Problem bei Home Search Assistent etc

#0
23.01.2005, 01:03
...neu hier

Beiträge: 4
#1 Hallo, habe ein riesen Problem und komme einfach nicht weiter!
Ich habe mir auch diese miesen Programme Home Search Assistent, Search Extender und Shopping Wizard eingefangen und daraufhin dieses Board durchsucht und mich an alle dort gelesenen Anweisungen gehalten, also sprich im abgesicherten Modus Programme wie Spybot, Adware und Escan laufen lassen, habe dann auch mit KillBox die ganzen Einträge bzw. Funde von Escan gelöscht und neugestartet, aber der Mist ist immernoch da und läßt sich einfach nicht löschen!
Habe auch versucht soweit es mir möglich die Registry zu bearbeiten und mit Hijack versucht zu fixen, war mir dabei nur bei einigen sachen nicht ganz sicher!
ich verzweifel bald.

Ich poste hier mal kurz meine Logfile(die infizierten daten) von Escan und mein Hijack Logfile nach dem ganzen prozedere und hoffe und würde mich sehr freuen wenn mir irgendwer helfen könnte, wäre traumhaft ;)

Die von Escan gefunden Dateien:

Sat Jan 22 22:13:36 2005 => **********************************************************
Sat Jan 22 22:13:36 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 22 22:13:36 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 22 22:13:36 2005 => **********************************************************
Sat Jan 22 22:13:36 2005 => Version 4.8.6 (C:\bases\mwavscan.com)
Sat Jan 22 22:13:36 2005 => Log File: C:\bases\MWAV.LOG

File C:\WINDOWS\system32\mfcki32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus
File C:\WINDOWS\system32\ntdl32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus
File C:\WINDOWS\ieas.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\javaib32.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\osnbg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus
File C:\WINDOWS\System32\mfcnd.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\System32\sytpo.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus
File C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\F9.tmp infected by "Trojan.Win32.HideProc.a" Virus
File C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\FA.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus
File C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\FA.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus
File C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc1.exe infected by "Trojan-Downloader.Win32.Small.abb" Virus
File C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc2.dll infected by "Trojan-Downloader.Win32.Small.yo" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP11\A0003604.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP11\A0003611.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP11\A0003621.exe infected by "Trojan-Downloader.Win32.Small.abb" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP5\A0002347.exe infected by "Trojan-Downloader.Win32.Small.abb" Virus
File C:\WINDOWS\javaib32.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\osnbg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus
File C:\WINDOWS\system32\mfcnd.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\system32\sytpo.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus


und das danach erstellte Hijack Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 00:43:59, on 23.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Jetico\BestCrypt\BCResident.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\********\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programme\Jetico\BestCrypt\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Programme\Jetico\BestCrypt\BestCrypt.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe


Ziemlich kurzes Logfile wie ich finde, ist das normal?
Naja ich hoffe irgendwer kann mir helfen und hoffentlich bekomme ich dann auch mal die oben erwähnten Programme weg.

vielen dank schonmal und viele Grüße
Gerri
Seitenanfang Seitenende
23.01.2005, 22:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Gerri223

Deaktivieren Wiederherstellung

«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.

---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"


----------------------------------------------------------------------
C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\ <---loesche alle Dateien in diesem Ordner

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc2.dll
C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc1.exe
C:\WINDOWS\system32\mfcki32.dll
C:\WINDOWS\system32\ntdl32.exe
C:\WINDOWS\ieas.exe
C:\WINDOWS\javaib32.exe
C:\WINDOWS\osnbg.dll
C:\WINDOWS\System32\mfcnd.exe
C:\RECYCLER\Desktop.ini
C:\WINDOWS\System32\sytpo.dll

PC neustarten

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis (ueberpruefe mit escan, ob alles sauber ist)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.01.2005 um 22:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.01.2005, 23:30
...neu hier

Themenstarter

Beiträge: 4
#3 Danke Sabina für die schnelle Antwort, werd das gleich mal durchprobieren, eine Frage hab ich aber noch:
Du hast geschrieben:"kopiere den Inhalt des folgenden Zitats in das Editorfenster..." welches Zitat meinst du? oder steh ich grad etwas auf dem Schlauch? ;)

Viele Grüße
Gerri
Seitenanfang Seitenende
23.01.2005, 23:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"


----------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2005, 00:09
...neu hier

Themenstarter

Beiträge: 4
#5 Ach ja klar, ich dummerchen ;)

So hab alles erledigt wie du beschrieben hast, escan hat nix gefunden außer zwei Hijack Log files die infected sein sollten, die hab ich aber dann gelöscht und so als Laie würde ich sagen mein neues Logfile sieht gut aus oder?

Logfile of HijackThis v1.99.0
Scan saved at 00:04:16, on 24.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Jetico\BestCrypt\BCResident.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programme\Jetico\BestCrypt\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Programme\Jetico\BestCrypt\BestCrypt.exe
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe


Ach so kann ich denn jetzt wieder bei
"Systemwiederherstellung auf allen Laufwerken aktivieren" ein Häkchen machen oder bleibt das deaktiviert?

Ansonsten super lieben dank für deine Hilfe!
Dieser Beitrag wurde am 24.01.2005 um 00:12 Uhr von Gerri223 editiert.
Seitenanfang Seitenende
24.01.2005, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@Gerri223

du kannst wieder die Systemwiederherstellung aktivieren und die Dateien vom HijackThis loeschen.

Das Log ist sauber ;)

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

mache unbedingt die WindowsUpdates!!!!!!!!!!!
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.01.2005 um 00:32 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.01.2005, 00:48
...neu hier

Themenstarter

Beiträge: 4
#7 Danke Sabina für deine Hilfe, bist die Beste ;)

Werd die Updates machen, versprochen, hehe

Hoffe ich kann dir auch mal helfen!

viele Grüße
Gerri
Seitenanfang Seitenende