ICQ Search als hijacker Advertise (ICQ6)

#1 Hi Leute,

ich hatte vor einige Zeit ICQ 6.0 installiert, da ich gar nicht zu frieden damit war habe ich es wieder deinstalliert.

Ein nervendes ICQ6 Phänomen bleibt aber dennoch übrig.
bei einem Tippfehler im Firefox Browser oder bewusster Falscheingabe erscheint
immer wieder.

http://search.icq.com/search/afe_results.php?ch_id=afex&q=

ich habe inzwischen einige Tipps wie deufault broswer engine , Keyword URL
neuinstall und deinstallaion von ICQ ohne ICQ Searchbereits ausprobiert ohne jeglichen Erfolg. Mittlerweile bin ich ratlos und brauch einigen Tips und Hilfe diese Dreck von http://search.icq.com wieder zu entfernen.

weiß vielleicht jemand Rat ??

danke vorab

ICQ search its wie ein Advertise Trojan in meinem Rechner verankert.

#2 Erstelle mal ein hijackthis-Logfile- vermutlich wirst Du Einträge diese Art wiederfinden- lassen sich aber leicht über das Programm entfernen.

Zitat

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\tbu1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\tbu1\toolbaru.dll

__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hi Joschi

schön wäre es, leider sind diese einträge nicht zu finden.

Logfile of HijackThis v1.99.1
Scan saved at 22:01:05, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\eigene\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\eigene\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UTSCSI.EXE
C:\Programme\eigene\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\eigene\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\eigene\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\dbox\VideoLAN\VLC\vlc.exe
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\eigene\Mozilla Firefox\firefox.exe
C:\Programme\eigene\Mozilla Thunderbird\thunderbird.exe
C:\Programme\eigene\Java\jre1.6.0_01\bin\javaw.exe
C:\security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\eigene\FlashGet\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\eigene\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\eigene\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\eigene\FlashGet\getflash.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\eigene\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SA7.tmp" /EF "HKCU"
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\eigene\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\eigene\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\eigene\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\eigene\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://test.catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1182696125187
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180104932203
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C77EE76F-DCA1-4053-8F29-BD1AACA86C02}: NameServer = 192.168.235.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\eigene\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: avldr - avldr.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\eigene\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\eigene\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\eigene\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\eigene\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\eigene\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Unknown owner - C:\Programme\eigene\Panda Software\Panda Internet Security 2007\PsCtrls.exe (file missing)
O23 - Service: Panda Host Service (PSHost) - Unknown owner - c:\programme\eigene\panda software\panda internet security 2007\firewall\PSHOST.EXE (file missing)
O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE

#4 Mhja, habe das Wörtchen "Firefox" überlesen.

Du kannst zuerst versuchen in der Sichleiste von Firefox mit l.- Klick auf das momentane Symbol > "Suchmaschinen verwalten" auswählen und dort ICQ-Search rausschmeißen. Browser schließen, neu starten, erneut versuchen.

Wenn das nicht weiterhilft, dann evtl folgender Beitrag aus dem Chip-Forum.
http://forum.chip.de/downloads/icq-suche-firefox-entfernen-932602.html#post5723999
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 HIHO

ich ahhte mir bereits einen Wolf nach Lösungen meines Problems gesucht. Dieser CHIP Link brachte auch nicht den gewünschten Erfolg. in de Suchmaschinenverwaltung vom Firefox hatte ich bereits ICQ rausgeschmissen.

Ich vermute, dass ICQ einen Advertise Trojan gesetzt hat.
selbst nach dem ich in der Registry alle ICQ relevanten Einträge manuell entfernt habe.

Bei diesem Sachverhalt muss es doch noch viel mehr User mit diesem Problem geben, meines Erachtens kann dass kein Einzelfall oder Ausnahme sein.

sowas penetrantes kenne ich nur von Coolweb Search.


bye

#6 Hi,

kurze Einmischung:
Hosts-File anzeigen:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Chris

#7 Würde folgendermaßen vorgehen
ICQ6 nochmals installieren. mittels "Total Uninstall" alle neuen Dateien und Registry-Einträge überwachen und anschl. entfernen. Kann etwas nicht gelöscht werden, erhält man eine Fehlermeldung und kann dann von Hand nachhelfen.

Das mit dem hosts-file ist auch eine Idee ...
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 @chris4You

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


wie du siehst ist hier alles normal.
ich sag aj ICQ ist die Pest

#9 Ich dachte ich schreib auch mal was:
Also das icq 6 werd ich wohl boykottieren. Mein icq 5.1 (Build 3000) hab ich mit atguard gezähmt. Es kommt also auch keine Werbung rein. Auch raus darf nur was ich wil (bei atguard seh ich ja wohin ein Programm/Trojaner möchte - handelt es sich um eine Datensammelnde Domain->block).

#10 @candelaver
Hast Du einen Versuch mit TotalUninstall gemacht ?
Alternativ kannst Du auch folgendes machen. Ein neues User-Profil für Firefox erstellen. (firefox.exe mit -p starten, z.B c:\programme\firefox\firefox.exe -p - einfach in Eigenschaften der Verknüpfung -p anhängen)
Damit kannst Du feststellen, ob die Installation des ICQ nur im Userprofil von Firefox eine Änderung mit sich brachte.

@randomuser
Wozu überhaupt ICQ 5/6 ?
Es scheint so, als ob ein Großteil der Leute denkt, dass man sich über ICQ nur mit diesem Programm unterhalten kann. Es wird zwar am stärksten beworben, ist aber nicht gerade die erste Wahl....

Es gibt zahlreiche Clients wie Miranda, Trillian, Gaim, etc. die allesamt denselben Zweck erfüllen, keinerlei Werbung einblenden und zusätzlich Protokolle für AIM, MSN, IRC ... bereithalten.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 Hi, hab ewig nach einer lösung gesucht aber nun endlich eine gefunden, für die die immernoch das problem haben

IcqSearch aus dem FireFox entfernen diese lösung hat bei mir geholfen