Was ist Magicsearch ??

#1 Hi Leutz ..

Ich habe seit einiger Zeit probleme mit meinem Explorer.
Habe dort irgendwo ein Highjacker drinne ...

Denn egal was ich mache, ich habe dauernt die Seite
http://www.magicsearch.ws/
also Startseite.

Hab probiert alles manuel aus der Reg. zu fischen ..aber nichts zu machen.

Hab nun auch mal HijackThis drüberlaufen lassen,
Und erschreckend viele Einträge gefunden, die mir nicht kanns koscha sind .

Würde mich sehr freuen wenn sich mal jemand meine Log anschauen würde, und mir vielleicht was raten kann.

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 16:47:44, on 08.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\PestPatrol\PPControl.exe
E:\Programme\PestPatrol\PPMemCheck.exe
C:\WINDOWS\System32\devldr32.exe
E:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Windows\system\autorun.exe
C:\Programme\Neuer Ordner\HijackThis.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Crazy Browser\Crazy Browser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.magicsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.magicsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.magicsearch.ws/?q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.magicsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.magicsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.magicsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.magicsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.magicsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.magicsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.magicsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.magicsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.magicsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.magicsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.magicsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.magicsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.german-netboard.de/Forum
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.magicsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.magicsearch.ws/?q=
O2 - BHO: (no name) - {4BD9653E-D4C7-454B-9151-A8517B84BA08} - C:\Programme\BitBeamer\ieplugin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\FLASHGET\jccatch.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] E:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [MicrosoftWindows] C:\Windows\system\autorun.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [imekrmig] C:\Programme\Gemeinsame Dateien\Microsoft Shared\IME\IMKR\imekrmig.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MicrosoftWindows] C:\Windows\system\autorun.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download All by FlashGet - F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download All with BitBeamer - res://C:\Programme\BitBeamer\ieplugin.dll/getlinks
O8 - Extra context menu item: Download using FlashGet - F:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with BitBeamer - res://C:\Programme\BitBeamer\ieplugin.dll/download
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O13 - DefaultPrefix: http://www.magicsearch.ws/?q=
O13 - WWW Prefix: http://www.magicsearch.ws/?q=
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD16B2B3-4B90-4EEE-A562-5A2B89DD7FF9}: NameServer = 217.9.42.98 217.9.47.254

Alles was ich FETT geschrieben habe, habe ich selber in verdacht.

#2 Also alles was du dick unter O4, O16 und O17 geschrieben hast ist "safe".

Eines Dient der unterstuetzung von asiatischen Schriftzeichen, eines gehoert zu windows und das andere zu deiner Nvidia Grafikkarte.

Das ist dein Problem:

O4 - HKCU\..\Run: [MicrosoftWindows] C:\Windows\system\autorun.exe
O4 - HKLM\..\Run: [MicrosoftWindows] C:\Windows\system\autorun.exe

schicke die C:\Windows\system\autorun.exe bitte an virus@protecus.de und entferne diesen Coolwebsearch hijacker mit CWshredder, mache danach ein Windowsupdate via www.windowsupdate.com
__________
MfG Ralf
SEO-Spam Hunter

#3 Also erstmal danke dir für die schnelle Antwort.

Hab die beiden Sachen gemacht wie du gesagt hast,
Wo der CWSchrader Link nicht ging. Habe es mir nun woanders gezogen.

Leider aber ist die Aktion ohne erfolg geblieben.

Er erkennt zwar irgend was von CWS. Smartsearch und schreibt beim Fixen REMOVED hinter, aber leider ohne erfolg ..auch wenn ich nicht mit dem Internet Connectet bin und auch sonst alles aus habe und es dann drüberlaufen lasse, findet er immer wieder das selbe ...egal ob neustart oder sonst was.

Wobei ich aber nicht auf die Smartsearch seite, sonder auf die magicsearch seite verwiesen werde.

Nun weis ich nicht, ob das nun irgend eine neue Version davon ist.

Jedenfalls hab ich nun immer noch die magicsearch seite als Startseite.
Und werde manchmal auch einfach nur so auf die weitergeitet,
obwohl ich auf eine andere wollte.


Des weiteren sehen ich ständig andere dateien im Task

mal
Systeem.exe ..
mal
msinm.exe ..aber nie immer da sonder immer abwechselnt .....ohne das ich überhaupt Outlook oder so aufhabe.
im mom auch wieder ..diesmal nennt sie sich khost.exe.

Hab irgenwo gelesen. das es Trojaner gibt, die sich nach jedem ausführen einen anderen namen geben.

Oh je ich bin voll am Verzweifeln ..will doch nicht mein ganzes Windows wieder neu machen müssen.

NACHTRAG:

Ups was hab ich denn da gefunden.

Im Windows Ordner befindet sich ein 2. System ordner ,,,aber komplett kleingeschrieben...

also /Windows/system

Und dort befinden sich alle die files dich ich ebend genannt hatte.
Und noch ein paar mehr.




Das das ein Trojaner sein muss, ist eigendlich klar. ...nur bin ich nicht ganz sicher wie so ein grosse teil auf meinem Rechner kam und das auch was mit dem Highjacker zu tun hat.

ÖHHM noch ein NACHTRAG

Ich merke grade wieder, das ich ausser DIESEM system ordner, garkeinen anderen mehr haben ????
Das kann doch nicht DER ORGINAL System ordrner sein.
Inhalt hab ich oben in dem Bild gepostet

Versteckte Dateien anzeigen, habe ich an.

#4 wichtig!!!

nach dem download von cws sofort ein update machen, ebenso das windows update nicht vergessen!


deine "fetten" einträge unter R, mußt du auch noch fixen
MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#5

Zitat

arynsun postete
wichtig!!!

nach dem download von cws sofort ein update machen, ebenso das windows update nicht vergessen!


deine "fetten" einträge unter R, mußt du auch noch fixen
MfG aryn

Hab ich beides gemacht gehabt...aber bei cws, hat das Update nicht funktioniert.

Zitat

Current version: CWShredder v1.47.3
Connecting...
Fetching CWShredder update information...
Unable to retrieve CWShredder update information

#6 magicsearch ist ein wenig "tricky":

Neuste Version kannst du hier herunterladen(1.48.2):

http://216.180.233.162/~merijn/files/CWShredder.exe

Wenn das alles noch nicht klappen sollte, poste ein aktuelles Log und wir machen es per "Hand".
__________
MfG Ralf
SEO-Spam Hunter

#7 was ist mit antivirus programm,meldet das was und was?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#8 Hallo Gabbahead,

ich hatte mit magicsearch das gleiche Problem. Ich habe die Anweisungen ramans befolgt und seitdem habe ich meine Ruhe. Probier doch mal Adaware über deinen Rechner laufen zu lassen - für mich der beste Aufspürer und Vernichter irgendwelcher Würmer, Trojaner u.ä.
Viel Erfolg
har1ry

#9 Na ja ich habe Pest-Patrol im mom drauf.

Na mal schaun ...werd mir nun erstmal den neusten CW ziehen.

Meine Virenproggies finden soweit nichts mehr.
Aber Pest-Patrol findet irgendwie jeden Tag nen andere Backtdoor oder Keylooker.

@ Raman ...der Download geht leider schon wieder nicht

mFg XxGabbbaheadxX

#10 [Lach] Fuer Pestpatrol ist ja schon fast alles eine Pest und seien es ASpack und UPX gepackte Dateien!
__________
MfG Ralf
SEO-Spam Hunter

#11 @Gabbbahead
Für CWS Shreder-Download!!
Nimm den Chipdownloadserver
http://www.chip.de/downloads/c_downloads_11353799.html (lowspeed waehlen!)

@raman
Idee ist von dir
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#12 Da habe ich kein (c) drauf und ich werde auch nicht von Chip.de gesponsert!
__________
MfG Ralf
SEO-Spam Hunter

#13 @Raman
Ich habs nur, ganz billig aus dem anderen Thread kopiert. Wollte nicht so offensichtlich einfach 'ne Idee klauen und dann meinen Namen daruntersetzen.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#14 moin

also ich hatte dieses MagicSearch.ws auch drauf.
es schreibt dir über 20 zeilen in die registry und wenn du das mit einem hijacker entfernen willst, fügt die .exe date, welche im hintergrund läuft alles gleich wieder.
d.h. du musst erst einmal die exe datei beenden ( Taskmanager )
bei mir hatten die bisher fast ausschliesslich windows-ÄNLICHE dateinamen.bisher kam folgendes vor:
SYSTEMXP.exe
IEXPLORER.EXE
EXPLOREER.EXE
FUNNY.EXE

alle liegen direkt auf c:\
da die dateinamen den windows dateien fast ähneln, werden sie wohl meistens übersehen. oki weiter gehts.
erst wenn du die dateien beendet und gelöscht hast, kannst du mit nem hijackertool oder manuell die registry bearbeiten.
allerdings habe ich im mom noch das problem, dass hin und wieder ne seite aufgeht ( www.teocash.org ) und danach habe ich die exe dateien schon wieder.
die registry ist sauber und es laufen auch keine exe dateien im hintergrund, die da nich sein sollten.
falls wer ne lösung für hat, imme rher damit

by RoM

#15 Poste ein hijackthis llog, daauf wird man es wohl sehen koennen.

alternativer download: http://www.chip.de/downloads/c_downloads_11353576.html (low speed!)
__________
MfG Ralf
SEO-Spam Hunter