Isearch Suchmaschine -wie werde ich die wieder los? |
||
---|---|---|
#0
| ||
20.03.2004, 18:29
...neu hier
Beiträge: 2 |
||
|
||
21.03.2004, 12:28
Member
Beiträge: 462 |
#2
Hi maddccat,
mache mal ein Update deiner Adaware signature files. Aktuell ist Ref Nr. 272 vom 21.03.04, also brandneu, da ist der isearch toolbar offensichtlich neu mit drin. Ich hoffe das hilft dir. __________ U can get it if u really want! (J.Cliff) |
|
|
||
21.03.2004, 13:03
Member
Beiträge: 1095 |
#3
Hi maddccat
führe mal das hier durch http://board.protecus.de/t9373.htm und poste dann das HiJackThis logfile. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
21.03.2004, 13:56
...neu hier
Themenstarter Beiträge: 2 |
#4
Ah ich danke euch, da ich adaware vorher noch nie benutzt habe, hatte ich die updatefunktion völlig übersehen. Nach dem Update hat es den ganzen isearch"dreck" sofort gefunden und entfernt.
Vielen Dank mfg maddccat |
|
|
||
01.04.2004, 11:50
...neu hier
Beiträge: 1 |
#5
hallo ich habe selbes problem gehabt aber keines der tools hat mir wirklich geholfen
nun möchte ich für die nachwelt folgenden schon lächerlichen link hinterlassen //edit by Mod Dieser Beitrag wurde am 01.04.2004 um 11:50 Uhr von Desolate editiert.
|
|
|
||
21.04.2004, 19:38
...neu hier
Beiträge: 4 |
#6
hallo!
eine warnung an alle, die diesen thread lesen! bitte nicht das tool auf der seite http://toolbar.isearch.c*m/uninstall/ benutzen! ich bin diesem "ratschlag", gefunden dank google, gefolgt. da ich denke, daß noch andere per google zu euch kommen, möchte ich hier zum einen meine erfahrungen kundtun, diejenigen, die vielleicht auch diesen schritt gesetzt haben, warnen und auch hoffen ob mir nicht vielleicht jemand weiterhelfen kann. nun, ich war unter zeitdruck, und habe mich zu dem einsatz des uninstall-tools hinreißen lassen. ich hatte von anfang an ein mulmiges gefühl. und schon der ablauf sollte einem zu denken geben. zuerst installiert sich ungefragt eine toolbar ohne nutzen, die auch noch die persönlich angepaßte symbolleiste verändert, und funktionen eingraut, bzw. die funktion "anpassen" völlig löscht. jedem DAU würde das mißfallen, und er würde ein mittel dagegen suchen. und dann bietet isearch selbst ein deinstallationstool an, das auf den ersten blick auch wirkt. alle persönlichen einstellungen einstellungen werden wieder rückgängig gemacht. man atmet auf. doch was hat man getan. man hat einem deinstallationsprogramm die erlaubnis gegeben, etwas zu machen. meine firewall hat während dieses vorgangs gemeldet, daß ein programm auf das netz zugreifen will. soweit ich mich erinnern kann nannte es sich "registrierungsserver". ich habe es natürlich zugelassen. wo auch immer was auch immer hingeschickt hat, ich habe kein gutes gefühl dabei. aber okay, am nächsten tag stellte ich fest, daß man, wenn man etwas im ie markiert, rechtsklick, kontextmenü , immer noch den eintrag "iSearch The Web" zu lesen ist. das wollte ich natürlich auch weghaben. wird mir bei dem namen iSearch nämlich schon schlecht. also ad-aware laufen lassen. nichts gefunden. regedit findet 2 einträge. sahen aber ungefährlich aus. außerdem trau ich mich nicht an die registry ran. jv16 laufen lassen. das findet auch diese beiden einträge, und ich lösche sie damit. das "iSearch The Web" ist natürlich immer noch da. und jetzt wird's erst interessant. will mir hijackthis runterladen. geht nicht. aha. haben die den betrieb eingestellt? ein verdacht keimt auf. ich tippe lavasoft.de rein. geht nicht. auch auf die spybot-seite komm ich nicht ran. verdacht bestätigt. die hosts-datei wurde manipuliert. da stehen über 100 anbieter von anti-spy-programm-herstellern, etc. drinnen. ich kenne mich leider zuwenig mit dem betriebssystem aus (winxp). trau mich nicht an registry ran. auch das einfache löschen oder editieren von systemdateien (toolbar.dll, hosts) ist mir zu riskant. selbst der einsatz der systemwiederherstellung erscheint mir fragwürdig. abgesehen davon, daß diese sowieso unberechenbar ist, wird sie, denke ich, kaum alles wieder rückgängig machen, was notwendig ist. dazu stufe ich isearch als zu schlau ein. aber vielleicht kann mir jemand von euch weiterhelfen, der sich etwas besser mit den intimen teilen von windows auskennt. ansonsten stellen sich ein paar fragen: 1. was will isearch wirklich? für ein normales spy- oder ad-programm benimmt es sich zu auffällig. 2. wie tief hat es sich in das system eingegraben? 3. und natürlich: wie bringe ich es wieder los? wo auch immer es jetzt drinnen sitzt. ich habe mittlerweile einige stunden herumgegoogelt. konkrete antworten habe ich bisher keine gefunden. durch umbenennen der hosts-datei werden aber alle blockierten seiten wieder aufrufbar. nur traue ich mich nicht wirklich diese tools einzusetzen, schließlich sollte man auch dazu wissen, was man da eigentlich löscht. auch denke ich würden sie solche veränderungen, wie jene an der hosts-datei nicht einmal finden, geschweige denn rückgängig machen. mit der bitte um hilfe, uwe __________ Innenleben - Ein Leben mit Borderline http://www.innenleben.at |
|
|
||
21.04.2004, 19:54
Member
Beiträge: 1095 |
#7
@ uwe
Mein Beileid, du hast ne echte Odysse hinter dir. Ich wollte diesen Deinstall-Link auch mal empfehlen, hatte aber auch ein mulmiges Gefühl und habs gelassen.(Muß nochmal nachschauen, ob's wirklich so ist ) Also zum Thema Die hosts-Datei kannst du ohne Problem editieren. Heb einfach die alte auf für den Notfall. Die Datei ist eigentlich nur in Netzwerken mit verschiedenen Servern interessant. Du solltest unbedingt hier mal dein HiJackThis Logfile posten. Dann könnte man mal schauen ob sich noch was bei dir versteckt!! Was super ist, das du dir die Mühe gemacht hast hier zu posten. Dadurch hilfts du vielen weiter, die jetzt nicht auf das "uninstall" reinfallen. Dafür gibts ein großes @mods Vielleicht solltet ihr mal die IP von "Desolate" überprüfen. Nur ein Post und dann so ein "Tip". Das könnte Absicht sein. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 21.04.2004 um 19:55 Uhr von paff editiert.
|
|
|
||
22.04.2004, 19:13
...neu hier
Beiträge: 4 |
#8
hallo paff!
die odyssee hat erst begonnen. also, habe zu nächst einmal ad-aware geupdatet und das hat einiges an sondermüll gefunden. allerdings bin ich mir bei einigen dateien unsicher, ob ich die tatsächlich rauswerfen soll. zunächst einmal will ich sie genauer analysieren und zuordnen, um hier auch dann, soweit es meinen fähigkeiten entspricht, korrekte angaben zu machen. außerdem hab' ich die letzen monate meine datensicherung vernachläßigt, weil mir das brennen auf grund des ständig wechselnden inhalts zu mühselig geworden ist. und bevor ich mit dem herumexperimentieren beginne, will ich noch meine dateien sichern. ich habe mir daher heute ein externes hdd gekauft. ich denke mal, daß die würmer und anderen ungeziefer in nächster zeit noch schlauer und unvermeidbarer werden, sodaß datensicherung wohl das sicherste mittel im kampf gegen den müll sein wird. brauche daher vielleicht einige tage bis ich wieder etwas zu dem thema posten kann. gruß, uwe p.s.: ich hoffe, ich werde nicht zu offtopic edit auf grund doppelpostsperre (grr...): hallo paff! und alle, die's interessiert! meine zusammenfassung: zunächst einmal, das einzig sichtbare kennzeichen war der kontextmenüeintrag "isearch the web". keine anzeichen von startseiten-hijacking oder url-umleitungen, etc. zunächst mit jv16 2 registry-einträge entfernt: [HKEY_CURRENT_USER\Software\ISearch\ISearch Toolbar] [HKEY_CURRENT_USER\Software\ISearch] danach mit ad-aware: c:\windows\system32\toolbar.dll entfernt außerdem: diverse dateien und registry-einträge von coolwebsearch und xwebsearch. nun der hijackthis-log: Logfile of HijackThis v1.97.7 Scan saved at 00:03:05, on 24.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Dokumente und Einstellungen\Uwe.NAME-FUAPS8Q6PR\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:/// R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:/// R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:/// R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O1 - Hosts: 127.0.0.0 localhost O1 - Hosts: 127.0.0.2 auditmypc.com O1 - Hosts: 127.0.0.3 boards.cexx.org O1 - Hosts: 127.0.0.4 bulletproofsoft.net O1 - Hosts: 127.0.0.5 camtech2000.net O1 - Hosts: 127.0.0.6 cexx.org O1 - Hosts: 127.0.0.7 computercops.us O1 - Hosts: 127.0.0.8 ct7support.com O1 - Hosts: 127.0.0.9 doxdesk.com O1 - Hosts: 127.0.0.20 kellys-korner-xp.com O1 - Hosts: 127.0.0.21 kephyr.com O1 - Hosts: 127.0.0.22 lavasoft.de O1 - Hosts: 127.0.0.23 lavasoftusa.com O1 - Hosts: 127.0.0.24 lurkhere.com O1 - Hosts: 127.0.0.25 majorgeeks.com O1 - Hosts: 127.0.0.26 merijn.org O1 - Hosts: 127.0.0.27 mjc1.com O1 - Hosts: 127.0.0.28 moosoft.com O1 - Hosts: 127.0.0.29 mvps.org O1 - Hosts: 127.0.0.30 net-integration.net O1 - Hosts: 127.0.0.31 noadware.net O1 - Hosts: 127.0.0.32 no-spybot.com O1 - Hosts: 127.0.0.33 onlinepcfix.com O1 - Hosts: 127.0.0.34 pchell.com O1 - Hosts: 127.0.0.35 pestpatrol.com O1 - Hosts: 127.0.0.36 safer-networking.org O1 - Hosts: 127.0.0.37 secure.spykiller.com O1 - Hosts: 127.0.0.38 secureie.com O1 - Hosts: 127.0.0.39 security.kolla.de O1 - Hosts: 127.0.0.40 spybot.info O1 - Hosts: 127.0.0.41 spychecker.com O1 - Hosts: 127.0.0.42 spychecker.com O1 - Hosts: 127.0.0.43 spycop.com O1 - Hosts: 127.0.0.44 spyguard.com O1 - Hosts: 127.0.0.45 spykiller.com O1 - Hosts: 127.0.0.46 spyware.co.uk O1 - Hosts: 127.0.0.47 spyware-cop.com O1 - Hosts: 127.0.0.48 spywareinfo.com O1 - Hosts: 127.0.0.49 spywarenuker.com O1 - Hosts: 127.0.0.50 spywareremove.com O1 - Hosts: 127.0.0.51 spywareremove.com O1 - Hosts: 127.0.0.52 stopzillapro.com O1 - Hosts: 127.0.0.53 sunbelt-software.com O1 - Hosts: 127.0.0.54 thiefware.com O1 - Hosts: 127.0.0.55 tomcoyote.org O1 - Hosts: 127.0.0.56 unwantedlinks.com O1 - Hosts: 127.0.0.57 webattack.com O1 - Hosts: 127.0.0.58 wilders.org O1 - Hosts: 127.0.0.59 www.auditmypc.com O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net O1 - Hosts: 127.0.0.61 www.cexx.org O1 - Hosts: 127.0.0.62 www.computercops.us O1 - Hosts: 127.0.0.63 www.ct7support.com O1 - Hosts: 127.0.0.64 www.doxdesk.com O1 - Hosts: 127.0.0.65 www.eblocs.com O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com O1 - Hosts: 127.0.0.68 www.free-web-browsers.com O1 - Hosts: 127.0.0.69 www.grc.com O1 - Hosts: 127.0.0.70 www.grisoft.com O1 - Hosts: 127.0.0.71 www.hackfaq.org O1 - Hosts: 127.0.0.72 www.hazeleger.net O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com O1 - Hosts: 127.0.0.75 www.kephyr.com O1 - Hosts: 127.0.0.76 www.lavasoft.de O1 - Hosts: 127.0.0.77 www.lavasoftusa.com O1 - Hosts: 127.0.0.78 www.lurkhere.com O1 - Hosts: 127.0.0.79 www.majorgeeks.com O1 - Hosts: 127.0.0.80 www.merijn.org O1 - Hosts: 127.0.0.81 www.mjc1.com O1 - Hosts: 127.0.0.82 www.moosoft.com O1 - Hosts: 127.0.0.83 www.mvps.org O1 - Hosts: 127.0.0.84 www.net-integration.net O1 - Hosts: 127.0.0.85 www.noadware.net O1 - Hosts: 127.0.0.86 www.no-spybot.com O1 - Hosts: 127.0.0.87 www.onlinepcfix.com O1 - Hosts: 127.0.0.88 www.pchell.com O1 - Hosts: 127.0.0.89 www.pestpatrol.com O1 - Hosts: 127.0.0.90 www.safer-networking.org O1 - Hosts: 127.0.0.91 www.secureie.com O1 - Hosts: 127.0.0.92 www.security.kolla.de O1 - Hosts: 127.0.0.93 www.spybot.info O1 - Hosts: 127.0.0.94 www.spychecker.com O1 - Hosts: 127.0.0.95 www.spychecker.com O1 - Hosts: 127.0.0.96 www.spycop.com O1 - Hosts: 127.0.0.97 www.spyguard.com O1 - Hosts: 127.0.0.98 www.spykiller.com O1 - Hosts: 127.0.0.99 www.spyware.co.uk O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {0E25CA6C-52AE-47E0-BF44-BC5B3A0403F4} - http://www.anywebcam.com/awc/SGT.ocx O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37873.5561458333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab man erkennt die lange hosts-liste. eindeutig von isearch erstellt (durch dateiänderungsdatum verifiziert) die suchleiste verwende ich nicht. ist aber anscheinend außer betrieb gesetzt. der kontext-menü-eintrag von isearch: O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML warum funktioniert der eigentlich noch, wenn die .dll nicht mehr da ist? was bedeutet dieser eintrag: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost und warum C:\WINDOWS\system32\slserv.exe (soweit ich weiß, das programm meines modems, ich verwende es aber nicht) läuft ist mir auch unklar. der rest dürfte in ordnung sein, oder? könnte sich isearch noch tiefer ins system eingegraben haben? mit der bitte um check. danke, uwe __________ Innenleben - Ein Leben mit Borderline http://www.innenleben.at Dieser Beitrag wurde am 24.04.2004 um 01:00 Uhr von uwe steiger editiert.
|
|
|
||
26.04.2004, 23:32
Moderator
Beiträge: 6466 |
||
|
||
27.04.2004, 10:18
Ehrenmitglied
Beiträge: 29434 |
#10
Slserv.exe is SmartLink’s User-Level Modem Service. This task runs on Windows NT4/2000/XP system – Not sure what it actually does.
If there has been an alteration to this file then chances are some dialer has done it. I suggest you uninstall the modem and drivers and reinstall it with newly downloaded drivers. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.04.2004, 15:16
...neu hier
Beiträge: 4 |
#11
hallo joschi und Sabina!
zunächst mal danke. die hosts-datei habe ich auf "127.0.0.1 localhost" edidiert. den kontext-menü-eintrag von isearch: O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML habe ich mit hijackthis gefixt. das smartlinkservice habe ich in den diensten auf manuell gestellt. eine veränderung der .exe oder an den treiber-daten habe ich nicht feststellen können. auch gibt es keinen eintrag unter den dfü-einstellungen. da ich sowieso cable benutze müßte das (zunächst einmal) reichen. der neue hjt-log: Logfile of HijackThis v1.97.7 Scan saved at 15:11:00, on 27.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Uwe.NAME-FUAPS8Q6PR\Eigene Dateien\Zwischenspeicher\Texte\isearch\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:/// R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:/// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:/// R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:/// R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:/// R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {0E25CA6C-52AE-47E0-BF44-BC5B3A0403F4} - http://www.anywebcam.com/awc/SGT.ocx O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37873.5561458333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab wozu dient der eintrag R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost ? liebe grüße, uwe __________ Innenleben - Ein Leben mit Borderline http://www.innenleben.at |
|
|
||
27.04.2004, 15:27
Member
Beiträge: 1095 |
#12
Zitat wozu dient der eintrag R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost ?Das ist OK Fixe bitte sonst aber alle R0/R1 Einträge Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
27.04.2004, 17:41
...neu hier
Beiträge: 4 |
#13
danke paff.
Zitat paff postetealles gefixt. lg, uwe __________ Innenleben - Ein Leben mit Borderline http://www.innenleben.at |
|
|
||
28.04.2004, 11:44
...neu hier
Beiträge: 10 |
#14
Hi folks !!
Hab das Problem mit der Isearch toolbar ebenfalls !! Hab schon alle reg Einträge gelöscht ... Spybot durchlaufen lassen .. Die Symbolleistenansicht lässt sich auch wieder ändern, aber die Schei... Toolbar ist immer noch da... hatte auch kurz das bedürfniss die http://toolbar.isearch.c*m/uninstall/ zu nutzen ... hat aber zum glück nicht richtig gefunzt.. Was mache ich nun... Alle Dateien .. ebenfalls in der Sys32 .. und alle reg Einträge gelöscht und die Tollbar kommt immer wieder?!!?! Bitte helft mir!!! __________ THANKS & REGARDS EUNZMAN |
|
|
||
28.04.2004, 13:17
Member
Beiträge: 1122 |
||
|
||
Also ich hatte heute so eine komische suchzeile im Internet Explorer namens Isearch. Sieht ein bissl wie die von google oder yahoo aus. Nur wie werde ich diese blöde ding wieder los? Hab auch Null Ahnung wo die herkommt. Naja jedenfalls hab ich schon alles was ich dazu gefunden habe gelöscht da ich auch unter software nix zum deinstallieren gefunden habe. Gelöscht hab ich quasi die einträge in der reg die ich mit suchen: isearch gefunden habe und das ActivX Steuerelement aber irgendwie werd ich den mist net los. Auch adaware hat nix gefunden...
Hoffe ihr könnt mir dabei helfen...
mfg