Mein Notebook ist total mit Home Search Verseucht !!!!

#0
04.11.2004, 00:11
...neu hier

Beiträge: 7
#1 Ich habe mich schon über die Suche Funktion des Forums alle Beuträge bezüglich Home Search genaustens durchgelesen und auch alle Tipps befolgt aber bisher fruchtete leider nichts!!!! So nen Mist. Nach jedem Neustart war das blöde Ding wieder auf der IE Startseite.

Hier mal mein Hijack Log das ich schon dutzende Male fixde. Es nützt nichts.

Vielleicht weiß einer Rat. Danke!

HIER DAS LOG:

Logfile of HijackThis v1.98.2
Scan saved at 00:02:07, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\d3zf.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SYSTEM32\THOTKEY.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3d.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\sysni.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe
C:\Programme\ARtem\Onair Client Manager\cmART.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Privat\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4ABE41DC-C2D6-27FC-DA9B-029097147C6C} - C:\WINDOWS\system32\apihd32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TOSHIBSU] TOSHIBSU.EXE
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [UIStarter] "C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OmgStartup] C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [sysni.exe] C:\WINDOWS\system32\sysni.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Udem] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ARtem Onair Client Manager.lnk = C:\Programme\ARtem\Onair Client Manager\cmART.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{20DF5B3E-2971-413F-82C0-E7DEA5B38B3C}: NameServer = 198.6.97.65 213.33.98.136
O17 - HKLM\System\CS1\Services\Tcpip\..\{20DF5B3E-2971-413F-82C0-E7DEA5B38B3C}: NameServer = 198.6.97.65 213.33.98.136
Seitenanfang Seitenende
04.11.2004, 12:47
Moderator

Beiträge: 7804
#2 Fix bitte mal das im abgesicherten Modus:

1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4ABE41DC-C2D6-27FC-DA9B-029097147C6C} - C:\WINDOWS\system32\apihd32.dll
O4 - HKLM\..\Run: [sysni.exe] C:\WINDOWS\system32\sysni.exe
O4 - HKCU\..\Run: [Udem] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:

Dann bitte diese Datei umbenennen: C:\WINDOWS\system32\d3zf.exe
und neu starten.

Schicke die Datei und folgende bitte an virus@protecus.de:

C:\WINDOWS\system32\apihd32.dll
C:\WINDOWS\vcxlp.dll
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe
C:\WINDOWS\system32\sysni.exe

Das Problem bei Homesearch ist, das er Trojan.downloader nutzt, der immer wieder neue/wechselnde Malware nachlaedt, darum ist es schwer genaue aussagen darueber zu treffen, was es macht.

Wen du msconfig uber start /Ausfuehren satrtest, dort auf den Reiter Dienste gehst, "Alle Microsoftdienste ausblenden" anhakst, solltest du neben diversen Norton Diensten auch einen mit namen PNP oder Network service finden. diesen Eintrag solltest du auch deaktivieren.

Dein Norton hat nichts gefunden und auch Escan nicht?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.11.2004, 21:30
...neu hier

Themenstarter

Beiträge: 7
#3 Danke für die Infos. Werde ich mal versuchen und dann wieder posten!

FRAGE noch: Habe zwar ESCAN durchlaufen lassen und er hat auch 46 (!) Viren bzw. Trojaner gefunden aber dieser kann ja nichts löschen. Es steht ich muss eine Vollversion kaufen ...

UND DIESE DATEI C:\WINDOWS\system32\d3zf.exe habe ich NICHT !!!

Kannst du mir da einen Tipp geben!?!? Danke.

EDIT2: Finde bei diesen Diensten KEINEN PNP. Sondern lediglich neben vieeelen Norton Diensten diesen komischen DIENST: Workstation NetLogon Service

Was ist das !??!?! Soll ich es deaktivieren ?!!?
Dieser Beitrag wurde am 04.11.2004 um 23:45 Uhr von Monkeytosh editiert.
Seitenanfang Seitenende
05.11.2004, 02:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Monkeytosh

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Dateien im abgesicherten Modus loeschen. Auch muss man die Eintraege in der Registrierung per Hand entfernen

ODER:

Deaktiviere fuer 15 Tage deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
klicke auf: awn2k3e.exe

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.11.2004 um 02:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.11.2004, 21:07
...neu hier

Themenstarter

Beiträge: 7
#5 Danke erstmal für eure große Mühe!!

Habe mir nun die 15 Tage Trial Version von escan gezogen und installiert. Es hat fast 70 (!) Viren bzw. Trojaner gefunden und mir alle gelöscht bzw. 3 umbenannt.

Nun habe ich KEIN Homesearch mehr.

Aber sobald ich es wieder habe gebe ich hier Bescheid.

Danke aber erstmal !!!!!!!!
Seitenanfang Seitenende