"search for" noch nicht ganz verschwunden

#46 Hallo paff...

Bin ja auch erst hier durch dieses Forum auf die Idee gekommen mal intensiver nach dem Teil zu suchen. Normalerweise hätt ich das System sofort gekillt. Aber diesesmal wollte ich es nich machen. Die alten Dateien habe ich leider nicht mehr. Es handelt sich definitiv um die svchost.exe. Wie gesagt, mein Bekannter hatte das selbe Problem nur das er noch den Sasser mit im Koffer hatte sowohl svchost und lsass.exe geändert wurden.
Es gab auch keinen zusätzlichen Eintrag in der Registry für diese mshop.dll.
Ich hab seit letzter Nacht bis heute vor dem Rechner gehangen um diesen Teil auf die Spur zu kommen. Ich war nich zu bremsen in meinem Tatendrang [hab auch nen Anschiss von meiner Frau bekommen;-)], hab aber trotzdem ein paar Stunden geschlafen. Ich weiß auch bis jetzt noch nich , wie die svchost.exe nich in der Größe gändert wurde. Zumindest muß die wenigsten um ein paar Bytes größer sein, aber is nich... Wenn Du willst können wir uns mal persönlich darüber unterhalten, dann geb ich Dir mal meine Nummer , wenn Du willst. Hier meine E-Mail: juppmcclane@web.de

#47 Hallo,
also das ist der weg es loszuwerden.
??In der Reperaturkonsole löschen, durch Windows CD ersetzen??
Ich kann mit diesen ganzen sachen nichts anfangen ,
wie muß ich da vorgehen ?
Ich bräuchte eine ausfuhrliche Anleitung ,
da ich das noch nie gemacht habe.
(am besten mit Handpuppen, )

#48 PC IST CLEAN...!!!

Hallo zusammen,

seit gut zwei Tagen ist mein Rechner von dieser "Search for Seuche" und weiß der Geier IE-Startseitenverstellerei sauber. Das Teil is wech... Definitv!!! Es müßen wie gesagt SVCHOST.EXE und LSASS.EXE von der WinXP-CD ersetzt werden, dann is Schicht...
Den Inhalt dieser beiden MAIN Ordner in der Registry bis auf die Standardwerte löschen:
HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
Solltet ihr einen 2. Rechner haben exportiert euch von diesem diese beiden REGKEYS.
Der PC ist in manchen Fällen von einer MRHOP.DLL befallen. Diese befindet sich im Windows Ordner und kann einfach gelöscht werden. Diese DLL wird von der SVCHOST.EXE aufgerufen und führt dazu das die Startseite im Internet Explorer immer wieder auf Search for oder Fastsearch oder evtl. auf YourSearch geändert wird.
Sollten sich zusätzlich noch AVSERVE.EXE und AVSERVE2.EXE im Windows Verzeichniss befinden, sieht's nach dem Wurm SASSER aus.
Systemwiederherstellung bringt in beiden Fällen nichts...

#49

Zitat

raman postete

by the way: Die Mshop.dll und Mrhop.dll Datenamen gibt es nur auf deinem System, leider waehlt die "Hauptmalware" immer wechselnde Zufallsnamen.

Dachte ich eigentlich auch, aber mrhop kommt ein bischen oft vor.

http://www.google.com/search?q=mrhop.dll&sourceid=opera&num=0&ie=utf-8&oe=utf-8

Noch 'ne neue Variante? Ich will nicht mehr.

Gruß,

Pieter
__________
http://www.pieter-arntz.info/wordpressblog/

#50 Von der Sorte brauchen wir nicht mehr, definitiv nicht!
Inzwischen ist es ja schon so weit, das man den IE verbieten muesste!

Ist aber wohl eine andere Variante als Backdoor.agent.ac . Leider ist es so schwer an die "Dropperdll" heranzukommen.
__________
MfG Ralf
SEO-Spam Hunter

#51 bin auf der Suche nach dem "Search for.."-Problem hierher gestoßen.

Hilfe, ich krieg das Teil einfach nicht runter!

AntiVir hat es erkannt als "TR/SysTSK" und gelöscht, nach nem Neustart wars wieder da.
Hab auch schon probiert svchost.exe, lsass.exe, smss.exe und winlogon.exe von der WinXP-CD zu fixen - Ohne Erfolg.
Die Datei taucht jetzt allerdings nicht mehr auf.

Nur noch die Registry-Einträge mit "Local Page: c:\windows\system32\blank.htm"
und die kommen auch immer wieder...

Trotzdem hier mal mein Log:

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 16:34:35, on 12.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\windows\winlogon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\Dokumente und Einstellungen\Dome\Eigene Dateien\tools\HijackThis.exe
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dome\Eigene Dateien\tools\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [Copy handler] REM C:\Programme\Copy Handler\Copy Handler.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06869d73e24033c22119/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.346875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{775503FD-E7E6-4B6C-9CAC-C028CEE6DB36}: NameServer = 217.237.150.33 194.25.2.129

Die Einträge, die ich gefixt hab, die aber immer wieder kommen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

hat irgendjemand noch ne Idee, was ich vergessen haben könnte?
(Systemwiederherstellung ist deaktiviert.)

gruß
Fruchtzwerg

#52 Fixe:
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe

neustarten

#Lade mwav.exe , scanne und loesche manuell alles, was dir das Tool anzeigt.
http://www.mwti.net/antivirus/free_utilities.asp
#Lade ClearProg und saeubere den Browser.
http://www.clearprog.de/

----------------------------------------------------------------------------
http://www.sophos.com/virusinfo/analyses/trojdalixya.html

Start<Ausfuehren<regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
winlogon= "C:\WINDOWS\winlogon.exe"

HKU\Software\Microsoft\Windows\CurrentVersion\Run\
winlogon= "C:\WINDOWS\winlogon.exe".

auf der rechten Seite "C:\WINDOWS\winlogon.exe" loeschen

MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#53 Hi!
Hab alles gemacht, das Mistding is immer noch da...

die Registry Einträge gibts bei mir nicht,
nur den "local page = c:\windows\system32\blank.htm"
die datei ist nirgends zu finden, mit killbox löschen bringt auch nix, nach nem Reboot ist sie wieder da.

AntiVir hat mir grad eben ne Meldung gebracht, das in winlogon.exe ein Trojaner wär.
Wollte die Datei ersetzen, finde sie aber auf der XP-CD nirgends...
Ist das überhaupt ne XP-Datei???
hab die nämlich 2 mal, im windows -verzeichnis und im Windows\System32 Verzeichnis, beide Dateien sind unterschiedlich groß und ham ein anderes Datum...(?)

#54 @ Fruchtzwerg

Mal ganz langsam
Also die winlogon.exe in C:\windows kannst du löschen.
+ Fixen in HijackThis

Mach das möglichst im abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Dann Neustart

Dann poste bitte das Logfile, aber mit den HiJAcker-Einträgen
R0 usw.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#55 Winlogon.exe im Windows Verzeichnis hab ich gelöscht & gefixt (im abges. Modus),
Systemwiederherstellung ist deaktiviert.

Logfile:

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 21:43:29, on 13.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\Dome\Eigene Dateien\tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06869d73e24033c22119/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.346875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Oben, der R0 Eintrag kommt immer wieder nach nem Reboot, auch nach dem löschen der Winlogon.exe, ab und zu auch das gleiche in HKLM und nicht in HKCU...

ihc probier jetzt, nochmals die SVCHOST.EXE und die LSASS.EXE von der CD zu fixen, mal schaun....

#56 Hi

Sieht dein R0 EIntrag wirklich so aus
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

oder fehlt das was

Weil sonst würde ich sagen alles OK
Wenn du keine falsche Startseite iM IE hast ?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#57 in HijackThis sieht der Eintrag wirklich so aus:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

aber in der Registry steht unter HKCU und KHLM noch "C:\Windows\System32\blank.htm" hintendran und unter Start Page "about:blank"...

hab jetzt nochmal versucht, die C:\windows\system32\blank.htm mit KillBox zu löschen, und diesmal hats scheinbar geklappt.
Der IE will zwar immer noch auf der Seite starten, aber findet sie nicht mehr und hängt sich auf...

trotzdem kommen die Registry-Einträge immer wieder... (?)

#58 Hast du eigentlich mal CWShredder laufen lassen.
Findest du hier
http://www.spywareinfo.com/~merijn/downloads.html

Das lößt das Problem vielleicht schon

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#59 @Fruchtzwerg

#Lade den mwav.exe, scanne (alle Datein) und loesche dann manuell, was er dir anzeigt.
http://www.mwti.net/antivirus/free_utilities.asp

#CWShredder
http://www.spywareinfo.com/~merijn/downloads.html

#Lade den WebWasher , saeubere den IE und stelle dann unter InternetOptionen die Startseite selbst nach Wunsch ein.
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
----------------------------------------------------------------------------------------------------
Fixe:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06869d73e24033c22119/netzip/RdxIE601_de.cab

neustart

und alles durchfuehren, was oben beschrieben
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#60 Mahlzeit Jungs und Mädels,

wieder mal eine andere Art des Problems "Search for..". Ein bekannter von mir hatte das selbe Problem, nur trat es bei ihm anders auf. Im Ordner C:\Windows, befand sich eine Datei Namens BATCH.INI die sich rauswählen wollte. Kurios: Datei war 0K groß, RUNDLL32.EXE startete mit, inklusive IMAGE.DLL. Folgende Dateien wurden als Hijacker entarnt: BLLHCC.DLL, WDMBPD.DLL, CTLJ.DLL und IMAGE.DLL. Folgende Dateien wurden verändert NOTEPAD.EXE von 66K auf 44K und LOG.DLL.
Sämtliche Dateien unter der Reparaturkonsole gelöscht, NOTEPAD.EXE und LOG.DLL von der WinXp CD ersetzt, folgende REG einträge bis auf Standardwerte gelöscht:
HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN

Wieder einmal erfolgreich bekämpft... Anscheinend setzt sich die MRHOP.DLL in vielen Systemen fest, hab das schon von mehreren gehört und in andere Foren gelesen...