Bin mit Spyware "Home Search" infiziert - *verzweifelt* |
||
---|---|---|
#0
| ||
16.08.2004, 17:28
...neu hier
Beiträge: 10 |
||
|
||
16.08.2004, 18:15
Member
Beiträge: 28 |
#2
logfile bitte hier selber auswerten
http://www.hijackthis.de/ und zum entfernen von Home Search versuche es mit Adwareaway Dieses Tool ist kostenfrei und kann unter http://www.adwareaway.com/ heruntergeladen werden. |
|
|
||
16.08.2004, 19:38
...neu hier
Themenstarter Beiträge: 10 |
#3
Danke für deine Antwort. Habe deine Anweisungen befolgt, leider ohne Erfolg. Bei Adware Away wurden drei Symptome beschrieben. Kann ja sein, dass ich ein neues Symptom auf meinem Rechner hab.
Sieht mir stark danach aus, weil echt nichts von dem, was in den Foren geschrieben wird und was Programme machen, bei mir funktioniert! Leider.. B-Ball |
|
|
||
16.08.2004, 19:45
Member
Beiträge: 441 |
#4
@ B-Ball
Solange du dein System nicht patcht, wird dies auch nicht oder nur kurzzeitig von Erfolg gekrönt sein. Zitat Platform: Windows XP (WinNT 5.01.2600) __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
16.08.2004, 20:51
...neu hier
Themenstarter Beiträge: 10 |
#5
Egal. Dann ist es halt nur kurzfristig! Aber Updates von Microdoof installiere ich garantiert nicht!
B-Ball |
|
|
||
16.08.2004, 21:27
Member
Beiträge: 441 |
#6
Zitat Aber Updates von Microdoof installiere ich garantiert nichtOK, es ist deine Entscheidung. Aber mir drängen sich da so einige Fragen auf: Ist dein Windows etwa nicht lizensiert? Warum verwendest du dann kein Open Source Produkte wie Linux? Warum postest du in einem Sicherheits-Forum dein Problem, wenn du keine Hilfe annehmen willst? Ps. Dann sind wir uns ja einig, dir zu helfen ist reine Zeitverschwendung! __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
16.08.2004, 21:49
...neu hier
Themenstarter Beiträge: 10 |
#7
Heh? Kommst du klar?
Es ist bekannt, dass Windows Updates den PC auch "ein bisschen", aber auch nur wirklich "ein bisschen", "ein kleines bisschen" durcheinander bringen. Ich spreche aus Erfahrung! Deswegen habe ich einen neuen PC! Zitat Ist dein Windows etwa nicht lizensiert?Nein, man! Ich tuh nur so als hät ich Microsoft Windows! Eigentlich benutzt ich ein Karton und viel Fantasie, um ins Internet zu gehen. Zitat Warum verwendest du dann kein Open Source Produkte wie Linux?-_- Zitat Warum postest du in einem Sicherheits-Forum dein Problem, wenn du keine Hilfe annehmen willst?Wenn du keine Lösung auf das Problem hast, sei doch bitte einfach ruhig und lass Leute wie z.B. Sabina, die/der Ahnung hat, ran! B-Ball Dieser Beitrag wurde am 16.08.2004 um 21:50 Uhr von B-Ball editiert.
|
|
|
||
16.08.2004, 22:33
Member
Beiträge: 441 |
#8
Zitat Heh? Kommst du klar?Locker bleiben. Ich komme klar, aber du nicht wie es aussieht. Zitat Es ist bekannt, dass Windows Updates den PC auch "ein bisschen", aber auch nur wirklich "ein bisschen", "ein kleines bisschen" durcheinander bringen. Ich spreche aus Erfahrung! Deswegen habe ich einen neuen PC!Möglicherweise, aber das ist nicht relevant. Außerdem hast du als erfahrener PC-User doch ein Image erstellt, oder etwa nicht? Es geht hier um min. SP1 sowie weitere sicherheitsrelevanten Patches! Zitat Nein, man! Ich tuh nur so als hät ich Microsoft Windows! Eigentlich benutzt ich ein Karton und viel Fantasie, um ins Internet zu gehen.Dann benutze lieber eine Schuhschachtel, denn mir scheint, daß du nicht viel Ahnung zum Thema Sicherheit hast. Ist besser für die Umwelt! Zitat Wenn du keine Lösung auf das Problem hast, sei doch bitte einfach ruhig und lass Leute wie z.B. Sabina, die/der Ahnung hat, ran!Eine interessante Theorie die du da vertrittst, vergiß nicht du bist der Hilfesuchende! __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
16.08.2004, 23:16
...neu hier
Themenstarter Beiträge: 10 |
#9
Hey.. Hey.. Ich bleib locker. Ich hab dich nur gefragt, ob du klar kommst, weil ich dir schon gesagt, habe dass ich keine Updates mache. Dann ist es halt mein Problem, wenn ich in ein paar Monaten wieder Spyware habe.
Mir geht es jetzt darum, dass ich die "Home Search" Spyware wegkriege! B-Ball |
|
|
||
16.08.2004, 23:51
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo @B-Ball
fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ynpdy.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676 O2 - BHO: (no name) - {35C69AD6-B1F4-6E2C-740F-10DB660F81F9} - C:\WINDOWS\netqv.dll O4 - HKLM\..\Run: [javawg32.exe] C:\WINDOWS\system32\javawg32.exe neustarten Ueberpruefe mit Kaspersky C:\WINDOWS\twunk_32.exe:ziyja C:\WINDOWS\system32\javawg32.exe #Lade Sphjfix http://www.rokop-security.de/main/article.php?sid=746 schliesse alle Browser-Fenster und scanne #Lade <eScan< (in C:\base entpacken) http://www.mwti.net/antivirus/free_utilities.asp # "kavupd.exe" suchen und anklicken. Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) gehe in den abgesicherten Modus(wichtig) http://www.bsi.de/av/texte/winsave.htm suche eine mwav.exe ,#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken. normal neustarten Lade AdAware (free) scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Optimiere\reinige\reapriere mit TuneUp (30 Tage free) den Compi http://www.tuneup.de/download/ #Lade ClearProg http://www.clearprog.de/ Loesche: - Cookies - Verlauf - Temporäre Internetfiles (Cache) .................................................................................................. Lade den Firefox http://www.firebird-browser.de/ stelle eine Startseite ein und surfe nur mit ihm. Dann muesste eigentlich wieder alles funktionieren. Es waere gut, wenn du mir dann posten wuerdest, was <eScan< NICHT geleoscht hat.(zur spaaeteren manuellen Entfernung) #Tipp: Den IE solltest du wirklich aktualisieren, sonst bist du trotz <Firefox< Dauergast bei uns und das macht wirklich keinen Spass.... Dafuer brauchst du auch keine cdkey http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Was die Updates betrifft, ...gleiches....falls du keine cdkey hast, lade alles ausser SP1 (der Update ist schon so ausgefeilt, dass es keine Folgeprobleme damit gibt, im Gegenzug jedoch dein System besser geschuetzt ist. MS buegelt ja mit den Updates Sicherheitsluecken aus...) #eine Firewall waere auch angebracht, falls du keinen Router hast. http://smb.sygate.com/products/spf_standard.htm #Stelle unter IE eine neue Startseite ein und poste das Log noch mal ...mit dem IE !(nicht mit dem Firefox) Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.08.2004 um 00:02 Uhr von Sabina editiert.
|
|
|
||
17.08.2004, 00:49
Member
Beiträge: 441 |
#11
@ Sabina
Es ist schön , daß du immer wieder versuchst zu helfen, aber in diesen Fall bei einen uneinsichtigen User der seine Sicherheitslücken nicht patcht, eigentlich überflüssig. Genau das ist der typische Kampf gegen Windmühlen. Deinen Tipp wird er genauso wenig befolgen, den für ihn steht fest: Zitat dass ich keine Updates macheWas passiert aber in naher Zukunft, wenn es sich nicht mehr nur um Spyware handelt, sondern um Backdoor Trojaner die einen Fernzugriff auf sein System ermöglichen? z.B. - Ausblenden von verräterischen Informationen - Weglassen von bestimmten Prozessen beim Kommando zum Auflisten von Prozessen - Datenmanipulationen von Konfigurationen - Inaktivieren von Authentifizierungen - Server im Hintergrund - Verbreitung von Viren - Zerstörung von Daten - Installation von Hintertüren - Keylogging usw usw Da ist nur zu hoffen, daß er nie Online Banking, Ebay und dergleichen betreibt bzw. auch keine persönlichen Informationen auf seinem System ablegt. Ps. Das Log-File ist unvollständig. Gruß Cidre __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 17.08.2004 um 00:51 Uhr von Cidre editiert.
|
|
|
||
17.08.2004, 00:59
Ehrenmitglied
Beiträge: 29434 |
#12
@Hi Cidre
Hast natuerlich total recht...der Knabe wird versuchen den Startseiten-Trojaner wegzubekommen und morgen hat er den naechsten drauf. Nicht an all die Dialer zu denken, die sich wahrscheinlich im fehlenden Logteil tummeln.... Es wird spassig, (so sehe ich das), wenn er dann sofort in diesem (oder einem anderen Forum ) auftaucht und ziemlich selbstbewusst die Reinigung seiner "Muehle" fordert. Seis drum... Nen schoenen Abend noch. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.08.2004 um 01:00 Uhr von Sabina editiert.
|
|
|
||
17.08.2004, 01:03
Member
Beiträge: 441 |
#13
Zitat Seis drum...Wünsch ich dir auch. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
17.08.2004, 08:30
...neu hier
Themenstarter Beiträge: 10 |
#14
*erm* Dazu sage ich jetzt nichts. Aber ich würde sagen, dass ich wohl ziemlich genau weiss, warum ich mich mit "Home Search" infiziert habe.
Wenn ich nicht wüsste, warum ich "Home Search" bekommen hätte, würde mir der Gedanke mit den Updates auch durch's Auge gehen, aber solange ich weiss warum - Nein. Wie auch immer, hier mein HijackThis-Log. ========================================================== Logfile of HijackThis v1.98.2 Scan saved at 08:24:30, on 17.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\System32\RunDll32.exe D:\BITDEF~1.2\bdmcon.exe D:\Babylon\Babylon.exe C:\Programme\Internet Explorer\iexplore.exe D:\HijackThis 1.98.2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BDNewsAgent] d:\bitdefender free edition 7.2\bdnagent.exe O4 - HKLM\..\Run: [BDMCon] d:\BITDEF~1.2\bdmcon.exe O4 - HKLM\..\Run: [Babylon Client] D:\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file) ========================================================== Bis jetzt ist mir die "Home Search" Startseite noch nicht wieder vor die Augen gekommen. Auch nachdem ich den IE mehrere Male geschlossen und wieder geöffnet habe. B-Ball P.S.: Cidre, mach doch einfach einen auf den hier: :-X |
|
|
||
17.08.2004, 09:00
Member
Beiträge: 1095 |
#15
@B-Ball
Wenn du dir nicht helfen lassen willst, warum bist du dann hier ? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
Seit ca. 2 Tagen habe ich die Spyware von "Home Search" auf meinem PC und seit diesen zwei Tagen versuchte ich schon durchgehend "Home Search" loszuwerden. Bis jetzt - erfolglos! "Home Search" macht mich echt voll verrückt..
Immer wenn ich den Internet Explorer starte erscheint die Startseite von "Home Search" und oben in meiner Adressleiste steht: "about:blank". Außerdem ist mir aufgefallen, dass jetzt rechts unten in der Statusleiste meines Internet Explorers nicht mehr "Internet" oder "Lokales Intranet" steht, sondern "Vertrauenswürdige Sites".
Ich habe schon viel versucht, ich hoffe ihr könnt mir helfen!
Hier mein HijackThis-Log.
==========================================================
Logfile of HijackThis v1.97.7
Scan saved at 17:25:59, on 16.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\twunk_32.exe:ziyja
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
D:\BITDEF~1.2\bdmcon.exe
D:\Babylon\Babylon.exe
C:\WINDOWS\system32\javawg32.exe
C:\WINDOWS\System32\imapi.exe
D:\Nero Burning Rom 5.5.10.54\nero\nero.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\Dateien\HijackThis 1.97.7\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ynpdy.dll/sp.html#96676
O2 - BHO: (no name) - {35C69AD6-B1F4-6E2C-740F-10DB660F81F9} - C:\WINDOWS\netqv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDNewsAgent] d:\bitdefender free edition 7.2\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] d:\BITDEF~1.2\bdmcon.exe
O4 - HKLM\..\Run: [Babylon Client] D:\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [javawg32.exe] C:\WINDOWS\system32\javawg32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
==========================================================
Zu den Versuchen, die ich bisher unternommen habe, zählte dazu, dass ich Dateien, die im Task-Manager gesehen habe, die mir unbekannt waren und bei denen ich genau wusste, dass die zu "Home Search" gehören, gelöscht habe. So habe ich schon öfter "javaxx32.exe" gelöscht, wobei "xx" für zwei Variablen stehen. Nachdem ich die Datei gelöscht habe, erschien sie nach ein paar Minuten wieder im Task-Mananger, nur dass sie diesmal andere Variablen hatte (andere Buchstaben, nicht z.B. wie im Log "javawg32.exe" sondern "javaxy32.exe" oder so..)
Ich hoffe ihr könnt mir helfen! Das wäre echt super!
"Vielen, vielen, vielen.. Dank! schon einmal im voraus..
Mit freundlichen Grüßen
B-Ball