Bin mit Spyware "Home Search" infiziert - *verzweifelt*

#16 paff, tuh ich doch. Habe alle Anweisungen von Sabina befolgt. Haben ja anscheinend auch geholfen.
Was Cidre vorschlägt ist eine ander Sache.

B-Ball

#17 @B-Ball

Man sollte einfach nicht in ein Forum gehen ,dort hilfe erwarten und Leute "anmachen" die einem helfen wollen.
Auch so Bemerkungen wie, du hast ja eh keine Ahnung und ein anderer hat Ahnung, sollte man unterlassen.

gruß paff
P.s. Schmeiß wenigstens den IE in die Ecke und benutze Firefox oder opera
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#18 @B-Ball
Das Log ist noch nicht sauber..(der Trojan ist noch drauf)
Fixe
R3 - Default URLSearchHook is missing
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
.............................................................................................................
#Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken)
Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)
Wenn Du beim Löschen eine Fehlermeldung bekommst, die <dll< mit Rechts anklicken - Eigenschaften und das "schreibgeschützt" Attribut entfernen.


#Gehe in die Registry(loesche jeweils auf der rechten Seite)
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D}
HKEY_CLASSES_ROOT\clsid\{b9d90b27-ad4a-413a-88cb-3e6ddc10dc2d}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4A8DADD4-5A25-4d41-8599-CB7458766220}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4A8DADD4-5A25-4d41-8599-CB7458766220}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\icoo]
"CLSID"="{4A8DADD4-5A25-4d41-8599-CB7458766220}"

neustarten

Lade dieses Tool
http://www.diamondcs.com.au/index.php?page=apm
Klicke die explorer-Prozesse an, bis du <C:\WINDOWS\msopt.dll <findest.
Dann klicke auf <unload<


#suche und loesche :
C:\WINDOWS\msopt.dll
moo.hta
msn[1].exe
msopt.dll
pkqrlv.exe
\system32\jcq5.exe
\system32\mvo8s0w.exe

#Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen.
Alle Dateien im Ordner C:\Windows\Temp löschen.
Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen.


# IE aktualisieren, sonst bist du trotz <Firefox< Dauergast bei uns ..und das naechste Mal helfe ich dir nicht mehr, wenn du nicht machst, was ich poste....
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

Mircrosoft® warnt vor einer ernsthaften Sicherheitslücke des Internet-Explorer® (IE), der auf Windows-Systemen als Standard-Browser verwendet wird. Betroffen sind die Versionen IE 6 und IE 5.5 mit Service Pack 2 (SP2).
Passwörter in Gefahr
Angreifer können mit bestimmten Internet-Adressen "Cookies" von der Festplatte des Nutzers auslesen und manipulieren. Dadurch ist es auch möglich, an Passwörter und andere sicherheitsrelevante Informationen zu gelangen
Sicherheits-Patch fertig
Ein deutschsprachiger Patch, der dieses Sicherheitsloch stopfen soll, steht zum kostenlosen Download bereit. Der Patch ist nur für den Internet-Explorer® 5.5 mit eingespielten SP2 sowie den Internet- Explorer® 6.0 notwendig.
* Patch für IE-Cookie-Verwaltung
Erste Hilfe: Cookies abschalten
Da die Cookies offensichtlich über ein im HTML-Quellcode verstecktes Skript ausgelesen werden, hatte sich Microsoft dazu durchgerungen, die Deaktivierung von Cookies über die Sicherheitseinstellungen in den Internet-Optionen zu empfehlen.
http://www.edv-kahlert.de/news/ms_ie_sicherheitsloch.htm

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo,
Danke für dein Posting.

Zitat

Lade dieses Tool
http://www.diamondcs.com.au/index.php?page=apm
Klicke die explorer-Prozesse an, bis du <C:\WINDOWS\msopt.dll <findest.
Dann klicke auf <unload<


#suche und loesche :
C:\WINDOWS\msopt.dll
moo.hta
msn[1].exe
msopt.dll
pkqrlv.exe
\system32\jcq5.exe
\system32\mvo8s0w.exe

Keine der Dateien, die du da aufgelistet hast, habe ich auf meinem PC gefunden...

Hier mein HijackThis-Log:
==========================================================
Logfile of HijackThis v1.98.2
Scan saved at 11:23:15, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\RunDll32.exe
D:\BITDEF~1.2\bdmcon.exe
D:\Babylon\Babylon.exe
D:\HijackThis 1.98.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDNewsAgent] d:\bitdefender free edition 7.2\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] d:\BITDEF~1.2\bdmcon.exe
O4 - HKLM\..\Run: [Babylon Client] D:\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
==========================================================

Und wie sieht's nun aus?

Mit freundlichen Grüßen
B-Ball

#20 Da kann ich nur sagen, wenn du das komplette Log postest.

Das kann raus aus dem Autostart:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

Firewall:
http://smb.sygate.com/products/spf_standard.htm
Firewalls
Sie sollen verhindern, dass unerwünschte Programme nicht auf Deinen Computer zugreifen können, oder vom Computer unerwünscht Daten nach außen weitergeben werden.
Gerade bei Windows Usern sind sehr häufig die Ports für Windowsnetzwerkkommunikation offen, und defaultmässig die Laufwerke von aussen frei zugänglich. Gerade wenn man kein internes Windows- Netzwerk hat das NetBIOS Protokoll (Client f.MS-Netzwerke) deinstallieren. Zum Datenaustausch am Internet benötigt man nur das TCP/IP Protokoll - sonst nichts. Wichtig jedenfalls: NetBIOS über TCP/IP deaktivieren. Damit ist zumindest mal der Rechner von sich aus von aussen nicht zugreifbar.
Mit Shields Up, ein Onlinetest kann man das leicht selbst testen lassen ob man von aussen angreifbar ist. Unbedingt durchführen !!

#Online Scanner: (Sygate)
http://scan.sygatetech.com/ Online Scantest von Sygate


#Und...nicht vergessen, den Firefox als Alternativbrowser zu laden...ist sicherer als der IE
http://www.firebird-browser.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#21

Zitat

Sabina postete
Das Log ist noch nicht sauber..(der Trojan ist noch drauf)

@Sabina
Woran siehts du das? Klär mich bitte auf , warum sollte der trojaner noch drauf sein.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#22 Hallo@Paff
R3 - Default URLSearchHook is missing
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)--------gehoert zu :C:\WINDOWS\msopt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4A8DADD4-5A25-4d41-8599-CB7458766220}\InprocServer32]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\icoo]
"CLSID"="{4A8DADD4-5A25-4d41-8599-CB7458766220}"

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#23

Zitat

Da kann ich nur sagen, wenn du das komplette Log postest.

Eh.., ja das war das ganze Log. Sah der halb aus oder wie meinst du das? Ich habe hijackthis.log geöffnet, alles markiert, kopiert und hier eingefügt.
Wegen Firewall, ich habe einen Router mit eingebauter Firewall. Dort ist die DBZ deaktiert und Firewall ist an.
Ist jetzt wieder alles okay mit meinem PC?

Mir ist aufgefallen, dass seit dem ich mit "Home Search" infiziert war, rechts-unten in der Statusleiste im IE "Vertrauenswürdige Sites" steht, was mir gar nicht gefällt. D.h. ja eigentlich, dass der IE dann alles auf allen Websites zulässt. :-| Früher stand da immer "Internet" oder "Lokales Intranet". Ich habe schon versucht das zu ändern, aber irgendwie steht da immer noch "Vertrauenswürdige Sites".
Wenn ich in die Internetoptionen -> Sicherheit gehe, ist "Vertrauenswürdige Sites" markiert. Ich habe "Vertrauenswürdige Sites", schon mal genau so wie "Internet", "Lokales Intranet" und "Eingeschränkte Sites", zurückgesetzt (Internetoptionen -> Sicherheit -> Stufe anpassen... -> Zurücksetzen) und danach "Internet" als "Standardstufe" ausgewählt, aber in der Statusleiste von IE steht immer noch "Vertrauenswürdige Sites", warum? Normalerweise sollte man das doch so umstellen können, oder?

"Vielen Dank!" schon einmal im voraus..

Mit freundlichen Grüßen
B-Ball

#24 #Vertrauenswürdige Sites konfigurieren
Start<Ausfuehren<regedit

registriepfad exportieren/importieren:

HCU\software\microsoft\windows\currentversion\internet settings\zonemap\domains
alle die als reg_dword den wert 2 haben sind vertrauenswürdig (4 = eingeschränkt)
.................................................................................................................
Bei der Installation des Internet Explorers werden alle Webseiten in einer einzigen Zone- der Internet Zone - zusammengefasst und auf mittlere Sicherheitsstufe gesetzt. Dies ermöglicht sicheres Surfen und gibt Ihnen Warnmeldungen beim Download möglicher unsicherer Software oder Inhalte.

Der Internet Explorer bietet noch drei weitere Zonen, inclusive "vertrauenswürdige Sites" und "eingeschränkte Sites". Der Zone "vertrauenswürdige Sites" können Sie z.B. Webseiten hinzufügen, die Sie als absolute vertrauenswürdig einstufen, z.B. Einkaufsportale großer Versandhändler. In die "eingeschränkten Sites" nehmen Sie Webseiten auf, die Ihnen verdächtig vorkommen.
Hinzufügen einer Webseite zu den "vertrauenswürdigen" oder "eingeschränkten Sites"

Die Webinhalts-Zone "vertrauenswürdige Sites" hat einen niedriegeren Sicherheitslevel, um z.B. Downloads ohne Warnmeldungen zu ermöglichen. Fügen Sie diese Zone nur dann eine Webseite hinzu, wenn Sie sich sicher sind, dass von dieser Webseite niemals Gefahr für Ihren Computer ausgeht.. Die Zone "eingeschränkte Sites" wiederum verfügt über den höchsten Sicherheitslevel.
1. Gehen Sie auf die Webseite, die Sie einer Zone hinzufügen möchten.
2. Drücken Sie ALT+S zur Auswahl der Webadresse, dann drücken Sie STRG+C um diese Adresse in die Zwischenablage zu kopieren. Dadurch müssen Sie die Adresse später nicht eintippen.

Adressleiste des Internet Explorers
3. Klicken Sie im Menü Extras auf Internetoptionen.
4. Klicken Sie auf den Reiter Sicherheit und wählen Sie dort die Zone, der Sie die Seite hinzufügen möchten (lokales Intranet, vertrauenswürdige Sites, eingeschränkte Sites). Da alle Webseiten standardmäßig in der Internetzone liegen, können Sie dieser Zone keine Seite hinzufügen.
5. Klicken Sie auf die Schaltfläche Sites.
ie6_2.jpg
Internet Options Box
6. Klicken Sie mit der Maus in das Feld Diese Website zur Zone hinzufügen und drücken Sie dann STRG+V, um die Adresse aus der Zwischenablage einzufügen.
7. Klicken Sie auf Hinzufügen.

Vertrauenswürdige Seiten

Hinweis: Falls Sie der Internet Explorer nach einer Bestätigung der Aktion fragt, versuchen Sie eine Seite hinzuzufügen, die nicht als "sicher" eingestuft ist. Der Internet Explorer akzeptiert nur Seiten, die zum Aufbau eine sichere Verbindung verwenden - z.B. Online Banking oder Shopping Seiten. Sie erkennen diese Seiten an https:// in der Webadresse.
Falls Sie eine "unsichere" Webseite ohne https:// hinzufügen möchten, müssen Sie den Haken vor "Für Sites dieser Zone ist eine Serverprüfung (https erforderlich" entfernen. Vorsicht! Fügen Sie nur Webseiten hinzu, denen Sie zu 100% vertrauen.
8. Wenn Sie noch weitere Webseiten der Zone hinzufügen möchten, gehen Sie zurück zu Schritt 6 und tippen Sie eine weitere Webadresse in das Feld Diese Website zur Zone hinzufügen.
9. Klicken Sie zweimal auf OK.

Tip:
Um zu sehen, welche Sites in den Zonen enthalten sind, klicken Sie im Internet Explorer auf Extras - Internetoptionen, dort auf den Reiter Sicherheit. Markieren Sie vertrauenswürdige Sites oder eingeschränkte Sites und klicken Sie anschließend auf Sites, um sich die Liste anzeigen zu lassen. Verlassen Sie diese Ansicht indem Sie zweimal Abbrechen klicken.
Entfernen einer Webseite von einer Sicherheitszone
1. Klicken Sie im Menü Extras auf Internetoptionen
2. Klicken Sie auf den Reiter Sicherheit und wählen Sie die Zone, in der Sie eine Seite entfernen möchten: Lokales Intranet, vertrauenswürdige Sites oder eingeschränkte Sites.
3. Klicken Sie auf die Schaltfläche Sites.
4. Klicken Sie in der Box Websites auf den Namen der Webseite, die Sie entfernen möchten.
5. Klicken Sie auf Entfernen, anschließend zweimal auf OK.

Ändern der Sicherheitsstufe einer Zone

Mit nachfolgenden Schritten können Sie die die Sicherheitsstufe einer Zone erhöhen oder verringern - .z.B. können Sie den Sicherheitslevel Ihrer "vertrauenswürdigen Sites" von Sehr Niedrig auf Niedrig stellen.
1. Klicken Sie im Menü Extras auf Internetoptionen
2. Klicken Sie auf den Reiter Sicherheit und wählen Sie die Zone, deren Sicherheitsstufe Sie verändern möchten.
3. Klicken Sie auf Standardstufe.
4. Verschieben Sie den Regler auf Hoch, Mittel, Niedrig, or Sehr Niedrig.
Sie erhalten zu jeder Stufe eine Erläuterung der Einstellungen. Eine Verringerung der Sicherheitsstufe müssen Sie nochmals bestätigen.
Internetoptionen
5. Klicken Sie zum Schluß auf OK.
http://www.microsoft.com/germany/ms/security/ie6.mspx

------------------------------------------------------------------------------
Lade von dieser Site
Spywareblaster...sperrt bekannte, nicht vetrauenswuerdige Seiten.
Spywareguard....verhindert Umstellen der Startseite
http://www.javacoolsoftware.com/downloads.html


Öffne mal bitte Systemsteuerung/internetoptionen.
Dort dann auf Sicherheit klicken.
Dann "Vertrauenswürdige Sites anwählen"
Dann auf "Sites" klicken.
Welche Seiten sind da aufgeführt?

Vergiss den IE und lade Firefox...damit gibt es bis jetzt keine Probleme.(Startseite einstellen)
http://www.firebird-browser.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#25

Zitat

Sabina postete
Hallo@Paff
R3 - Default URLSearchHook is missing
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)--------gehoert zu :C:\WINDOWS\msopt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4A8DADD4-5A25-4d41-8599-CB7458766220}\InprocServer32]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\icoo]
"CLSID"="{4A8DADD4-5A25-4d41-8599-CB7458766220}"

MfG
Sabina

Na und was solls , da steht noch ein Eintrag in der Reg. Das ist vollkommen uninteressant. Die Datei ist gelöscht das ist alles was zählt. Durch "wildes Registry" gefummel wird der Rechner von B-Ball auch nicht besser.
Er soll die Einträge fixen und gut ist.
Die Aussage "der trojaner ist noch drauf", ist einfach falsch

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#26 @Paff
Sorry....aber solange ich noch den Registryeintrag sehe, bin ich immer misstrauisch.
Oft genug gibt es Trojaner, die beim ersten Fixen unter <018< oder 021< nur noch in der Registry angezeigt werden, beim zweiten erscheint was voellig neues (dll) , usw....

Beispiel: Trojan.Bookmarker (Troj/StartPa-BQ) (SmartSearch)
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

Es ist allemal besser, nachzupruefen, als den Computer als fuer gereinigt zu erklaeren...
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Kein Wunder, in RegEdit unter HCU\software\microsoft\windows\currentversion\internet settings\zonemap\domains, sehe ich im rechten RegEdit-Fenster gar keine Einträge.
Aber ich bin gerade mal spontan unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults gegangen und habe dort "http" (Typ: REG_DWORD) und "https" (Typ: REG_DWORD) auf 3 ("Internet") gestellt. Danach habe ich den IE geschlossen und neu gestartet. Nun steht rechts-unten in der Statusleiste des IE endlich "Internet".

Trotzdem habe ich mich schon mal Firefox heruntergeladen.

Das mit der Sicherheitszone im IE müsste dann ja jetzt wieder richtig sein, oder? - Ich meine jetzt steht da ja "Internet".
Und mit meinem PC ist jetzt auch alles nun auch alles okay? Keine merkwürdigen Einträge mehr im HiJackThisLog?

B-Ball

#28

Zitat

Sabina postete
Oft genug gibt es Trojaner, die beim ersten Fixen unter <018< oder 021< nur noch in der Registry angezeigt werden, beim zweiten erscheint was voellig neues (dll) , usw....

Das leigt aber nicht an den O18 oder O21 Einträgen sondern an "anderen" Sachen. BHO's die noch da sind, aber Einträge in AppInit_dlls.

Wenn du die verantwortliche DLL killst, wie in diesem Fall ist alles OK.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#29 @Paff
Ist o.k.
Gruss und nen schoenen Tag noch
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hi, habe das gleiche problem. AntiVir meldet das auch immer. microsoft antispyware findet beim scannen auch immer search-Kram aber kann es wohl nur kurzfristig beseitigen.
das problem ist, dass ich echt überhaupt keine ahnung von PCs habe und erst recht nicht von irgendwelchen Trojanern etc. ich habe mittlerweile schon so einige antiviren-geschichten runtergeladen und bisher hatte mich antivir auch gut beschützt.
kann mir jemand einen tipp geben, den eine PC-Null auch verstehen kann?...weiß nicht mal, was ne registry ist :-((