Hijacking Suchmaschine "a-search"C:\program files\InterMute\SpySubtract\ |
||
---|---|---|
#0
| ||
29.10.2004, 13:23
...neu hier
Beiträge: 2 |
||
|
||
29.10.2004, 15:48
Moderator
Beiträge: 7805 |
#2
Was ungefragt Lukas mailen? Das darf ich nicht mal!
Aber mal ernsthaft, dein Log sieht doch schon richtig gut aus, im gegensatz zu deinem ersten Posting. Also hast du wohl was richtig gemacht! Vergebe bitte eine neue Startseite, und poste ein neues Log mit Hijackthis 1.98.2, du bekommst es auf der Homepage von Hijackthis.de unter "direktdownload". Bitte denke auch daran, das du noch ein Windowsupdate ueber www.windowsupdate.com machst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.10.2004, 09:22
...neu hier
Themenstarter Beiträge: 2 |
#3
Hi Raman,
danke für den Tip. Werde ich versuchen. Die automatische Logfile-Auswertung bei Hijackthis hatte allerdings auch den Eintrag unter R0 1.Zeile) als böse gekennzeichnet. Ich hatte ihn auch markiert, aber er wurde nicht mit gelöscht. Alles andere werde ich gleich nach dem Frühstück in Angriff nehmen Nochmals, vielen Dank und ergebenste Grüße auch an L. ;-) Herbert |
|
|
||
31.10.2004, 00:46
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Herbundsab
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten Dann stelle im IE eine Startseite ein und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.10.2004 um 00:46 Uhr von Sabina editiert.
|
|
|
||
03.11.2004, 22:24
...neu hier
Beiträge: 2 |
#5
Wed Nov 03 21:52:32 2004 => File C:\WINDOWS\system32\TGBRFV_.exe infected by "TrojanDownloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
so far so bad .... ist hoffentlich der Nachname von a-search ??? ciao Ulli |
|
|
||
03.11.2004, 22:31
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@paulchen
oeffne das HijackThis. HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren. C:\WINDOWS\system32\TGBRFV_.exe PC neustarten Dann scanne noch mal mit eScan. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.11.2004, 17:03
...neu hier
Beiträge: 2 |
||
|
||
05.11.2004, 21:13
...neu hier
Beiträge: 2 |
#8
MoinMoin aus dem hohen Norden. Ich bin beim googeln auf euer Forum gestossen. Ich habe genau das gleiche problem, allerdings hat bei mir escan auch nicht geholfen, der mist ist immer noch da.
Ich bin einfach so frei und frag mal euch ob ihr daraus schlau werdet und mir vielleicht helfen könntet. Ich hab escan jetzt 2x laufen lassen, er findet jedesmal den gleichen mist, ich hab versucht das ganze mit hijack this zu unterbinden, aber das hat auch nicht funktioniert. Ach ja, das ganze hier ist auch noch der Rechner meiner Freundin und ihr klar zu machen, dass der Rechner formatiert werden muss wird auch nicht leicht. Ich hoff ihr kennt ne lösung die nicht mit formatieren zu tun hat. Das sind die infizierten Dateien die escan findet. Fri Nov 05 19:03:21 2004 => File C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-32c0043d-6833d88b.class infected by "Trojan.Java.Femad" Virus. Action Taken: No Action Taken. Fri Nov 05 19:03:21 2004 => File C:\Dokumente und Einstellungen\Yvonne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-6515a27c-75cd8c3c.class infected by "Trojan.Java.Femad" Virus. Action Taken: No Action Taken. Fri Nov 05 19:03:40 2004 => File C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8EJNAB1H\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Das Hijacklog sieht folgendermassen aus: Logfile of HijackThis v1.98.2 Scan saved at 21:11:46, on 05.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\Dit.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\DU Meter\DUMeter.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\GetRight\getright.exe C:\WINDOWS\DitExp.exe C:\Programme\GetRight\getright.exe C:\program files\InterMute\SpySubtract\SpySub.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Tiny Personal Firewall\persfw.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=Userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file) O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\inetrepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {106C9FAC-D1E4-494E-A061-B2D3714359C1} - (no file) (HKCU) O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A120B6D1-694E-49D0-81BA-1549A8FD55B5}: NameServer = 145.253.2.196 195.50.140.250 Vielen Dank schon einmal im vorraus für eure Mühe! |
|
|
||
05.11.2004, 21:15
...neu hier
Beiträge: 2 |
#9
Ach ja, unsinnig zu sagen, das addaware, spybot, cws shredder, spy subtract und xp antivir auch nix machen können
Dieser Beitrag wurde am 06.11.2004 um 00:34 Uhr von Sabina editiert.
|
|
|
||
06.11.2004, 00:27
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Doc_Kenny
Der Grund fuer deine Probleme ist ein voellig unaktualisierter< unsicherer IE und KEINE WINDOWSUPDATES...... __________________________________________________________________________ #Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten R3 - Default URLSearchHook is missing neustarten Suche, ob du folgendes findest: Programme\eZula ...loeschen oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\program files\InterMute\SpySubtract\SpySub.exe PC neustarten Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporary Internet Files, O.K #Click:Temporary Files, O.K #Click: Downloaded-Files #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php Dann scanne noch mal mit eScan und berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.11.2004 um 00:33 Uhr von Sabina editiert.
|
|
|
||
10.11.2004, 19:11
...neu hier
Beiträge: 1 |
#11
danke protecus und danke sabina.
wusste gar nicht wie sinnvoll HijackThis sein kann. ich hoffe das ich nicht nochmal auf euch angewiesen sein werde |
|
|
||
als PC-User mit rudimentären Systemkenntnissen stehe ich etwas ratlos vor dem selben Problem, das hier sehr viele Leidengenossen mit mir teilen: Ich bin wohl "gehijacked" worden. In meine Internet-Starteinstellungen hat sich eine Suchmaschine mit dem Namen "a-search" eingetragen und ist nicht wegzubekommen.
Versuche mit SpyBot, CWShredder, SpySubtract und Hijackthis sind offenbar gescheitert. Sie haben alle samt diverse verdächtige Programme gefunden und vernichtet, aber a-search ist noch vorhanden.
Ich habe auf der Homepage von Hijackthis die Logfile-Hilfe in Anspuch genommen und danach aus dem Hijack-Log die Programme gelöscht, die mir empfohlen wurden. Das Ergebnis ist das selbe: a-search lebt. :-(
Bitte helft mir. Das Logfile habe ich kopiert.
PS: Kenne mich mit diesem Forum noch nicht so gut aus. Habe in meiner ersten Panik natürlich sofort den Chef persönlich und dann noch privat angemailt. Lukas möge mir verzeihen ;-)
Vielen Dank, Gruß Herbert
Logfile of HijackThis v1.97.7
Scan saved at 11:27:47, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\AIM95\aim.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Runtergeladene Programme\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Programme\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{131BFCAB-018D-494F-B46C-B0A2A982BD63}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{131BFCAB-018D-494F-B46C-B0A2A982BD63}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{131BFCAB-018D-494F-B46C-B0A2A982BD63}: NameServer = 192.168.121.252,192.168.121.253