Shopping Wizard und Search Extender

#0
25.07.2005, 12:25
...neu hier

Beiträge: 2
#1 Hallo Zusammen
habe ein Problem mit "Shopping Wizard und Search Extender"

hier mein log:

Logfile of HijackThis v1.99.0
Scan saved at 11:18:20, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Atguard\iamserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sujzo.dll/sp.html#37049
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {E6172AC5-7DD3-8521-94E1-DA8D1A44794E} - C:\WINDOWS\winyl.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [javayz32.exe] C:\WINDOWS\javayz32.exe
O4 - HKLM\..\RunOnce: [netux.exe] C:\WINDOWS\system32\netux.exe
O4 - HKLM\..\RunOnce: [ieqq32.exe] C:\WINDOWS\system32\ieqq32.exe
O4 - HKLM\..\RunOnce: [ntxq.exe] C:\WINDOWS\system32\ntxq.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\netux.exe
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: WRQ IAM - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Oder soll ich den PC neu machen?

Danke für eure Hilfe
Seitenanfang Seitenende
25.07.2005, 12:41
Member

Beiträge: 14
#2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sujzo.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sujzo.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sujzo.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sujzo.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sujzo.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sujzo.dll/sp.html#37049

Fixen und escan drüberlaufen lassen
Seitenanfang Seitenende
25.07.2005, 13:04
Member
Avatar Malkesh

Beiträge: 669
#3 Das reicht leider bei weitem nicht. sp.dll ist ein unter Umständen hartnäckiges Biest, die gefixten Einträge tauchen meistens wieder auf. ;)


Lade folgende Programme herunter und update sie:

HijackThis 1.99.1 (Anleitung zu HijackThis-Logs)
http://www.hijackthis.de/downloads/hijackthis_199.zip
se.dll\sp.html - Cleaner-Tool
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Diagnose und Vorbereinigung:

Führe zuerst das se.dll\sp.html - Cleaner-Tool im abgesicherten Modus aus und lasse es drüber laufen.

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)

Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!


HijackThis-Einträge:

Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten):
Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sujzo.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sujzo.dll/sp.html#37049
O4 - HKLM\..\Run: [javayz32.exe] C:\WINDOWS\javayz32.exe
O4 - HKLM\..\RunOnce: [netux.exe] C:\WINDOWS\system32\netux.exe
O4 - HKLM\..\RunOnce: [ieqq32.exe] C:\WINDOWS\system32\ieqq32.exe
O4 - HKLM\..\RunOnce: [ntxq.exe] C:\WINDOWS\system32\ntxq.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\netux.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
Führe anschließend bitte den Panda Online-Scan durch:
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm


RegCleaner

hier gibt's das Tool zum Download
Installiere den RegCleaner wie jedes andere Programm und starte ihn danach, akzeptiere die Lizenzbedingungen und du solltest dich auf der Programmoberfläche befinden. Wähle nun zuerst:
Options >> Language >> Select Language >> und wähle die "deutsch.rlg" aus um das Tool auf Deutsch umzustellen.
Danach gehe auf:
Tools >> Registry säubern >> verwaiste Einträge finden
Das Programm fängt an deine Registry zu durchsuchen, im Anschluss an die Suche erhälst du eine Übersicht der gefundenen Einträge. Markiere sie und entferne sie mit dem Button [markierte entfernen] (unten rechts im Fenster des Tools). Keine Sorge, der RegCleaner erstellt ein Backup.


Erstelle danach ein neues HijackThis-Log (bitte die aktuellste Version 1.99.1 benutzen!) und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse und Ergebnis des Panda-Scans).
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
25.07.2005, 14:20
...neu hier

Themenstarter

Beiträge: 2
#4 Sorry das es so lange dauerte bis ich mich meldete.

Half nichts, habe den PC neu aufgesetzt, mit einem Image, ging schneller.
Doch Danke ich euch für die schnelle Hilfestellung.
Dieser Beitrag wurde am 29.07.2005 um 15:26 Uhr von foehny editiert.
Seitenanfang Seitenende