Isearch Suchmaschine -wie werde ich die wieder los?

#0
20.03.2004, 18:29
...neu hier

Beiträge: 2
#1 Hallo erstmal!

Also ich hatte heute so eine komische suchzeile im Internet Explorer namens Isearch. Sieht ein bissl wie die von google oder yahoo aus. Nur wie werde ich diese blöde ding wieder los? Hab auch Null Ahnung wo die herkommt. Naja jedenfalls hab ich schon alles was ich dazu gefunden habe gelöscht da ich auch unter software nix zum deinstallieren gefunden habe. Gelöscht hab ich quasi die einträge in der reg die ich mit suchen: isearch gefunden habe und das ActivX Steuerelement aber irgendwie werd ich den mist net los. Auch adaware hat nix gefunden...

Hoffe ihr könnt mir dabei helfen...

mfg
Seitenanfang Seitenende
21.03.2004, 12:28
Member

Beiträge: 462
#2 Hi maddccat,

mache mal ein Update deiner Adaware signature files. Aktuell ist Ref Nr. 272 vom 21.03.04, also brandneu, da ist der isearch toolbar offensichtlich neu mit drin. Ich hoffe das hilft dir.
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende
21.03.2004, 13:03
Member

Beiträge: 1095
#3 Hi maddccat

führe mal das hier durch
http://board.protecus.de/t9373.htm

und poste dann das HiJackThis logfile.


Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
21.03.2004, 13:56
...neu hier

Themenstarter

Beiträge: 2
#4 Ah ich danke euch, da ich adaware vorher noch nie benutzt habe, hatte ich die updatefunktion völlig übersehen. Nach dem Update hat es den ganzen isearch"dreck" sofort gefunden und entfernt.

Vielen Dank

mfg

maddccat
Seitenanfang Seitenende
01.04.2004, 11:50
...neu hier

Beiträge: 1
#5 hallo ich habe selbes problem gehabt aber keines der tools hat mir wirklich geholfen

nun möchte ich für die nachwelt folgenden schon lächerlichen link hinterlassen

Achtung! //edit by Mod
http://toolbar.isearch.c*m/uninstall/
Dieser Beitrag wurde am 01.04.2004 um 11:50 Uhr von Desolate editiert.
Seitenanfang Seitenende
21.04.2004, 19:38
...neu hier

Beiträge: 4
#6 hallo!

eine warnung an alle, die diesen thread lesen!

bitte nicht das tool auf der seite http://toolbar.isearch.c*m/uninstall/ benutzen!

ich bin diesem "ratschlag", gefunden dank google, gefolgt.
da ich denke, daß noch andere per google zu euch kommen, möchte ich hier zum einen meine erfahrungen kundtun, diejenigen, die vielleicht auch diesen schritt gesetzt haben, warnen und auch hoffen ob mir nicht vielleicht jemand weiterhelfen kann.

nun, ich war unter zeitdruck, und habe mich zu dem einsatz des uninstall-tools hinreißen lassen. ich hatte von anfang an ein mulmiges gefühl. und schon der ablauf sollte einem zu denken geben.

zuerst installiert sich ungefragt eine toolbar ohne nutzen, die auch noch die persönlich angepaßte symbolleiste verändert, und funktionen eingraut, bzw. die funktion "anpassen" völlig löscht. jedem DAU würde das mißfallen, und er würde ein mittel dagegen suchen.
und dann bietet isearch selbst ein deinstallationstool an, das auf den ersten blick auch wirkt. alle persönlichen einstellungen einstellungen werden wieder rückgängig gemacht. man atmet auf.
doch was hat man getan. man hat einem deinstallationsprogramm die erlaubnis gegeben, etwas zu machen. meine firewall hat während dieses vorgangs gemeldet, daß ein programm auf das netz zugreifen will. soweit ich mich erinnern kann nannte es sich "registrierungsserver". ich habe es natürlich zugelassen. wo auch immer was auch immer hingeschickt hat, ich habe kein gutes gefühl dabei.

aber okay, am nächsten tag stellte ich fest, daß man, wenn man etwas im ie markiert, rechtsklick, kontextmenü , immer noch den eintrag "iSearch The Web" zu lesen ist. das wollte ich natürlich auch weghaben. wird mir bei dem namen iSearch nämlich schon schlecht.
also ad-aware laufen lassen. nichts gefunden.
regedit findet 2 einträge. sahen aber ungefährlich aus. außerdem trau ich mich nicht an die registry ran.
jv16 laufen lassen. das findet auch diese beiden einträge, und ich lösche sie damit.
das "iSearch The Web" ist natürlich immer noch da.

und jetzt wird's erst interessant.
will mir hijackthis runterladen. geht nicht. aha. haben die den betrieb eingestellt?
ein verdacht keimt auf. ich tippe lavasoft.de rein. geht nicht.
auch auf die spybot-seite komm ich nicht ran.
verdacht bestätigt. die hosts-datei wurde manipuliert. da stehen über 100 anbieter von anti-spy-programm-herstellern, etc. drinnen.

ich kenne mich leider zuwenig mit dem betriebssystem aus (winxp). trau mich nicht an registry ran. auch das einfache löschen oder editieren von systemdateien (toolbar.dll, hosts) ist mir zu riskant. selbst der einsatz der systemwiederherstellung erscheint mir fragwürdig. abgesehen davon, daß diese sowieso unberechenbar ist, wird sie, denke ich, kaum alles wieder rückgängig machen, was notwendig ist. dazu stufe ich isearch als zu schlau ein.

aber vielleicht kann mir jemand von euch weiterhelfen, der sich etwas besser mit den intimen teilen von windows auskennt.

ansonsten stellen sich ein paar fragen:

1. was will isearch wirklich? für ein normales spy- oder ad-programm benimmt es sich zu auffällig.
2. wie tief hat es sich in das system eingegraben?
3. und natürlich: wie bringe ich es wieder los? wo auch immer es jetzt drinnen sitzt.

ich habe mittlerweile einige stunden herumgegoogelt. konkrete antworten habe ich bisher keine gefunden.
durch umbenennen der hosts-datei werden aber alle blockierten seiten wieder aufrufbar. nur traue ich mich nicht wirklich diese tools einzusetzen, schließlich sollte man auch dazu wissen, was man da eigentlich löscht.
auch denke ich würden sie solche veränderungen, wie jene an der hosts-datei nicht einmal finden, geschweige denn rückgängig machen.

mit der bitte um hilfe, uwe
__________
Innenleben - Ein Leben mit Borderline
http://www.innenleben.at
Seitenanfang Seitenende
21.04.2004, 19:54
Member

Beiträge: 1095
#7 @ uwe

Mein Beileid, du hast ne echte Odysse hinter dir.
Ich wollte diesen Deinstall-Link auch mal empfehlen, hatte aber auch ein mulmiges Gefühl und habs gelassen.(Muß nochmal nachschauen, ob's wirklich so ist ;) )

Also zum Thema
Die hosts-Datei kannst du ohne Problem editieren. Heb einfach die alte auf für den Notfall.
Die Datei ist eigentlich nur in Netzwerken mit verschiedenen Servern interessant.

Du solltest unbedingt hier mal dein HiJackThis Logfile posten.
Dann könnte man mal schauen ob sich noch was bei dir versteckt!!

Was super ist, das du dir die Mühe gemacht hast hier zu posten. Dadurch hilfts du vielen weiter, die jetzt nicht auf das "uninstall" reinfallen.
Dafür gibts ein großes :yo


@mods
Vielleicht solltet ihr mal die IP von "Desolate" überprüfen.
Nur ein Post und dann so ein "Tip". Das könnte Absicht sein.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 21.04.2004 um 19:55 Uhr von paff editiert.
Seitenanfang Seitenende
22.04.2004, 19:13
...neu hier

Beiträge: 4
#8 hallo paff!

die odyssee hat erst begonnen.

also, habe zu nächst einmal ad-aware geupdatet und das hat einiges an sondermüll gefunden. allerdings bin ich mir bei einigen dateien unsicher, ob ich die tatsächlich rauswerfen soll.

zunächst einmal will ich sie genauer analysieren und zuordnen, um hier auch dann, soweit es meinen fähigkeiten entspricht, korrekte angaben zu machen.

außerdem hab' ich die letzen monate meine datensicherung vernachläßigt, weil mir das brennen auf grund des ständig wechselnden inhalts zu mühselig geworden ist. und bevor ich mit dem herumexperimentieren beginne, will ich noch meine dateien sichern.
ich habe mir daher heute ein externes hdd gekauft. ich denke mal, daß die würmer und anderen ungeziefer in nächster zeit noch schlauer und unvermeidbarer werden, sodaß datensicherung wohl das sicherste mittel im kampf gegen den müll sein wird.

brauche daher vielleicht einige tage bis ich wieder etwas zu dem thema posten kann.

gruß, uwe

p.s.: ich hoffe, ich werde nicht zu offtopic



edit auf grund doppelpostsperre (grr...):


hallo paff! und alle, die's interessiert!

meine zusammenfassung:

zunächst einmal, das einzig sichtbare kennzeichen war der kontextmenüeintrag "isearch the web". keine anzeichen von startseiten-hijacking oder url-umleitungen, etc.

zunächst mit jv16 2 registry-einträge entfernt:
[HKEY_CURRENT_USER\Software\ISearch\ISearch Toolbar]
[HKEY_CURRENT_USER\Software\ISearch]

danach mit ad-aware:
c:\windows\system32\toolbar.dll entfernt
außerdem: diverse dateien und registry-einträge von coolwebsearch und xwebsearch.

nun der hijackthis-log:

Logfile of HijackThis v1.97.7
Scan saved at 00:03:05, on 24.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Uwe.NAME-FUAPS8Q6PR\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0E25CA6C-52AE-47E0-BF44-BC5B3A0403F4} - http://www.anywebcam.com/awc/SGT.ocx
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37873.5561458333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

man erkennt die lange hosts-liste. eindeutig von isearch erstellt (durch dateiänderungsdatum verifiziert)

die suchleiste verwende ich nicht. ist aber anscheinend außer betrieb gesetzt.

der kontext-menü-eintrag von isearch:
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
warum funktioniert der eigentlich noch, wenn die .dll nicht mehr da ist?

was bedeutet dieser eintrag:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

und warum C:\WINDOWS\system32\slserv.exe (soweit ich weiß, das programm meines modems, ich verwende es aber nicht) läuft ist mir auch unklar.

der rest dürfte in ordnung sein, oder?

könnte sich isearch noch tiefer ins system eingegraben haben?

mit der bitte um check.

danke, uwe
__________
Innenleben - Ein Leben mit Borderline
http://www.innenleben.at
Dieser Beitrag wurde am 24.04.2004 um 01:00 Uhr von uwe steiger editiert.
Seitenanfang Seitenende
26.04.2004, 23:32
Moderator
Avatar joschi

Beiträge: 6466
#9 Alle 01 Hosts:-Einträge : löschen !
Unter Windows\system32\driver\etc liegt die hosts.
Du kannst sie mit dem Editor mal öffnen.
Ein Eintrag darf dort stehen und der lautet: 127.0.0.1 localhost
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
27.04.2004, 10:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Slserv.exe is SmartLink’s User-Level Modem Service. This task runs on Windows NT4/2000/XP system – Not sure what it actually does.
If there has been an alteration to this file then chances are some dialer has done it.
I suggest you uninstall the modem and drivers and reinstall it with newly downloaded drivers.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.04.2004, 15:16
...neu hier

Beiträge: 4
#11 hallo joschi und Sabina!

zunächst mal danke.

die hosts-datei habe ich auf "127.0.0.1 localhost" edidiert.

den kontext-menü-eintrag von isearch:
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML habe ich mit hijackthis gefixt.

das smartlinkservice habe ich in den diensten auf manuell gestellt. eine veränderung der .exe oder an den treiber-daten habe ich nicht feststellen können. auch gibt es keinen eintrag unter den dfü-einstellungen. da ich sowieso cable benutze müßte das (zunächst einmal) reichen.

der neue hjt-log:

Logfile of HijackThis v1.97.7
Scan saved at 15:11:00, on 27.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Uwe.NAME-FUAPS8Q6PR\Eigene Dateien\Zwischenspeicher\Texte\isearch\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0E25CA6C-52AE-47E0-BF44-BC5B3A0403F4} - http://www.anywebcam.com/awc/SGT.ocx
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37873.5561458333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab


wozu dient der eintrag R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost ?


liebe grüße, uwe
__________
Innenleben - Ein Leben mit Borderline
http://www.innenleben.at
Seitenanfang Seitenende
27.04.2004, 15:27
Member

Beiträge: 1095
#12

Zitat

wozu dient der eintrag R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost ?
Das ist OK
Fixe bitte sonst aber alle R0/R1 Einträge

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
27.04.2004, 17:41
...neu hier

Beiträge: 4
#13 danke paff.

Zitat

paff postete

Zitat

wozu dient der eintrag R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost ?
Das ist OK
Fixe bitte sonst aber alle R0/R1 Einträge
alles gefixt.


lg, uwe
__________
Innenleben - Ein Leben mit Borderline
http://www.innenleben.at
Seitenanfang Seitenende
28.04.2004, 11:44
...neu hier

Beiträge: 10
#14 Hi folks !!
Hab das Problem mit der Isearch toolbar ebenfalls !!

Hab schon alle reg Einträge gelöscht ... Spybot durchlaufen lassen ..
Die Symbolleistenansicht lässt sich auch wieder ändern, aber die Schei... Toolbar ist immer noch da...
hatte auch kurz das bedürfniss die http://toolbar.isearch.c*m/uninstall/
zu nutzen ... hat aber zum glück nicht richtig gefunzt..
Was mache ich nun...
Alle Dateien .. ebenfalls in der Sys32 ..
und alle reg Einträge gelöscht und die Tollbar kommt immer wieder?!!?!

Bitte helft mir!!! ;)
__________
THANKS & REGARDS
EUNZMAN
Seitenanfang Seitenende
28.04.2004, 13:17
Member
Avatar Dafra

Beiträge: 1122
#15 Poste mal ein Hijackthis log, unten stehts wies geht.
MFG
DAFRA
Seitenanfang Seitenende