Hijacking Suchmaschine "a-search"C:\program files\InterMute\SpySubtract\

#1 Hi miteinander,

als PC-User mit rudimentären Systemkenntnissen stehe ich etwas ratlos vor dem selben Problem, das hier sehr viele Leidengenossen mit mir teilen: Ich bin wohl "gehijacked" worden. In meine Internet-Starteinstellungen hat sich eine Suchmaschine mit dem Namen "a-search" eingetragen und ist nicht wegzubekommen.
Versuche mit SpyBot, CWShredder, SpySubtract und Hijackthis sind offenbar gescheitert. Sie haben alle samt diverse verdächtige Programme gefunden und vernichtet, aber a-search ist noch vorhanden.
Ich habe auf der Homepage von Hijackthis die Logfile-Hilfe in Anspuch genommen und danach aus dem Hijack-Log die Programme gelöscht, die mir empfohlen wurden. Das Ergebnis ist das selbe: a-search lebt. :-(
Bitte helft mir. Das Logfile habe ich kopiert.

PS: Kenne mich mit diesem Forum noch nicht so gut aus. Habe in meiner ersten Panik natürlich sofort den Chef persönlich und dann noch privat angemailt. Lukas möge mir verzeihen ;-)

Vielen Dank, Gruß Herbert

Logfile of HijackThis v1.97.7
Scan saved at 11:27:47, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\AIM95\aim.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Runtergeladene Programme\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Programme\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{131BFCAB-018D-494F-B46C-B0A2A982BD63}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{131BFCAB-018D-494F-B46C-B0A2A982BD63}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{131BFCAB-018D-494F-B46C-B0A2A982BD63}: NameServer = 192.168.121.252,192.168.121.253

#2 Was ungefragt Lukas mailen? Das darf ich nicht mal!

Aber mal ernsthaft, dein Log sieht doch schon richtig gut aus, im gegensatz zu deinem ersten Posting. Also hast du wohl was richtig gemacht!

Vergebe bitte eine neue Startseite, und poste ein neues Log mit Hijackthis 1.98.2, du bekommst es auf der Homepage von Hijackthis.de unter "direktdownload".

Bitte denke auch daran, das du noch ein Windowsupdate ueber www.windowsupdate.com machst.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hi Raman,

danke für den Tip. Werde ich versuchen. Die automatische Logfile-Auswertung bei Hijackthis hatte allerdings auch den Eintrag unter R0 1.Zeile) als böse gekennzeichnet. Ich hatte ihn auch markiert, aber er wurde nicht mit gelöscht.
Alles andere werde ich gleich nach dem Frühstück in Angriff nehmen

Nochmals, vielen Dank und ergebenste Grüße auch an L. ;-)

Herbert

#4 Hallo@Herbundsab

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

Dann stelle im IE eine Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Wed Nov 03 21:52:32 2004 => File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.

so far so bad ....

ist hoffentlich der Nachname von a-search ???

ciao

Ulli

#6 Hallo@paulchen

oeffne das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren.
C:\WINDOWS\system32\TGBRFV_.exe
PC neustarten

Dann scanne noch mal mit eScan.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 joha,

nun scheint es weg zu sein ...
einfach zauberhaft ....

)

Danke liebe Fee

Ulli

#8 MoinMoin aus dem hohen Norden. Ich bin beim googeln auf euer Forum gestossen. Ich habe genau das gleiche problem, allerdings hat bei mir escan auch nicht geholfen, der mist ist immer noch da.
Ich bin einfach so frei und frag mal euch ob ihr daraus schlau werdet und mir vielleicht helfen könntet. Ich hab escan jetzt 2x laufen lassen, er findet jedesmal den gleichen mist, ich hab versucht das ganze mit hijack this zu unterbinden, aber das hat auch nicht funktioniert.
Ach ja, das ganze hier ist auch noch der Rechner meiner Freundin und ihr klar zu machen, dass der Rechner formatiert werden muss wird auch nicht leicht. Ich hoff ihr kennt ne lösung die nicht mit formatieren zu tun hat.


Das sind die infizierten Dateien die escan findet.

Fri Nov 05 19:03:21 2004 => File C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-32c0043d-6833d88b.class infected by "Trojan.Java.Femad" Virus. Action Taken: No Action Taken.

Fri Nov 05 19:03:21 2004 => File C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-6515a27c-75cd8c3c.class infected by "Trojan.Java.Femad" Virus. Action Taken: No Action Taken.


Fri Nov 05 19:03:40 2004 => File C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8EJNAB1H\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.






Das Hijacklog sieht folgendermassen aus:

Logfile of HijackThis v1.98.2
Scan saved at 21:11:46, on 05.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\Dit.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\GetRight\getright.exe
C:\WINDOWS\DitExp.exe
C:\Programme\GetRight\getright.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\inetrepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file) (HKCU)
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A120B6D1-694E-49D0-81BA-1549A8FD55B5}: NameServer = 145.253.2.196 195.50.140.250



Vielen Dank schon einmal im vorraus für eure Mühe!

#9 Ach ja, unsinnig zu sagen, das addaware, spybot, cws shredder, spy subtract und xp antivir auch nix machen können

#10 Hallo@Doc_Kenny

Der Grund fuer deine Probleme ist ein voellig unaktualisierter< unsicherer IE und KEINE WINDOWSUPDATES......
__________________________________________________________________________
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten
R3 - Default URLSearchHook is missing

neustarten

Suche, ob du folgendes findest:
Programme\eZula ...loeschen

oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\program files\InterMute\SpySubtract\SpySub.exe
PC neustarten

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K
#Click: Downloaded-Files

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php



Dann scanne noch mal mit eScan und berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 danke protecus und danke sabina.
wusste gar nicht wie sinnvoll HijackThis sein kann.
ich hoffe das ich nicht nochmal auf euch angewiesen sein werde