiten

EIn mitlesender User hat mir 4 Dateien plus einige Auszüge seiner registry geschickt. Soweit man das sagen kann wird die DLL wohl als Service DLL von einen Dienst geladen

Dieser Dienst nennt sich pnpsvc:

Zitat

'Plug and Play svc service' (Name)
'Provides plug and play svc devices support' (Beschreibung)
automatisch (Starttyp)
'C:\WINNT\system32\svchost.exe -k netsvcs' (Befehl)
nutzt das lokale Systemkonto inkl. 'Datenaustausch zwischen Dienst und
Desktop zulassen'
hat keine Abhängigkeiten

Leider weiß ich nicht das Betriebssystem des User.
Bei mir (Win2000) wird der Plug'n'Play Dienst über die Service.exe gestartet.

Der Befehl 'C:\WINNT\system32\svchost.exe -k netsvcs' wird normalerweise
genutzt um den COM+ Dienst zu starten.

Zitat

Service name:EventSystem
Display Name:COM+ Event System
Binary Path:E:\WINNT\System32\svchost.exe -k netsvcs
Service is running in the security context of LocalSystem

Ich nehme jetzt an das der HiJacker einfach einen DummyDienst anlegt.
Diesem Dienst wird per Reg-Eintrag eine "ServiceDll" (Das gibts wirklich )
zugeordnet.
Hier nur ein Beispiel DAS IST NICHT DER HIJACKER (Das ist mein RAS Dienst )
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RasAuto\Parameters]
"ServiceDll"

Und schwubdiwupp wird die HiJackerDLL bei jedem Start geladen. Da der Prozess "svchost" sowieso mehrmals in der Taskliste auftaucht, fällt das nicht auf. CLEVER CLEVER. Aber wahrscheinlich ein alter Hut.
Keine Ahnung

Dies alles ist bis jetzt reine Vermutung.
Wer was ähnliches hat bitte mal hier posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#28 hallo. bin durch zufall auf dieses board gelandet. hoffe hier auf ein wenig hilfe. seit 18.07 habe ich auf meinen pc immer die startseite http://ssearch.biz/?wmid=1010. im ie lässt sich die vor und rück funktion nicht mehr betätigen. habe dann mit allen programmen den pc gescannt. av,adaware,spybot,o2,eScan . alle die programme fanden einige viren usw. aber leider ist startseite immer noch die gleiche. nix hat sich getan. desweiteren zeigt mir av andauernd die meldung an virus TR/small.dld.FO. Jedesmal ( das habe ich inzwischen bestimmt 700 x gemacht ) klicke ich auf löschen. aber nix tut sich. desweiteren kann ich auf websites keinen links mehr betägtigen. ich hatte hier im board gesehen das das problem gelöst sein soll, doch leider tut sich bei mir nix in der richtung " LORUX[^a.dll " Datei. Die Datei ist bei mir nicht vorhanden habe alles unter system 32 durchsucht.kein eintrag ( vorallem kein eintrag neueren datums. letzte liegt 2 jahre zurück ). benutze übrigens win 98. für einen tipp wie ich den mist wieder runterbekomme wäre ich dankbar. gruss ac

#29 Hi @ all.
Ich hatte dieses Problem seit gestern auch.
Bei mir hat es geholfen über Spybot ein paar überflüssige Systemstart-Prozesse zu deaktivieren. Bei mir war an dem ganzen Übel anscheinend eine Datei namens BOIFDLRI.exe schuld. Diese ist nun deaktiviert, gelöscht und nun funktioniert wieder alles wie es soll - hoffentlich bleibt des auch so...
Gruß

#30 @aco1
Poste mal dein HiJackThis Logfile
http://hjt.klaffke.de/
Aber bitte in einem eigenen Thread. Dieser hier hat schon 2 verschiedene Probleme. Das wird unübersichtlich
DANKE

@Leak
Hast du die Datei noch. Wenn ja bitte gezippt an
mike_hangover@gozomail.com (Meine FakeEMail)

Zitat

ein paar überflüssige Systemstart-Prozesse zu deaktivieren

Welche genau? Und vorallem wie?
WICHTIG!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware