Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Eingefangen: Home Search, Shopping Wizzard, Search Extender

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.01.2005, 15:43   #1
hasso01
 
Eingefangen: Home Search, Shopping Wizzard, Search Extender - Standard

Eingefangen: Home Search, Shopping Wizzard, Search Extender



habe mir diesen tollen trojaner gestern schön mal eben eingefangen ...

und ich kriege ihn einfach nicht weg ...

als erstes habe ich den lösungsversuch, der hier schon einmal angesprochen wurde - http://www.trojaner-board.de/showthread.php?t=6137 eingeschlagen ... die schritte 1 und 2 schaffe ich noch, doch wenn ich den dritte angehe, d.h. reg. dateien löschen, dann werden sie zwar gelöscht, doch beim nächsten internetzugriff, erstellt sich im windows ordner eine neue datei ....

das läuft dann so ab ...

LOG vorm löschen ...

Logfile of HijackThis v1.99.0
Scan saved at 16:41:44, on 16.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\apptc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\mfckq.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\OPScan.exe
C:\DOKUME~1\Tobi\LOKALE~1\Temp\Rar$EX45.781\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bikyn.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bikyn.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bikyn.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bikyn.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bikyn.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bikyn.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bikyn.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C97C25C3-652E-69AA-115D-2E4313BB2D75} - C:\WINDOWS\crfx32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mfckq.exe] C:\WINDOWS\system32\mfckq.exe
O4 - HKLM\..\RunOnce: [apptc.exe] C:\WINDOWS\system32\apptc.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105605712906
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{689D7505-38A7-46B8-BAB6-57244C6547BC}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD5DBD6E-2785-49ED-B313-677B609249D8}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{E584D0BB-08A9-41C4-8FEF-0FF15C49D60F}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)


nachm löschen von den ersten R1 dateien z.B. sind sie erst durchaus nicht mehr da die einträge, doch beim erneuten I-Net Zugriff setzt sich eine andere .dll an die Stelle, die sich im Windows ordner oder im system32 ordner ablegt !

Wie kann ich das abstellen ...

Bitte helft mir, ich bin völlig am verzweifeln !!!!!!!!!!

Alt 16.01.2005, 16:01   #2
cacatoa
 
Eingefangen: Home Search, Shopping Wizzard, Search Extender - Standard

Eingefangen: Home Search, Shopping Wizzard, Search Extender



Hi,
Du hast jede Menge Zeugs drauf.
Bitte die folgenden DAteien erstmal bei Jotti online scannen und die 10-zeiligen Ergebnisse hier rein posten. (Mir schwant nichts gutes):
C:\WINDOWS\system32\apptc.exe
C:\WINDOWS\system32\mfckq.exe
C:\WINDOWS\crfx32.dll

Dann schauen wir weiter.
cacatoa
__________________

__________________

Alt 16.01.2005, 17:24   #3
hasso01
 
Eingefangen: Home Search, Shopping Wizzard, Search Extender - Standard

Eingefangen: Home Search, Shopping Wizzard, Search Extender



ok hab ich gemacht ... guck dir das mal bitte an ...


File: apptc.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Lefeat.1 (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Small.dc (1.62 seconds taken)
mks_vir No viruses found (0.62 seconds taken)
NOD32 No viruses found (1.42 seconds taken)
Norman Virus Control No viruses found (1.47 seconds taken)

_________________________________________________________

File: mfckq.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Lefeat (0.15 seconds taken)
Avast No viruses found (1.54 seconds taken)
BitDefender No viruses found (0.40 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web No viruses found (0.55 seconds taken)
F-Prot Antivirus No viruses found (0.10 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.ap (0.67 seconds taken)
mks_vir No viruses found (0.28 seconds taken)
NOD32 No viruses found (0.47 seconds taken)
Norman Virus Control No viruses found (3.16 seconds taken)

___________________________________________________________

File: crfx32.dll
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir TR/Lefeat.DLL2 (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (1.02 seconds taken)
ClamAV Trojan.Downloader.Agent.AC (1.22 seconds taken)
Dr.Web Trojan.DownLoader.1435 (1.74 seconds taken)
F-Prot Antivirus W32/Downloader.ABG (0.27 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.an (2.06 seconds taken)
mks_vir No viruses found (0.82 seconds taken)
NOD32 No viruses found (1.38 seconds taken)
Norman Virus Control No viruses found (0.11 seconds taken)

______________________________________________________________

das wars. kannst du damit etwas anfangen ... ??

ich befürchte eh das schlimmste

danke
__________________

Alt 16.01.2005, 17:50   #4
cacatoa
 
Eingefangen: Home Search, Shopping Wizzard, Search Extender - Standard

Eingefangen: Home Search, Shopping Wizzard, Search Extender



Hallo, Hasso,
ich wollte sichergehen und dir unsinnige Aufräumarbeiten ersparen.
Die Dateien haben es bewiesen; neben dem ganzen anderen Schrott hast du mindestens einen Backdoor-Trojaner drauf. Da gibt´s nur eine Lösung:
System neu aufsetzen.
Halte dich genau an alle Tipps im Link!!
Sorry
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 16.01.2005, 17:52   #5
cacatoa
 
Eingefangen: Home Search, Shopping Wizzard, Search Extender - Standard

Eingefangen: Home Search, Shopping Wizzard, Search Extender



@ chaosman:
Seit wann willst du einen Backdoortrojaner mit fixen vertreiben?
Hast Du die Jotti-Auswertung nicht gelesen?
cacatoa

__________________
Der Mensch sollte eine Hundeseele haben

Alt 16.01.2005, 17:54   #6
hasso01
 
Eingefangen: Home Search, Shopping Wizzard, Search Extender - Standard

Eingefangen: Home Search, Shopping Wizzard, Search Extender



tja, da bleibt mir wohl nix anderes übrig.
is zwar alles scheiße, aber danke für deine tipps ...

Antwort

Themen zu Eingefangen: Home Search, Shopping Wizzard, Search Extender
.inf, antivirus, bho, dateien, drivers, explorer, file missing, firewall, helper, hijack, hijackthis, home, hotkey, icq, internet explorer, löschen, microsoft, monitor, ordner, outlook express, programme, settings manager, software, sun java, symantec, system, tcpip, temp, trojaner, träge, urlsearchhook, windows, windows xp



Ähnliche Themen: Eingefangen: Home Search, Shopping Wizzard, Search Extender


  1. habe ein Problem mit "Shopping Wizard und Search Extender"
    Log-Analyse und Auswertung - 23.08.2005 (5)
  2. Win32.Agent: Home search assistent, Shopping wizard, only the best
    Plagegeister aller Art und deren Bekämpfung - 17.06.2005 (68)
  3. Home Search Assistent - Search Extender - Shopping Wizard
    Log-Analyse und Auswertung - 06.05.2005 (1)
  4. Search Extender & Shopping Wizzard: Rettung?
    Log-Analyse und Auswertung - 05.03.2005 (2)
  5. Shopping Wizard, Search Extender und Home Search Assistant
    Plagegeister aller Art und deren Bekämpfung - 24.02.2005 (3)
  6. Home search assistent, Search extender & Trojaner
    Log-Analyse und Auswertung - 13.01.2005 (2)
  7. Home search assistent, Search Extender
    Log-Analyse und Auswertung - 13.01.2005 (1)
  8. hilfe bei search extender und Co.
    Plagegeister aller Art und deren Bekämpfung - 06.01.2005 (21)
  9. Home search assistent, search extender, shopping wizard
    Plagegeister aller Art und deren Bekämpfung - 04.01.2005 (21)
  10. Win32.Agent: Home search assistent, Shopping wizard, only the best
    Log-Analyse und Auswertung - 29.12.2004 (14)
  11. Home Search Search Extender Shopping Wizard
    Log-Analyse und Auswertung - 10.12.2004 (1)
  12. Home Search, Search Extender und Shopping Wizard
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (4)
  13. Home Search, Search Extender und Shopping Wizard
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (3)
  14. Search Extender / Assistent ...
    Log-Analyse und Auswertung - 15.11.2004 (20)
  15. Search Extender
    Log-Analyse und Auswertung - 30.10.2004 (37)
  16. Home Search Assistent, Shopping Wizard, Search Extender,
    Plagegeister aller Art und deren Bekämpfung - 23.10.2004 (22)
  17. Home Search Assistan, Shopping Wizard, Search Extender
    Log-Analyse und Auswertung - 18.10.2004 (5)

Zum Thema Eingefangen: Home Search, Shopping Wizzard, Search Extender - habe mir diesen tollen trojaner gestern schön mal eben eingefangen ... und ich kriege ihn einfach nicht weg ... als erstes habe ich den lösungsversuch, der hier schon einmal angesprochen - Eingefangen: Home Search, Shopping Wizzard, Search Extender...
Archiv
Du betrachtest: Eingefangen: Home Search, Shopping Wizzard, Search Extender auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.