Search Assistant, Offer Optimizer, Shopping Wizzard

#1 Hallo Zusammen.

hab da ganz schlimme Sachen auf meinem Compi! Die drei Programme Search Assistant, Offer Optimizer und Shopping Wizzard lassen sich nicht über die Systemsteuerung deinstallieren

Ich weiss nicht ob die mit Paduaism zusammenhängen, jedenfalls scheint es dass ich das auch drinn habe. Die Anleitungen das zu entfernen sind alle gescheitert, es heisst auch, dass es sehr schwierig sein kann es zu entfernen, weil es so viele unterschiedlich benannte Files in den Windows und system32 ordner kopiert. jedenfalls gibts immer zwei "böse" prozesse, wenn ich sie in der Registry und in den Windowsordnern entferne, sind es nach dem nächsten Systemstart einfach zwei andere. momentan sind es crol.exe und winfg32.exe.

Hab folgende Programme alle laufen lassen und alles gefixt: spybot, adaware, xoftspy, cwsshredder, hijackthis (bei letzterem Paduaism files gefixt).

Also, hier mal mein Hijackthis:
---------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 14:13:01, on 08.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\0 Installierte Programme\Zuberhörprogramme\ZoneAlarm\zlclient.exe
C:\0 Installierte Programme\Zuberhörprogramme\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\0 Installierte Programme\Zuberhörprogramme\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\crol.exe
C:\0 Installierte Programme\Zuberhörprogramme\AVGUARD.EXE
C:\0 Installierte Programme\Zuberhörprogramme\AVWUPSRV.EXE
C:\0 Installierte Programme\Zuberhörprogramme\VPN\cvpnd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\winfg32.exe
C:\Dokumente und Einstellungen\Steffan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.discogs.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.discogs.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\0 Installierte Programme\Sonstige Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Class - {E07D10F0-7866-EB23-CDF3-DA769D99D4B3} - C:\WINDOWS\system32\ntnx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\0 Installierte Programme\Zuberhörprogramme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\0 Installierte Programme\Zuberhörprogramme\AVGNT.EXE /min
O4 - HKLM\..\Run: [winfg32.exe] C:\WINDOWS\system32\winfg32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crol.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\0 Installierte Programme\Zuberhörprogramme\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\0 Installierte Programme\Zuberhörprogramme\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\0 Installierte Programme\Zuberhörprogramme\VPN\cvpnd.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--------------------------------------------------------------------------

Jetz die Frage: wie bekomme ich all das schlechte Zeug weg?!!

Danke im Voraus!, Steff

#2 hmmm... ich würde da vorgehen wie bei nem Virus.

Zuerst die Systemwiederherstellung komplett deaktivieren. Dann in den abgesicherten Modus gehen, dort in der Registry die entsprechenden Einträge löschen. Außerdem die bösen Dateien ausfindig machen und manuell löschen. Des weiteren nochmal mit nem anderen Virenscanner (u.a. mal mit Stinger) das System prüfen, nochmal Spybot, AdAware usw. durchlaufen lassen - wenn ich jetzt nix vergessen habe, dann solltest Du den PC wieder normal starten, ein Windowsupdate vornehmen (Dein IE scheint nicht mehr aktuell zu sein) und in Zukunft statt dem IE den Firefox verwenden...

ach ja und "R3 - Default URLSearchHook is missing" fixen
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Und wie weiss ich, welche Dateien alle böse sind?

#4 Steffanmeier

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.discogs.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.discogs.com/
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E07D10F0-7866-EB23-CDF3-DA769D99D4B3} - C:\WINDOWS\system32\ntnx.dll
O4 - HKLM\..\Run: [winfg32.exe] C:\WINDOWS\system32\winfg32.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crol.exe

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
(F8 beim Starten drücken).

-------------------------------------------------------------------

Die Datei "fixme.reg" auf dem Desktop doppelklicken.


Deaktivieren Wiederherstellung--> dann spaeter wieder aktivieren
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



•AboutBuster--> laden
http://virus-protect.org/antispywaretools.html

•Antivirus (free)--> laden
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
--------------------------------------------------------------------
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

---------------------------------------------------------------------

loeschen:
C:\WINDOWS\system32\winfg32.exe
C:\WINDOWS\system32\ntnx.dll
C:\WINDOWS\system32\crol.exe

AboutBuster
4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".

mache einen Komplettscan mit dem Antivirus + AboutBuster (nach Anleitung)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+

mache einen Onlinescan mit panda (wenn der Antivirus "meckert"--> nicht beachten+ poste mir alles
http://virus-protect.org/onlinescan.html

+
Log vom HIjacktHis+ Report vom Scan (Antivirus)+AboutBuster
__________
__________
MfG Sabina

rund um die PC-Sicherheit