Home Search Assistant nervt gewaltig!

#0
08.09.2004, 09:19
...neu hier

Beiträge: 4
#1 Ich habe mir offenbar auf meinem Rechner etwas eingefangen, dass sich nicht mehr entfernen lässt. In der Software habe ich folgende Einträge: Home Serach Assistant, Search extender und Shopping Wizard, und diese Programme lassen sich nicht mehr deinstallieren. Ich bekomme dann folgende Fehlermeldung:"looking-for.cc/uninstall/Home Search...." konnte nicht gefunden werden.
Ich habe schon x-Programme wie Ad-aware, hijackThis, diverse Spyprogramme und Removal Tools drüberlaufen lassen, in abgesicherten, sowie im normalen Modus und ich werde diese Parasiten einfach nicht los!
Ich bin schon am Ende.....
Kann mir irgendjemnd einen Tipp geben wie ich diese Dinger wieder los werde?
Bin für jede Hilfe dankbar!
lg ayora
Seitenanfang Seitenende
08.09.2004, 09:34
Member

Beiträge: 1095
#2 @ayora
Hi und willkommen am/im Board ;)

Poste bitte mal das HiJackThis Logfile
http://hjt.klaffke.de/

Dann können wir dir weiterhelfen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
08.09.2004, 11:33
...neu hier

Themenstarter

Beiträge: 4
#3 ok, hier das log-file

Logfile of HijackThis v1.97.7
Scan saved at 11:31:26, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cvqlw.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cvqlw.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cvqlw.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cvqlw.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3AF4A74F-6520-3B9A-E0AA-482605EAC44D} - C:\WINDOWS\system32\sdkbf.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [javalj32.exe] C:\WINDOWS\system32\javalj32.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37879.0013194444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hoffentlich hilft das was...

lg ayora
Seitenanfang Seitenende
08.09.2004, 11:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @ayora ;)

scanne mit dem HijackThis, dann setze ein Haekchen vor : das hier und <fix<
dann starte neu

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cvqlw.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cvqlw.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cvqlw.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cvqlw.dll/sp.html#96676

O2 - BHO: (no name) - {3AF4A74F-6520-3B9A-E0AA-482605EAC44D} - C:\WINDOWS\system32\sdkbf.dll
O4 - HKLM\..\Run: [javalj32.exe] C:\WINDOWS\system32\javalj32.exe

neustarten

#Loesche unter <Internetoption< die TemporaryInternetfiles

#Gehe in Start<Ausfuehren<%temp% (reinkopieren) und loesche alle Dateien und leere die Ordner(wirklich nur "leeren", nicht die Ordner selbst loeschen)

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Suche und loesche (mit der Suchfunktion von Windows)
C:\WINDOWS\system32\javalj32.exe

#DLL- LOESCHEN....C:\WINDOWS\system32\sdkbf.dll
<unregister Windows dll :sdkbf.dll
Start<Ausfuehren<
kopiere rein:
regsvr32 /u c:\system32\sdkbf.dll
#neustarten und C:\WINDOWS\system32\sdkbf.dll loeschen

#Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

#Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.09.2004 um 11:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.09.2004, 12:12
...neu hier

Themenstarter

Beiträge: 4
#5 also die datei: sdkbf.dll und javalj32.exe kann ich auf meinem system nicht finden. wie geh ich jetzt weiter vor?

lg ayora
Seitenanfang Seitenende
08.09.2004, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 #Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

#Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal.

mfg
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.09.2004 um 14:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.09.2004, 15:36
...neu hier

Themenstarter

Beiträge: 4
#7 hi sabina!
ich danke dir 1000mal! es hat geklappt und ich denke ich bin die biester jetzt los. den escan hab ich gestartet und danach den hijackThis noch einmal.
hier das log:


Logfile of HijackThis v1.97.7
Scan saved at 13:29:33, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\wuauclt.exe
L:\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37879.0013194444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


ich hoffe, das jetzt alles sauber ist!

lg ayora
Dieser Beitrag wurde am 08.09.2004 um 15:38 Uhr von ayora editiert.
Seitenanfang Seitenende
08.09.2004, 15:46
Moderator

Beiträge: 7805
#8 Mal eine kleine Zwischenfrage: Wo hast du dein Hijackthis heruntergeladen? Ich sehe neuerdings oefters die version 1.97.7 und die ist veraltet. Vieleicht kann man der Person, die diese Version bereitstellt mal die Info zukommen lassen, das sie veraltet ist!?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.09.2004, 00:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9

Zitat

paff postete
@ayora
Hi und willkommen am/im Board ;)

Poste bitte mal das HiJackThis Logfile
http://hjt.klaffke.de/

Dann können wir dir weiterhelfen

Gruß paff
Hallo @raman ;)
Dann wende dich an Klaffke...
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.09.2004 um 00:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.09.2004, 00:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @ayora
stelle eine Startseite ein und poste das Log noch mal, aber bitte lade vorher dieses HijackThis: (ganz oben, Direktdownload))
http://www.hijackthis.de/index.php
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.09.2004 um 00:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.09.2004, 00:27
Member

Beiträge: 441
#11 Hi Sabina,

Zitat

Dann wende dich an Klaffke...
daran liegt es bestimmt nicht, dort findest du eine bebilderte Anleitung die von Markus Klaffke erstellt wurde, aber die Verlinkung bzw. der Download verweist auf Chip, diese ist die Version 1.98.2 und somit die aktuellste.;)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
07.10.2004, 06:27
...neu hier

Beiträge: 2
#12 New Home Search Assistant Removal guide:

http://www.bleepingcomputer.com/forums/topict3341.html

[/url]
Seitenanfang Seitenende
26.10.2004, 01:08
...neu hier

Beiträge: 2
#13 Hallo zusammen!
Ich hab auch ein Problem und zwar mit dem Hijacker 'Search Assistant' Die gängigen Programme habe ich alle, aber diesmal werd ich aus denen auch nicht schlau. Ich schick euch mal das Logfile mit und hoffe, dass mir irgendjemand hilft.

Logfile of HijackThis v1.98.2
Scan saved at 01:06:13, on 26.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\msxmidi.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\System32\sstray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\internat.exe
C:\Dokumente und Einstellungen\MARTIN\Anwendungsdaten\wehd.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
D:\Programme\hijackthis1982\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows] C:\WINNT\System32\windows\services.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
O4 - Global Startup: SATARaid.lnk = C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2EA275F2-CF8D-786B-DE63-5AD0261D9ACA} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {4A3A6221-2D8D-3976-4F9A-710C11CD0F49} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {4C31C56F-1915-45FE-AB14-779B09D7FF46} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {6DD5C92D-B073-6622-2A0B-24C9535BE7A1} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {777C98CB-7C68-0C6B-1D0D-5FC37F7B599B} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{29B6D8C6-21B0-4E1C-A3A9-66E895AB846C}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{29B6D8C6-21B0-4E1C-A3A9-66E895AB846C}: NameServer = 217.237.151.225 217.237.150.225


Ich hab mich hierfür das erste mal in einem Forum angemeldet, so weit haben die Dinger mich schon.

Radl
Seitenanfang Seitenende
26.10.2004, 02:04
...neu hier

Beiträge: 2
#14 Spart euch die mühe, ich hab das tool zum auswerten gefunden. Aber der Search Assistant-Eintrag kommt immer wieder! Weiß da vielleicht jemand Rat?
radl
Dieser Beitrag wurde am 26.10.2004 um 10:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.10.2004, 09:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@radl

oeffne das HijackThis<scan<hake an< fix< PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O4 - HKLM\..\Run: [Windows] C:\WINNT\System32\windows\services.exe
O16 - DPF: {2EA275F2-CF8D-786B-DE63-5AD0261D9ACA} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {4A3A6221-2D8D-3976-4F9A-710C11CD0F49} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {4C31C56F-1915-45FE-AB14-779B09D7FF46} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {6DD5C92D-B073-6622-2A0B-24C9535BE7A1} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {777C98CB-7C68-0C6B-1D0D-5FC37F7B599B} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx

PC neustarten

oeffne das HijackThis:

#HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\msxmidi.exe < PC neustarten

#HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Dokumente und Einstellungen\MARTIN\Anwendungsdaten\wehd.exe < PC neustarten

#HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\System32\windows\services.exe < PC neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files, O.K

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm


Das eScan AV Toolkit (mwav.exe) herunterladen,

http://www.rokop-security.de/board/index.php?showtopic=3867
*
http://www.trojaner-info.de/hijacker/escan.shtml
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn maninfizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,+ DAS NEUE LOG VOM HIJACKTHIS (mit einer neuen Startseite)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.10.2004 um 10:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: