Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: greatsearch.biz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.05.2004, 09:46   #1
Ratloser Rudi
 
greatsearch.biz - Beitrag

greatsearch.biz



Ich habe mir greatsearch.biz eingefangen und werde das Ding mit Ad-Aware, CWS, Spybot, AntiVir einfach nicht los. Die bisherigen Beiträge zum Thema hier im Forum waren für mich eher verwirrend. Da ich mich auch scheue, einfach .dll-Dateien zu löschen, von denen ich nicht einigermaßen sicher bin, dass sie mitverantwortlich für das Problem sind, möchte ich Euch noch einmal herzlich bitten, dass Ihr Euch die log-Datei von meinem System mal anseht:

ogfile of HijackThis v1.97.7
Scan saved at 09:53:24, on 21.05.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\WINNT\loadqm.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Dokumente und Einstellungen\Robert1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/sha...tionEngine.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F293CEE-0D0C-40F9-AC08-95F19BC3B854}: NameServer = 217.237.150.225 194.25.2.129

Und diese Datei hier erstellt mir CWS:

Windows 2000 (5.00.2195 SP2)
Windows dir: C:\WINNT
Windows system dir: C:\WINNT\system32
AppData folder: C:\Dokumente und Einstellungen\Robert1\Anwendungsdaten
Username: Robert1

Found Hosts file: C:\WINNT\system32\drivers\etc\hosts (24 bytes, R)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINNT\system32\userinit.exe,
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com[*] dword:4
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com[*] dword:4
CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com[*] dword:4
CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com[*] dword:4
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found Win.ini file: C:\WINNT\win.ini (1569 bytes, A)
Found System.ini file: C:\WINNT\system.ini (295 bytes, A)


Kann mir bitte jemand helfen?

P.S.: Aus Schaden wird man klug. Ich werde ab sofort nur noch Mozilla benutzen.

Alt 21.05.2004, 12:14   #2
Lutz
 

greatsearch.biz - Beitrag

greatsearch.biz



Hallo Rudi und Willkommen im Board,

mach bitte folgendes:

1.)Überprüfe die folgenden Dateien online bei Kaspersky -> http://www.kaspersky.com/de/scanforvirus.html
</font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe
O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE</font>[/QUOTE]Imho haben die Dateien im System(32)-Ordner nichts zu suchen...
Wenn Kaspersky etwas findet, lösche die Dateien.

2.) Starte Deinen Rechner im abgesicherten Modus -&gt; http://www.trojaner-board.de/63335-w...s-starten.html

3.) Starte den CWShredder erneut. Diese Mal bitte auf 'Fix -&gt;' klicken und nicht nur auf 'Scan only'.

4.) Starte HijackThis erneut und fixe -sofern noch vorhanden- folgende Einträge:
</font><blockquote>Zitat:</font><hr />R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://greatsearch.biz/
</font>[/QUOTE]Starte Deinen Rechner anschließend im 'normalen' Modus und erstelle ein neues Log mit HijackThis.

Auf jeden Fall solltest Du mal dein Windwos und Deinen Internet-Explorer aktualisieren ( http://windowsupdate.microsoft.com/ ), auch wenn Du letzteren nicht mehr benutzen willst.
__________________

__________________

Alt 21.05.2004, 13:39   #3
Ratloser Rudi
 
greatsearch.biz - Beitrag

greatsearch.biz



Hallo Lutz,

erst einmal vielen Dank, dass Du Dich meines Problems angenommen hast.

Also: Ich habe alles gemacht, was Du mir geraten hast bzw. habe es versucht.

Die drei Dateien (explorer.exe, window.exe, iexplore.exe) werden - nachdem ich den Ordner WINNT und den Unterordner "System" bzw. "System32" geöffnet habe - gar nicht angezeigt! Wie komme ich trotzdem daran?

Dann weiter: Habe im abgesicherten Modus das System hochgefahren und anschließend mit HijackThis die ganzen "greatsearch.biz" EInträge gefixt.

Aber: Nach dem Neustart sind sie alle wieder vorhanden. Hier das neue Log:

Logfile of HijackThis v1.97.7
Scan saved at 14:36:09, on 21.05.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\WINNT\loadqm.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\Windows Media Player\logagent.exe
C:\WINNT\msagent\agentsvr.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Dokumente und Einstellungen\Robert1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/sha...tionEngine.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F293CEE-0D0C-40F9-AC08-95F19BC3B854}: NameServer = 217.237.150.225 194.25.2.129

Der letzte EIntrag ("CCS") deutet ja wohl auch noch auf dieses verdammte CoolWebsearch hin, oder?
Hast Du trotzdem noch eine Idee, was zu tun ist?
__________________

Alt 21.05.2004, 14:43   #4
Olo
 

greatsearch.biz - Beitrag

greatsearch.biz



guckst du hier

da is das greatsearch.biz problem schon mal beschrieben..
die lösung dazu hat andreas gepostet mit einem link zu einem anderen forum den kann ich auch grad nomam posten hier :
http://computercops.biz/modules.php?...topic&p=133970

</font><blockquote>Zitat:</font><hr /> Der letzte EIntrag ("CCS") deutet ja wohl auch noch auf dieses verdammte CoolWebsearch hin, oder?
Hast Du trotzdem noch eine Idee, was zu tun ist? </font>[/QUOTE]imho sind das t-online bzw telekom ips
also nichts "verdächtiges"
es sei denn du bist nicht bei der telekom/t-online

</font><blockquote>Zitat:</font><hr />Die drei Dateien (explorer.exe, window.exe, iexplore.exe) werden - nachdem ich den Ordner WINNT und den Unterordner "System" bzw. "System32" geöffnet habe - gar nicht angezeigt! Wie komme ich trotzdem daran? </font>[/QUOTE]explorer öffnen-&gt;extras-&gt;ordneroptionen-&gt;ansicht
hier musst du nun 1 option deaktivieren:
"Geschützte Systemdateien ausblenden"
und etwas weiter unten "Alle Dateien und Ordner anzeigen" aktivieren
dann solltest du die dateien sehen und überprüfen können

überprüf die dateien dann mal
und probier mal den lösungsvorschlag aus der müsste funktionieren.

Soweit
Thomas
__________________
Die Suchfunktion des Boards

Alt 21.05.2004, 15:06   #5
Lutz
 

greatsearch.biz - Beitrag

greatsearch.biz



Alternativ bzw. zusätzlich zum Thomas' Vorschlag kannst Du hier noch das Tool Free eScan Antivirus Toolkit Utility herunterladen und im abgesicherten Modus scannen lassen. Wenn Du Glück hast, findet dieser Scanner etwas...

Scheinbar haben wir wieder eine neu 'superstealthe' Variante eines Hijackers.... [img]graemlins/pfui.gif[/img] [img]graemlins/koch.gif[/img]
Ich schau mich mal ein bisschen um - kann aber gut sein, dass ich vor Sonntag nichts 'anzubieten' habe, da ich gleich und morgen unterwegs bin...

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 21.05.2004, 15:40   #6
Lutz
 

greatsearch.biz - Beitrag

greatsearch.biz



Hallo Rudi,

noch eine Idee:
Geh mal bitte auf diese Seite http://www.trojaner-info.de/anleitun...llow_page.html und lade den Prozess-Viewer von zerosrealm.com herunter. Führe dann bitte Punkt 3 aus und poste hier das Ergebnis. Vielleicht sehen wir dann mehr...
__________________
--> greatsearch.biz

Alt 21.05.2004, 17:12   #7
Ratloser Rudi
 
greatsearch.biz - Beitrag

greatsearch.biz



Vielen Dank für die Tipps. Ich werde das jetzt alles ausprobieren und melde später, ob es geklappt hat...

Gruß

Alt 21.05.2004, 17:47   #8
Ratloser Rudi
 
greatsearch.biz - Beitrag

greatsearch.biz



HURRAAAA!!!! Ich habe das Ding gekillt!!!
Vielen Dank noch mal an Euch alle. Falls es für andere Nutzer interessant ist, hier noch mal kurz wie ich es gemacht habe:

Ich habe in WINNT/system32 die Dateien nach Datum sortiert. Gestern, also am 20.5.04, habe ich mir greatsearch.biz eingefangen. Dann habe ich alle Dateien mit Entstehungsdatum vom 20.05.04 bei Kaspersky prüfen lassen. Die Datei WINNT/system32/system32.dll war laut Kaspersky ein Trojaner! Dann bin ich in den abgesicherten Modus und habe mit HijackThis die greatsearch.biz-Kästchen abgehakt und gefixt und die besagte system32.dll-Datei gelöscht. Dann Neustart und bingo! Alles wieder einwandfrei.

Allerdings - eine Merkwürdigkeit bleibt. Ich habe die Option "versteckte Dateien anzeigen" (oder so ähnlich) im Explorer ausgewählt. Und dennoch hat er mir die drei Dateien (explorer.exe, window.exe und EXPLORE.exe) NICHT angezeigt. Komisch...

Na ja, jedenfalls ist der Explorer jetzt vom Hijacker befreit.

Vielen Dank noch einmal für die Hilfe!

Alt 21.05.2004, 19:06   #9
Lutz
 

greatsearch.biz - Beitrag

greatsearch.biz



</font><blockquote>Zitat:</font><hr />
Allerdings - eine Merkwürdigkeit bleibt. Ich habe die Option "versteckte Dateien anzeigen" (oder so ähnlich) im Explorer ausgewählt. Und dennoch hat er mir die drei Dateien (explorer.exe, window.exe und EXPLORE.exe) NICHT angezeigt. Komisch...
</font>[/QUOTE]Machst Du bitte noch mal ein Scan mit HijackThis. Lt. Deinem ersten Log waren die 3 Dateien nicht aktiv. So könnte es sein, dass es sich um Überreste in der Registry handelt. Die O4-Einträge sind nämlich Autostartaufrufe aus der Registry. Vergleiche auch hier: http://www.trojaner-board.de/51130-a...ijackthis.html
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 21.05.2004, 20:40   #10
Ratloser Rudi
 
greatsearch.biz - Beitrag

greatsearch.biz



OK, hab noch mal den Scan durchgeführt. Hier das Ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 21:37:11, on 21.05.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Robert1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/sha...tionEngine.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...128.4539236111
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F293CEE-0D0C-40F9-AC08-95F19BC3B854}: NameServer = 217.237.150.225 194.25.2.129

Alt 21.05.2004, 21:11   #11
Lutz
 

greatsearch.biz - Beitrag

greatsearch.biz



Ich finde die Einträge nach wie vor verdächtig:
</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe
O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe</font>[/QUOTE]Da die Dateien nicht in der Liste der ausgeführten Dateien im oberen Teil des Logs enthalten sind, gehe ich davon aus, dass es sich bei den Einträgen um Reste alter 'Infektionen' handelt.

Folgendes habe ich auf http://www.sysinfo.org/startuplist.php gefunden:
Microsoft Internet Explorer iexplore.exe
Downloader trojan.
Note! - this is not the valid iexplore.exe as the file is loacted in Program Files\MSIE and not Program Files\Internet Explorer

Zu System32\window.exe und System\explorer.exe spuckt Google eine Menge aus, das nichts gutes verheißt. Du kannst ja mal selbst ein bisschen suchen...

Ich an Deiner Stelle würde die Einträge mit HijackThis fixen.

Anschließend mach mal ein Scan mit Free eScan Antivirus Toolkit Utility. Das Tool habe ich um 16:06 Uhr verlinkt. Vielleicht gibt das noch weitere Aufschlüsse...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 21.05.2004, 21:35   #12
Ratloser Rudi
 
greatsearch.biz - Beitrag

greatsearch.biz



Hallo Lutz,

ich hab jetzt die besagten drei Dateien mit HijackThis gefixt. Danach habe ich noch mal den scan gemacht mit Free eScan Antivirus Toolkit Utility. Hier das Ergebnis:

Fri May 21 22:31:19 2004 =&gt; ***** Scanning Memory Files *****
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\services.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\lsass.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\svchost.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\spoolsv.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\Programme\AVPersonal\AVGUARD.EXE
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\System32\CTSvcCDA.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\System32\svchost.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\System32\nvsvc32.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\regsvc.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\MSTask.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\stisvc.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\System32\WBEM\WinMgmt.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\system32\svchost.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\WINNT\Explorer.EXE
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\Programme\Creative\ShareDLL\CtNotify.exe
Fri May 21 22:31:19 2004 =&gt; Scanning File C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\Programme\ahead\InCD\InCD.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\Programme\Real\RealPlayer\RealPlay.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\T-ONLINE\BSW4\ToADiMon.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\Programme\Creative\ShareDLL\MediaDet.Exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\Programme\QuickTime\qttask.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\Programme\AVPersonal\AVGNT.EXE
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\WINNT\system32\internat.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\WINNT\system32\RUNDLL32.EXE
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\PROGRA~1\GEMEIN~1\MICROS~1\WORKSS~1\wkcalrem.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\Programme\WinZip\WZQKPICK.EXE
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\WINNT\system32\ntvdm.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\T-ONLINE\BSW4\ToDuCAlC.EXE
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\DOKUME~1\Robert1\LOKALE~1\Temp\mwavscan.com
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\DOKUME~1\Robert1\LOKALE~1\Temp\kavss.exe
Fri May 21 22:31:20 2004 =&gt; Scanning File C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe

Fri May 21 22:31:20 2004 =&gt; ***** Scanning Registry Files *****
Fri May 21 22:31:20 2004 =&gt; Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Fri May 21 22:31:20 2004 =&gt; Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri May 21 22:31:21 2004 =&gt; Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri May 21 22:31:21 2004 =&gt; Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri May 21 22:31:21 2004 =&gt; Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri May 21 22:31:21 2004 =&gt; Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri May 21 22:31:21 2004 =&gt; Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri May 21 22:31:21 2004 =&gt; Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri May 21 22:31:21 2004 =&gt; Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\txtfile\shell\open\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\comfile\shell\open\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\exefile\shell\open\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\dllfile\shell\open\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\batfile\shell\open\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\piffile\shell\open\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\scrfile\shell\open\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\scrfile\shell\config\command
Fri May 21 22:31:21 2004 =&gt; Scanning HKCR\regfile\shell\open\command

Fri May 21 22:31:21 2004 =&gt; ***** Scanning StartUp Folders *****

Fri May 21 22:31:21 2004 =&gt; ***** Scanning C:\Dokumente und Einstellungen\Robert1\Startmenü\Programme\Autostart Folder *****
Fri May 21 22:31:21 2004 =&gt; Scanning Folder: C:\Dokumente und Einstellungen\Robert1\Startmenü\Programme\Autostart\*.*

Fri May 21 22:31:21 2004 =&gt; ***** Scanning C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart Folder *****
Fri May 21 22:31:21 2004 =&gt; Scanning Folder: C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\*.*

Fri May 21 22:31:21 2004 =&gt; ***** Scanning Service Files *****
Fri May 21 22:31:21 2004 =&gt; Scanning HKLM\SYSTEM\CurrentControlSet\Services
Fri May 21 22:31:21 2004 =&gt; ERROR!!! Invalid Entry System32\Drivers\cdenable.sys in SYSTEM\CurrentControlSet\Services\cdenable...
Fri May 21 22:31:22 2004 =&gt; ERROR!!! Invalid Entry \??\C:\WINNT\system32\iesprt.sys in SYSTEM\CurrentControlSet\Services\iesprt...

Fri May 21 22:31:24 2004 =&gt; ***** Scanning Important System Files *****

Fri May 21 22:31:25 2004 =&gt; ***** Checking for specific ITW Viruses *****
Fri May 21 22:31:25 2004 =&gt; Checking for Welchia Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for LovGate Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for CodeRed Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for OpaServ Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for Sobig.e Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for Winupie Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for Swen Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for JS.Fortnight Virus...
Fri May 21 22:31:25 2004 =&gt; Checking for Novarg Virus...

Fri May 21 22:31:25 2004 =&gt; ***** Scanning complete. *****
Fri May 21 22:31:25 2004 =&gt; Total Number of Files Scanned: 239
Fri May 21 22:31:25 2004 =&gt; Total Number of Virus(es) Found: 0
Fri May 21 22:31:25 2004 =&gt; Total Number of Disinfected Files: 0
Fri May 21 22:31:25 2004 =&gt; Total Number of Files Renamed: 0
Fri May 21 22:31:25 2004 =&gt; Total Number of Deleted Files: 0
Fri May 21 22:31:25 2004 =&gt; Total Number of Errors: 2
Fri May 21 22:31:25 2004 =&gt; Time Elapsed: 00:00:06
Fri May 21 22:31:25 2004 =&gt; Virus Database Date: 2004/05/15
Fri May 21 22:31:25 2004 =&gt; Virus Database Count: 92396

Fri May 21 22:31:25 2004 =&gt; Scan Completed.

Antwort

Themen zu greatsearch.biz
ad-aware, adobe, antivir, bho, desktop, drivers, einstellungen, explorer, hijack, hijackthis, home, internet, internet explorer, launch, log-datei, löschen, meinem, messenger, microsoft, nicht, nvcpl.dll, object, problem, programme, realplayer, registry, registry value, rundll, shockwave, software, system, system32, t-online, tcpip, userinit.exe, windows



Ähnliche Themen: greatsearch.biz


  1. Ich werde greatsearch.biz nicht wieder los!
    Log-Analyse und Auswertung - 16.06.2004 (2)
  2. Wieder einmal "greatsearch.biz"
    Plagegeister aller Art und deren Bekämpfung - 24.05.2004 (14)
  3. Startseite automatisch immer greatsearch.biz
    Plagegeister aller Art und deren Bekämpfung - 20.05.2004 (13)
  4. ...nochmal was zu "greatsearch.biz"
    Plagegeister aller Art und deren Bekämpfung - 17.05.2004 (5)
  5. mal wieder greatsearch.biz......
    Plagegeister aller Art und deren Bekämpfung - 10.04.2004 (3)
  6. Kennt jemand TR/Small.Dld.FO bzw. greatsearch.biz
    Plagegeister aller Art und deren Bekämpfung - 09.04.2004 (12)

Zum Thema greatsearch.biz - Ich habe mir greatsearch.biz eingefangen und werde das Ding mit Ad-Aware, CWS, Spybot, AntiVir einfach nicht los. Die bisherigen Beiträge zum Thema hier im Forum waren für mich eher verwirrend. - greatsearch.biz...
Archiv
Du betrachtest: greatsearch.biz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.