"search for" noch nicht ganz verschwunden |
||
---|---|---|
#0
| ||
04.05.2004, 22:21
...neu hier
Beiträge: 9 |
||
|
||
05.05.2004, 11:11
...neu hier
Beiträge: 5 |
#47
Hallo,
also das ist der weg es loszuwerden. ??In der Reperaturkonsole löschen, durch Windows CD ersetzen?? Ich kann mit diesen ganzen sachen nichts anfangen , wie muß ich da vorgehen ? Ich bräuchte eine ausfuhrliche Anleitung , da ich das noch nie gemacht habe. (am besten mit Handpuppen, ) |
|
|
||
06.05.2004, 15:45
...neu hier
Beiträge: 9 |
#48
PC IST CLEAN...!!!
Hallo zusammen, seit gut zwei Tagen ist mein Rechner von dieser "Search for Seuche" und weiß der Geier IE-Startseitenverstellerei sauber. Das Teil is wech... Definitv!!! Es müßen wie gesagt SVCHOST.EXE und LSASS.EXE von der WinXP-CD ersetzt werden, dann is Schicht... Den Inhalt dieser beiden MAIN Ordner in der Registry bis auf die Standardwerte löschen: HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN Solltet ihr einen 2. Rechner haben exportiert euch von diesem diese beiden REGKEYS. Der PC ist in manchen Fällen von einer MRHOP.DLL befallen. Diese befindet sich im Windows Ordner und kann einfach gelöscht werden. Diese DLL wird von der SVCHOST.EXE aufgerufen und führt dazu das die Startseite im Internet Explorer immer wieder auf Search for oder Fastsearch oder evtl. auf YourSearch geändert wird. Sollten sich zusätzlich noch AVSERVE.EXE und AVSERVE2.EXE im Windows Verzeichniss befinden, sieht's nach dem Wurm SASSER aus. Systemwiederherstellung bringt in beiden Fällen nichts... Dieser Beitrag wurde am 06.05.2004 um 15:46 Uhr von jupp mcclane editiert.
|
|
|
||
10.05.2004, 17:05
Member
Beiträge: 213 |
#49
Zitat raman posteteDachte ich eigentlich auch, aber mrhop kommt ein bischen oft vor. http://www.google.com/search?q=mrhop.dll&sourceid=opera&num=0&ie=utf-8&oe=utf-8 Noch 'ne neue Variante? Ich will nicht mehr. Gruß, Pieter __________ http://www.pieter-arntz.info/wordpressblog/ |
|
|
||
10.05.2004, 17:51
Moderator
Beiträge: 7805 |
#50
Von der Sorte brauchen wir nicht mehr, definitiv nicht!
Inzwischen ist es ja schon so weit, das man den IE verbieten muesste! Ist aber wohl eine andere Variante als Backdoor.agent.ac . Leider ist es so schwer an die "Dropperdll" heranzukommen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.05.2004, 16:41
...neu hier
Beiträge: 5 |
#51
bin auf der Suche nach dem "Search for.."-Problem hierher gestoßen.
Hilfe, ich krieg das Teil einfach nicht runter! AntiVir hat es erkannt als "TR/SysTSK" und gelöscht, nach nem Neustart wars wieder da. Hab auch schon probiert svchost.exe, lsass.exe, smss.exe und winlogon.exe von der WinXP-CD zu fixen - Ohne Erfolg. Die Datei taucht jetzt allerdings nicht mehr auf. Nur noch die Registry-Einträge mit "Local Page: c:\windows\system32\blank.htm" und die kommen auch immer wieder... Trotzdem hier mal mein Log: Zitat Logfile of HijackThis v1.97.7Die Einträge, die ich gefixt hab, die aber immer wieder kommen: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hat irgendjemand noch ne Idee, was ich vergessen haben könnte? (Systemwiederherstellung ist deaktiviert.) gruß Fruchtzwerg |
|
|
||
12.05.2004, 17:30
Ehrenmitglied
Beiträge: 29434 |
#52
Fixe:
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe neustarten #Lade mwav.exe , scanne und loesche manuell alles, was dir das Tool anzeigt. http://www.mwti.net/antivirus/free_utilities.asp #Lade ClearProg und saeubere den Browser. http://www.clearprog.de/ ---------------------------------------------------------------------------- http://www.sophos.com/virusinfo/analyses/trojdalixya.html Start<Ausfuehren<regedit HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ winlogon= "C:\WINDOWS\winlogon.exe" HKU\Software\Microsoft\Windows\CurrentVersion\Run\ winlogon= "C:\WINDOWS\winlogon.exe". auf der rechten Seite "C:\WINDOWS\winlogon.exe" loeschen MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.05.2004 um 17:37 Uhr von Sabina editiert.
|
|
|
||
13.05.2004, 16:40
...neu hier
Beiträge: 5 |
#53
Hi!
Hab alles gemacht, das Mistding is immer noch da... die Registry Einträge gibts bei mir nicht, nur den "local page = c:\windows\system32\blank.htm" die datei ist nirgends zu finden, mit killbox löschen bringt auch nix, nach nem Reboot ist sie wieder da. AntiVir hat mir grad eben ne Meldung gebracht, das in winlogon.exe ein Trojaner wär. Wollte die Datei ersetzen, finde sie aber auf der XP-CD nirgends... Ist das überhaupt ne XP-Datei??? hab die nämlich 2 mal, im windows -verzeichnis und im Windows\System32 Verzeichnis, beide Dateien sind unterschiedlich groß und ham ein anderes Datum...(?) |
|
|
||
13.05.2004, 16:59
Member
Beiträge: 1095 |
#54
@ Fruchtzwerg
Mal ganz langsam Also die winlogon.exe in C:\windows kannst du löschen. + Fixen in HijackThis Mach das möglichst im abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Dann Neustart Dann poste bitte das Logfile, aber mit den HiJAcker-Einträgen R0 usw. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
13.05.2004, 21:47
...neu hier
Beiträge: 5 |
#55
Winlogon.exe im Windows Verzeichnis hab ich gelöscht & gefixt (im abges. Modus),
Systemwiederherstellung ist deaktiviert. Logfile: Zitat Logfile of HijackThis v1.97.7Oben, der R0 Eintrag kommt immer wieder nach nem Reboot, auch nach dem löschen der Winlogon.exe, ab und zu auch das gleiche in HKLM und nicht in HKCU... ihc probier jetzt, nochmals die SVCHOST.EXE und die LSASS.EXE von der CD zu fixen, mal schaun.... |
|
|
||
14.05.2004, 09:15
Member
Beiträge: 1095 |
#56
Hi
Sieht dein R0 EIntrag wirklich so aus R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = oder fehlt das was Weil sonst würde ich sagen alles OK Wenn du keine falsche Startseite iM IE hast ? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
14.05.2004, 14:22
...neu hier
Beiträge: 5 |
#57
in HijackThis sieht der Eintrag wirklich so aus:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = aber in der Registry steht unter HKCU und KHLM noch "C:\Windows\System32\blank.htm" hintendran und unter Start Page "about:blank"... hab jetzt nochmal versucht, die C:\windows\system32\blank.htm mit KillBox zu löschen, und diesmal hats scheinbar geklappt. Der IE will zwar immer noch auf der Seite starten, aber findet sie nicht mehr und hängt sich auf... trotzdem kommen die Registry-Einträge immer wieder... (?) Dieser Beitrag wurde am 14.05.2004 um 14:43 Uhr von Fruchtzwerg editiert.
|
|
|
||
14.05.2004, 14:52
Member
Beiträge: 1095 |
#58
Hast du eigentlich mal CWShredder laufen lassen.
Findest du hier http://www.spywareinfo.com/~merijn/downloads.html Das lößt das Problem vielleicht schon Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
14.05.2004, 16:42
Ehrenmitglied
Beiträge: 29434 |
#59
@Fruchtzwerg
#Lade den mwav.exe, scanne (alle Datein) und loesche dann manuell, was er dir anzeigt. http://www.mwti.net/antivirus/free_utilities.asp #CWShredder http://www.spywareinfo.com/~merijn/downloads.html #Lade den WebWasher , saeubere den IE und stelle dann unter InternetOptionen die Startseite selbst nach Wunsch ein. http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html ---------------------------------------------------------------------------------------------------- Fixe: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06869d73e24033c22119/netzip/RdxIE601_de.cab neustart und alles durchfuehren, was oben beschrieben MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.05.2004 um 16:44 Uhr von Sabina editiert.
|
|
|
||
14.05.2004, 18:05
...neu hier
Beiträge: 9 |
#60
Mahlzeit Jungs und Mädels,
wieder mal eine andere Art des Problems "Search for..". Ein bekannter von mir hatte das selbe Problem, nur trat es bei ihm anders auf. Im Ordner C:\Windows, befand sich eine Datei Namens BATCH.INI die sich rauswählen wollte. Kurios: Datei war 0K groß, RUNDLL32.EXE startete mit, inklusive IMAGE.DLL. Folgende Dateien wurden als Hijacker entarnt: BLLHCC.DLL, WDMBPD.DLL, CTLJ.DLL und IMAGE.DLL. Folgende Dateien wurden verändert NOTEPAD.EXE von 66K auf 44K und LOG.DLL. Sämtliche Dateien unter der Reparaturkonsole gelöscht, NOTEPAD.EXE und LOG.DLL von der WinXp CD ersetzt, folgende REG einträge bis auf Standardwerte gelöscht: HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN Wieder einmal erfolgreich bekämpft... Anscheinend setzt sich die MRHOP.DLL in vielen Systemen fest, hab das schon von mehreren gehört und in andere Foren gelesen... Dieser Beitrag wurde am 14.05.2004 um 18:07 Uhr von jupp mcclane editiert.
|
|
|
||
Bin ja auch erst hier durch dieses Forum auf die Idee gekommen mal intensiver nach dem Teil zu suchen. Normalerweise hätt ich das System sofort gekillt. Aber diesesmal wollte ich es nich machen. Die alten Dateien habe ich leider nicht mehr. Es handelt sich definitiv um die svchost.exe. Wie gesagt, mein Bekannter hatte das selbe Problem nur das er noch den Sasser mit im Koffer hatte sowohl svchost und lsass.exe geändert wurden.
Es gab auch keinen zusätzlichen Eintrag in der Registry für diese mshop.dll.
Ich hab seit letzter Nacht bis heute vor dem Rechner gehangen um diesen Teil auf die Spur zu kommen. Ich war nich zu bremsen in meinem Tatendrang [hab auch nen Anschiss von meiner Frau bekommen;-)], hab aber trotzdem ein paar Stunden geschlafen. Ich weiß auch bis jetzt noch nich , wie die svchost.exe nich in der Größe gändert wurde. Zumindest muß die wenigsten um ein paar Bytes größer sein, aber is nich... Wenn Du willst können wir uns mal persönlich darüber unterhalten, dann geb ich Dir mal meine Nummer , wenn Du willst. Hier meine E-Mail: juppmcclane@web.de