easy-search.biz und Search the web Hilfe !!!!!Experten !!!

#0
31.07.2004, 20:32
...neu hier

Beiträge: 2
#1 Hallo, liebe Experten

ich komme leider nicht weiter. Mein Nachbar Andre leider auch nicht.
Für uns sind diese Hi-jacker ein vollkommen neues Thema.
Die Story :
1. Anfrage ohne Detailinfos aus Expertenforen

Hilfe, liebe Experten

ich bin Anfänger und schreibe vom PC meines Nachbarn Andre, weil bei meinem kaum noch Internetverbindungen zustandekommen bzw.keine google-Suche möglich ist.Bei meinem IE war google als Startseite festgelegt.Gestern öffnete sich beim Surfen durch Norton Antivirus ein Hinweisfenster "Gefährl.Skript" und ich befolgte die Anweisungen um abzuwehren. Dennoch war es anschliessend kaum noch möglich, sauber und schnell ins Internet zu kommen, denn als penetrante Startseite baut sich ständig ein easy-search.biz auf, dass auch nicht mit Extras/Internetoptionen durch google oder blank ersetzt werden kann. Mein Nachbar murmelte was von "browser hijacker,ätzende Sache, brauchste Geduld und unbedingt Spezialistensupport,nannte euer Forum hat mir
Spybot, CWShredder ind Hijackthis in die Hand gedrückt und musste zur Arbeit.Nun sitze ich als Laie an seinem Rechner,schreibe Euch an und weiss nicht was ich an meinem PC in welcher Reihenfolge zu tun habe, um das Problem zu definieren und mit Gegenmassnahmen zu beheben.

Könnt ihr mir Unterstützung geben ?
Ich danke Euch

mfG

Chris


2. Anfrage mit angelesenen Ratschlägen und Aktionsreihen aus Expertenforen

Hallo
ich danke Dir f.d. schnelle Antwort.Komme erst heute dazu von meinem (dem infizierten) PC zu antworten,weil ich bis Donnerstag kurzfristig im Ausland tätig war. Donnerstagabend ist mir dann auch noch gelungen , den PC meines Nachbarn Andre mit einem neuen browswer-hijacker zu beglücken.
Er bekommt jetztcool
über about-blank ,search the web , massivste Kaufangebote für commerzielle anti-spyware, kann keine internetadresse mehr öffnen, weil ihm Kreisdiagramme von Anti-Spyware-Anbietern einen Befall von 18% mitteilen bzw. Balkendiagramme eine reduzierte PC-Leistung/-tempo auf 20%.
Ich habe deshalb diverse Empfehlungen in Expertenforen nachgelesen und bin auch gesterrn abend 4 Stunden und heute 6 Stunden so vorgegangen, wie es meistens beschrieben wurde:
Windows im gesicherten Modus
XP-System-Wiederherstellung abgestellt
1 Ad-Aware
2 Norton Anti-Virus
3 CW shredder
4 AV Stinger

5 Hi-jack this
verdächtige files geloescht (alle anderen Anw. geschlossen)

erneute Läufe 1-4
nur Kommentare : keine Infektion gefunden

anschliessend

System heruntergefahren

Neuer Start Windows
XP-System-WH aktiviert

Ergebnis: mein Rechner: easy-search .biz ist wieder drauf, nur(neu) der IE funktioniert nicht mehr /kein Server deshalb alternativ firefox als browser

Ergebnis Nachbar: dasselbe: Hijacker kann nicht entfernt werden,(neu) IE findet keinen Server

Jetzt frag ich mich, welcher Experte mir noch
weiterhelfen kann

Ich hab das Gefühl mit einer Geschützbatterie
auf eine Ameise geballert zu haben

ohne Erfolg

Als Anhang mein logfile (hi-jacker easy-search.biz)

CWShredder v1.59.1 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 )
Windows dir: C:\windows
Windows system dir: C:\windows\System32
AppData folder: C:\Dokumente und Einstellungen\nosp\Anwendungsdaten
Username: nosp

Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: http://easy-search.biz
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank
Infected data: http://easy-search.biz
SCAN aus CWS 3107 12Uhr

Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
Infected data: http://easy-search.biz
Found Hosts file: C:\windows\System32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\windows\win.ini (5396 bytes, A)
Found System.ini file: C:\windows\system.ini (231 bytes, A)

Done!
Removed from your system:
- 8 infected IE registry values

Windows XP (5.01.2600 )
CWShredder v1.59.1
Written by Merijn - merijn@spywareinfo.com

For any additional help with this program or removing CWS, visit:
http://forums.spywareinfo.com/

For information and documentation on the Coolwebsearch
trojan and its variants, visit:
http://www.spywareinfo.com/~merijn/cwschronicles.html

For donations to help support CWShredder, visit:
http://www.spywareinfo.com/~merijn/donate.html
Logfile of HijackThis v1.97.7
Scan saved at 13:56:44, on 31.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Program files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKCU\..\Run: [runwin32] C:\windows\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\windows\wininet32.exe
O4 - HKCU\..\Run: [Plug and Play] C:\windows\wininet32.exe
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM

Ich bitte um Euren fachlichen Rat !!!

Wenn ihr mir mit meinem PC helfen konntet, bite ich Euch noch darum mir bei
dem PC des Nachbarn Andre zu helfen. SChliesslich bin ich schuld, dass er noch nen aufdringlicheren Hi-jacker hat.

Ich danke Euch im voraus.

mfG

Chris
Seitenanfang Seitenende
31.07.2004, 21:17
Member

Beiträge: 441
#2 Hallo,

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Dein System ist nicht gepatcht!
Das ist ein Grund für die Installtion deines Browser Hijackers, weitere: Verwendung des Unsicherheitsbrowsers IE, sowie falsche Konfiguration des IE.

Lade dir eScan AV Toolkit runter und entpacke es in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

Fixe diese Einträge:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O4 - HKCU\..\Run: [runwin32] C:\windows\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\windows\wininet32.exe
O4 - HKCU\..\Run: [Plug and Play] C:\windows\wininet32.exe

Wechsle in den abgesicherten Modus und lösche diese Dateien:
C:\windows\runwin32.exe
C:\windows\wininet32.exe
dialup.exe

Danach:
- Temporäre Internet Files löschen
- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
- neues Log-File posten
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 31.07.2004 um 21:19 Uhr von Cidre editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: