Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kriege Websearch-variante nicht entfernt!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.05.2004, 16:44   #1
Andy28
 
Kriege Websearch-variante nicht entfernt! - Ausrufezeichen

Kriege Websearch-variante nicht entfernt!



Hallo!


Bin relativ neu hier und hoffe das dieser Thread an der richtigen Stelle steht.

Also bei mir hat sich vor ein paar Tagen eine Websearch-Variante eingeschlichen. Diese hat meine Startseite verändert Badlinks(Hijack) gemacht.

Habe als erstes temporäre Dateien und Cookies entfernt. Das half natürlich nichts.

Dann folgende Programme ausprobiert :

Add-Aware, CW Shredder, Spybot - Search & Destroy, Hijack This, Sphjfix und Reg Clean.

Also alle empfohlenen Programme. Doch leider ohne Wirkung. Entweder wird was gefunden und angeblich repariert, aber dann ist es beim Neustart wieder da oder es wird nichts gefunden. Geupdatetd habe ich die Proggys auch so weit ein Update vorhanden war.


Hier mal eine log aus HijackThis:

----------------------------------------------------------------------------------

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://D:\PROGRA~1\Toolbar\toolbar.dll/sa
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - D:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - D:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - D:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - D:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Config33.exe] Config33.exe
O4 - HKLM\..\Run: [WinTools] D:\Programme\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Config33.exe] Config33.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...886.4935648148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F0D44B-7437-4DF7-87B4-DE99DFED1876}: NameServer = 217.237.149.161 194.25.2.129
--------------------------------------------------------------------------------
Weiss nicht was ich da machen soll. Auf jeden Fall habe ich die Sachen mit "GReatSearch" angeklickt. Die löscht er auch aber kommen beim Neustart wieder.


By Addaware hat er das gefunden:

--------------------------------------------------

ArchiveData(auto-quarantine- 21-05-2004 00-14-52.bckp)
======================================================

NEW.NET
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=Verzeichnis : D:\Programme\NewDotNet
obj[8]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\new_net.exe
obj[21]=Datei : d:\programme\newdotnet\newdotnet6_22.dll
obj[22]=Datei : d:\programme\newdotnet\uninstall6_22.exe
obj[35]=Datei : d:\windows\ndnuninstall5_20.exe
obj[36]=Datei : d:\windows\ndnuninstall6_22.exe

VIRTUALBOUNCER
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[1]=Verzeichnis : D:\Programme\VBouncer

TRACKING COOKIE
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[2]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@180solutions[1].txt
obj[3]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@as1.falkag[1].txt
obj[4]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@mediaplex[1].txt
obj[29]=Datei : d:\windows\temp\cookies\freak@mediaplex[1].txt

180SOLUTIONS
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[5]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\fleok\msbb.exe
obj[6]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\msbb.exe
obj[7]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\ncmyb.dll
obj[43]=Datei : d:\windows\wfwxydsx.exe

WEBHANCER
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[9]=Datei : d:\program files\webhancer\programs\whagent.ini
obj[42]=Datei : d:\windows\webhdll.dll
obj[44]=Datei : d:\windows\whagent.inf
obj[45]=Datei : d:\windows\whinstaller.exe
obj[46]=Datei : d:\windows\whinstaller.ini

CLEARSEARCH
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[10]=Datei : d:\programme\clearsearch\loader.exe
obj[23]=Datei : d:\programme\stc\clrschp070.exe

ADROTATOR
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[11]=Datei : d:\programme\common files\slmss\slmss.exe
obj[24]=Datei : d:\programme\stc\slmss.exe
obj[32]=Datei : d:\windows\ieasst.dll
obj[33]=Datei : d:\windows\mwsvm.bin
obj[34]=Datei : d:\windows\mwsvm.exe
obj[40]=Datei : d:\windows\urls.bin
obj[41]=Datei : d:\windows\vurls.bin

SHIELD-BLSS
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[12]=Datei : d:\programme\edonkey2000\support\bl-install4.exe

EZULA
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[13]=Datei : d:\programme\edonkey2000\support\ezstub.exe
obj[14]=Datei : d:\programme\ezula\chcon.dll
obj[15]=Datei : d:\programme\ezula\eabh.dll
obj[16]=Datei : d:\programme\ezula\genun.ez
obj[17]=Datei : d:\programme\ezula\mmod.exe
obj[18]=Datei : d:\programme\ezula\seng.dll
obj[31]=Datei : d:\windows\ezinstall.exe

IBIS TOOLBAR
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[19]=Datei : d:\programme\gemeinsame dateien\wintools\btiein.dll
obj[20]=Datei : d:\programme\gemeinsame dateien\wintools\wintools.exe
obj[26]=Datei : d:\programme\toolbar\iexploreskins.exe

SECONDTHOUGHT
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[25]=Datei : d:\programme\stc\stc.exe
obj[28]=Datei : d:\windows\system32\idleui.dll

DIALXS
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[27]=Datei : d:\windows\downloaded program files\dialxs.ocx

VX2.BETTERINTERNET
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[30]=Datei : d:\windows\alchem.exe
obj[38]=Datei : d:\windows\preinstt.exe
obj[39]=Datei : d:\windows\twaintec.dll

WEBDIALER
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[37]=Datei : d:\windows\ole32ws.dll

--------------------------------------------------------------


zeigt keine Wirkung..........


Dann bei Spybot das hier :


---------------------------------------------------------------------

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-515967899-492894223-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi
-----------------------------------------------------------


Und die anderen haben gar nichts gefunden.

Ich weiss nichtmal welche Variante das von Websearch ist. Wenigstens hat Spybot die Hijack Verlinkung blockiert. Trotzdem hängt sich manchmal die Startseite auf.

Als Alternative benutze ich Firefox. Aber der gefällt mir nicht so gut. Von der Oberfläche usw.

Deswegen würde ich gerne den IE weiter verwenden.Wie kriege ich den Eintrag raus der die Startseite verändert?


PS: Ich hatte die ganze Zeit Norton Antivirus laufen das sich regelmäßig selber updated.

Alt 23.05.2004, 17:04   #2
Lutz
 

Kriege Websearch-variante nicht entfernt! - Beitrag

Kriege Websearch-variante nicht entfernt!



Hallo Andy und Willkommen im Board,

schau dir bitte mal diesen Thread an. Das dürfte 'passen'.

Edit:
Thread verschoben nach 'Trojaner-Info Trojaner, Viren, Würmer'
__________________

__________________

Alt 23.05.2004, 18:06   #3
Andy28
 
Kriege Websearch-variante nicht entfernt! - Icon19

Kriege Websearch-variante nicht entfernt!



Danke!!!!!!!!!!!!!!!!!





Könnt diesen hier ja dicht machen. Es hat geklappt. Der Dreck is weg.......jetzt den neuesten Sicherheitspatch besorgen!
__________________

Antwort

Themen zu Kriege Websearch-variante nicht entfernt!
adobe, alternative, antivirus, bho, dateien, einstellungen, explorer, file, hijack, hijack this, hijackthis, hängt, icq, internet, internet explorer, log, messenger, microsoft, neu, neustart, object, programme, s-1-5-18, software, symantec, tcpip, temporäre dateien, urlsearchhook, windows, windows\temp



Ähnliche Themen: Kriege Websearch-variante nicht entfernt!


  1. Websearch lässt sich nicht entfernen
    Log-Analyse und Auswertung - 25.09.2014 (11)
  2. WebSearch.com (WebSearch) entfernen
    Anleitungen, FAQs & Links - 10.04.2014 (2)
  3. Kriege Deal Finder nicht entfernt
    Log-Analyse und Auswertung - 04.10.2013 (3)
  4. GVU-Virus (neue Variante?) erfolgeich teilw. manuell entfernt mit Analyse von ESET
    Plagegeister aller Art und deren Bekämpfung - 23.04.2012 (1)
  5. Kriege Spy Hunter nicht gelöscht
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (33)
  6. Kriege den Virus nicht weg !
    Antiviren-, Firewall- und andere Schutzprogramme - 01.06.2009 (3)
  7. Kriege Trojaner nicht weg
    Log-Analyse und Auswertung - 14.10.2008 (14)
  8. Kriege Vundo/Monder Trojaner nicht entfernt
    Plagegeister aller Art und deren Bekämpfung - 20.06.2008 (8)
  9. TR/Dldr.Zlob.hxf gefunden, kriege den Trojaner nicht entfernt..
    Plagegeister aller Art und deren Bekämpfung - 24.02.2008 (9)
  10. Kriege Trojaner nicht gelöscht!?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (12)
  11. help me please!!! kriege den Scheiß nicht weg!
    Log-Analyse und Auswertung - 14.09.2007 (1)
  12. kriege tray-icon nicht weg
    Plagegeister aller Art und deren Bekämpfung - 04.07.2007 (6)
  13. TR/Dldr.DNSChanger.Gen - Ich kriege ihn nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 19.03.2007 (2)
  14. ich kriege die trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 23.05.2005 (4)
  15. Kriege es nicht weg!!!
    Plagegeister aller Art und deren Bekämpfung - 16.05.2005 (5)
  16. Kriege Würmer nicht raus..
    Log-Analyse und Auswertung - 07.08.2004 (2)
  17. Kriege Websearch-variante nicht entfernt!
    Plagegeister aller Art und deren Bekämpfung - 23.05.2004 (1)

Zum Thema Kriege Websearch-variante nicht entfernt! - Hallo! Bin relativ neu hier und hoffe das dieser Thread an der richtigen Stelle steht. Also bei mir hat sich vor ein paar Tagen eine Websearch-Variante eingeschlichen. Diese hat meine - Kriege Websearch-variante nicht entfernt!...
Archiv
Du betrachtest: Kriege Websearch-variante nicht entfernt! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.