Bin mit Spyware "Home Search" infiziert - *verzweifelt*

#0
16.08.2004, 17:28
...neu hier

Beiträge: 10
#1 Hallo,
Seit ca. 2 Tagen habe ich die Spyware von "Home Search" auf meinem PC und seit diesen zwei Tagen versuchte ich schon durchgehend "Home Search" loszuwerden. Bis jetzt - erfolglos! "Home Search" macht mich echt voll verrückt..
Immer wenn ich den Internet Explorer starte erscheint die Startseite von "Home Search" und oben in meiner Adressleiste steht: "about:blank". Außerdem ist mir aufgefallen, dass jetzt rechts unten in der Statusleiste meines Internet Explorers nicht mehr "Internet" oder "Lokales Intranet" steht, sondern "Vertrauenswürdige Sites".
Ich habe schon viel versucht, ich hoffe ihr könnt mir helfen!

Hier mein HijackThis-Log.
==========================================================
Logfile of HijackThis v1.97.7
Scan saved at 17:25:59, on 16.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\twunk_32.exe:ziyja
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
D:\BITDEF~1.2\bdmcon.exe
D:\Babylon\Babylon.exe
C:\WINDOWS\system32\javawg32.exe
C:\WINDOWS\System32\imapi.exe
D:\Nero Burning Rom 5.5.10.54\nero\nero.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\Dateien\HijackThis 1.97.7\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
O2 - BHO: (no name) - {35C69AD6-B1F4-6E2C-740F-10DB660F81F9} - C:\WINDOWS\netqv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDNewsAgent] d:\bitdefender free edition 7.2\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] d:\BITDEF~1.2\bdmcon.exe
O4 - HKLM\..\Run: [Babylon Client] D:\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [javawg32.exe] C:\WINDOWS\system32\javawg32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
==========================================================

Zu den Versuchen, die ich bisher unternommen habe, zählte dazu, dass ich Dateien, die im Task-Manager gesehen habe, die mir unbekannt waren und bei denen ich genau wusste, dass die zu "Home Search" gehören, gelöscht habe. So habe ich schon öfter "javaxx32.exe" gelöscht, wobei "xx" für zwei Variablen stehen. Nachdem ich die Datei gelöscht habe, erschien sie nach ein paar Minuten wieder im Task-Mananger, nur dass sie diesmal andere Variablen hatte (andere Buchstaben, nicht z.B. wie im Log "javawg32.exe" sondern "javaxy32.exe" oder so..)

Ich hoffe ihr könnt mir helfen! Das wäre echt super!

"Vielen, vielen, vielen.. Dank! schon einmal im voraus..

Mit freundlichen Grüßen
B-Ball
Seitenanfang Seitenende
16.08.2004, 18:15
Member

Beiträge: 28
#2 logfile bitte hier selber auswerten

http://www.hijackthis.de/

und zum entfernen von Home Search versuche es mit Adwareaway

Dieses Tool ist kostenfrei und kann unter
http://www.adwareaway.com/
heruntergeladen werden.
Seitenanfang Seitenende
16.08.2004, 19:38
...neu hier

Themenstarter

Beiträge: 10
#3 Danke für deine Antwort. Habe deine Anweisungen befolgt, leider ohne Erfolg. Bei Adware Away wurden drei Symptome beschrieben. Kann ja sein, dass ich ein neues Symptom auf meinem Rechner hab.
Sieht mir stark danach aus, weil echt nichts von dem, was in den Foren geschrieben wird und was Programme machen, bei mir funktioniert! Leider..

B-Ball
Seitenanfang Seitenende
16.08.2004, 19:45
Member

Beiträge: 441
#4 @ B-Ball

Solange du dein System nicht patcht, wird dies auch nicht oder nur kurzzeitig von Erfolg gekrönt sein.

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
16.08.2004, 20:51
...neu hier

Themenstarter

Beiträge: 10
#5 Egal. Dann ist es halt nur kurzfristig! Aber Updates von Microdoof installiere ich garantiert nicht!

B-Ball
Seitenanfang Seitenende
16.08.2004, 21:27
Member

Beiträge: 441
#6

Zitat

Aber Updates von Microdoof installiere ich garantiert nicht
OK, es ist deine Entscheidung.
Aber mir drängen sich da so einige Fragen auf:
Ist dein Windows etwa nicht lizensiert?
Warum verwendest du dann kein Open Source Produkte wie Linux?
Warum postest du in einem Sicherheits-Forum dein Problem, wenn du keine Hilfe annehmen willst?

Ps.
Dann sind wir uns ja einig, dir zu helfen ist reine Zeitverschwendung!
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
16.08.2004, 21:49
...neu hier

Themenstarter

Beiträge: 10
#7 Heh? Kommst du klar?
Es ist bekannt, dass Windows Updates den PC auch "ein bisschen", aber auch nur wirklich "ein bisschen", "ein kleines bisschen" durcheinander bringen. Ich spreche aus Erfahrung! Deswegen habe ich einen neuen PC!

Zitat

Ist dein Windows etwa nicht lizensiert?
Nein, man! Ich tuh nur so als hät ich Microsoft Windows! Eigentlich benutzt ich ein Karton und viel Fantasie, um ins Internet zu gehen.

Zitat

Warum verwendest du dann kein Open Source Produkte wie Linux?
-_-

Zitat

Warum postest du in einem Sicherheits-Forum dein Problem, wenn du keine Hilfe annehmen willst?
Wenn du keine Lösung auf das Problem hast, sei doch bitte einfach ruhig und lass Leute wie z.B. Sabina, die/der Ahnung hat, ran!

B-Ball
Dieser Beitrag wurde am 16.08.2004 um 21:50 Uhr von B-Ball editiert.
Seitenanfang Seitenende
16.08.2004, 22:33
Member

Beiträge: 441
#8

Zitat

Heh? Kommst du klar?
Locker bleiben.
Ich komme klar, aber du nicht wie es aussieht.

Zitat

Es ist bekannt, dass Windows Updates den PC auch "ein bisschen", aber auch nur wirklich "ein bisschen", "ein kleines bisschen" durcheinander bringen. Ich spreche aus Erfahrung! Deswegen habe ich einen neuen PC!
Möglicherweise, aber das ist nicht relevant.
Außerdem hast du als erfahrener PC-User doch ein Image erstellt, oder etwa nicht?
Es geht hier um min. SP1 sowie weitere sicherheitsrelevanten Patches!

Zitat

Nein, man! Ich tuh nur so als hät ich Microsoft Windows! Eigentlich benutzt ich ein Karton und viel Fantasie, um ins Internet zu gehen.
Dann benutze lieber eine Schuhschachtel, denn mir scheint, daß du nicht viel Ahnung zum Thema Sicherheit hast. Ist besser für die Umwelt!

Zitat

Wenn du keine Lösung auf das Problem hast, sei doch bitte einfach ruhig und lass Leute wie z.B. Sabina, die/der Ahnung hat, ran!
Eine interessante Theorie die du da vertrittst, vergiß nicht du bist der Hilfesuchende!
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
16.08.2004, 23:16
...neu hier

Themenstarter

Beiträge: 10
#9 Hey.. Hey.. Ich bleib locker. Ich hab dich nur gefragt, ob du klar kommst, weil ich dir schon gesagt, habe dass ich keine Updates mache. Dann ist es halt mein Problem, wenn ich in ein paar Monaten wieder Spyware habe.
Mir geht es jetzt darum, dass ich die "Home Search" Spyware wegkriege!

B-Ball
Seitenanfang Seitenende
16.08.2004, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo @B-Ball
fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
O2 - BHO: (no name) - {35C69AD6-B1F4-6E2C-740F-10DB660F81F9} - C:\WINDOWS\netqv.dll
O4 - HKLM\..\Run: [javawg32.exe] C:\WINDOWS\system32\javawg32.exe

neustarten

Ueberpruefe mit Kaspersky
C:\WINDOWS\twunk_32.exe:ziyja
C:\WINDOWS\system32\javawg32.exe

#Lade Sphjfix
http://www.rokop-security.de/main/article.php?sid=746
schliesse alle Browser-Fenster und scanne

#Lade <eScan< (in C:\base entpacken)
http://www.mwti.net/antivirus/free_utilities.asp
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

gehe in den abgesicherten Modus(wichtig)
http://www.bsi.de/av/texte/winsave.htm
suche eine mwav.exe ,#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.

normal neustarten

Lade AdAware (free) scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Optimiere\reinige\reapriere mit TuneUp (30 Tage free) den Compi
http://www.tuneup.de/download/

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

..................................................................................................
Lade den Firefox
http://www.firebird-browser.de/
stelle eine Startseite ein und surfe nur mit ihm.

Dann muesste eigentlich wieder alles funktionieren.
Es waere gut, wenn du mir dann posten wuerdest, was <eScan< NICHT geleoscht hat.(zur spaaeteren manuellen Entfernung)

#Tipp:
Den IE solltest du wirklich aktualisieren, sonst bist du trotz <Firefox< Dauergast bei uns und das macht wirklich keinen Spass.... ;)
Dafuer brauchst du auch keine cdkey
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
#Was die Updates betrifft, ...gleiches....falls du keine cdkey hast, lade alles ausser SP1 (der Update ist schon so ausgefeilt, dass es keine Folgeprobleme damit gibt, im Gegenzug jedoch dein System besser geschuetzt ist.
MS buegelt ja mit den Updates Sicherheitsluecken aus...)


#eine Firewall waere auch angebracht, falls du keinen Router hast.
http://smb.sygate.com/products/spf_standard.htm
#Stelle unter IE eine neue Startseite ein und poste das Log noch mal ...mit dem IE !(nicht mit dem Firefox)

Mfg
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.08.2004 um 00:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.08.2004, 00:49
Member

Beiträge: 441
#11 @ Sabina

Es ist schön , daß du immer wieder versuchst zu helfen, aber in diesen Fall bei einen uneinsichtigen User der seine Sicherheitslücken nicht patcht, eigentlich überflüssig.
Genau das ist der typische Kampf gegen Windmühlen.

Deinen Tipp wird er genauso wenig befolgen, den für ihn steht fest:

Zitat

dass ich keine Updates mache
Was passiert aber in naher Zukunft, wenn es sich nicht mehr nur um Spyware handelt, sondern um Backdoor Trojaner die einen Fernzugriff auf sein System ermöglichen?
z.B.
- Ausblenden von verräterischen Informationen
- Weglassen von bestimmten Prozessen beim Kommando zum Auflisten von Prozessen
- Datenmanipulationen von Konfigurationen
- Inaktivieren von Authentifizierungen
- Server im Hintergrund
- Verbreitung von Viren
- Zerstörung von Daten
- Installation von Hintertüren
- Keylogging
usw usw

Da ist nur zu hoffen, daß er nie Online Banking, Ebay und dergleichen betreibt bzw. auch keine persönlichen Informationen auf seinem System ablegt.

Ps.
Das Log-File ist unvollständig.

Gruß
Cidre
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 17.08.2004 um 00:51 Uhr von Cidre editiert.
Seitenanfang Seitenende
17.08.2004, 00:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @Hi Cidre
Hast natuerlich total recht...der Knabe wird versuchen den Startseiten-Trojaner wegzubekommen und morgen hat er den naechsten drauf.
Nicht an all die Dialer zu denken, die sich wahrscheinlich im fehlenden Logteil tummeln....
Es wird spassig, (so sehe ich das), wenn er dann sofort in diesem (oder einem anderen Forum ) auftaucht und ziemlich selbstbewusst die Reinigung seiner "Muehle" fordert.
Seis drum... ;)
Nen schoenen Abend noch.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.08.2004 um 01:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.08.2004, 01:03
Member

Beiträge: 441
#13

Zitat

Seis drum...
Nen schoenen Abend noch.
Wünsch ich dir auch. ;)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
17.08.2004, 08:30
...neu hier

Themenstarter

Beiträge: 10
#14 *erm* Dazu sage ich jetzt nichts. Aber ich würde sagen, dass ich wohl ziemlich genau weiss, warum ich mich mit "Home Search" infiziert habe.
Wenn ich nicht wüsste, warum ich "Home Search" bekommen hätte, würde mir der Gedanke mit den Updates auch durch's Auge gehen, aber solange ich weiss warum - Nein.

Wie auch immer, hier mein HijackThis-Log.
==========================================================
Logfile of HijackThis v1.98.2
Scan saved at 08:24:30, on 17.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\RunDll32.exe
D:\BITDEF~1.2\bdmcon.exe
D:\Babylon\Babylon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis 1.98.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDNewsAgent] d:\bitdefender free edition 7.2\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] d:\BITDEF~1.2\bdmcon.exe
O4 - HKLM\..\Run: [Babylon Client] D:\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
==========================================================

Bis jetzt ist mir die "Home Search" Startseite noch nicht wieder vor die Augen gekommen. Auch nachdem ich den IE mehrere Male geschlossen und wieder geöffnet habe.

B-Ball

P.S.:
Cidre, mach doch einfach einen auf den hier: :-X
Seitenanfang Seitenende
17.08.2004, 09:00
Member

Beiträge: 1095
#15 @B-Ball

Wenn du dir nicht helfen lassen willst, warum bist du dann hier ?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende