"Home Search Assistent" entfernen, wie?

jet-ti · 23.10.2005, 12:37

Hallo zusammen,
bei mir in der Softwareliste wird der "Home Search Assiten"
und der "Shopping Wizard" angezeigt.

Kann mir einer sagen wie ich diese Programme entfernen bzw.
deinstallieren kann.

Mit Dank im Vorraus
jet-ti

Cidre · 23.10.2005, 13:00

Hallo,

erstelle mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es.
Beachte die rot markierten Hinweise (aktive Links + persönl. Informationen editieren!)!

jet-ti · 23.10.2005, 13:22

Hier ist meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:17:54, on 23.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Skype\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\WS_FTP Pro\wsftpgui.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://lookfor.cc?pin=83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://lookfor.cc/sp.php?pin=83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://lookfor.cc?pin=83556
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.*.*
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124239954796
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E90495D-80E2-49E4-9E3B-23062B4F875B}: NameServer = 217.237.***.***,195.50.***.***
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Haui45 · 23.10.2005, 14:07

Hallo,

lade Ad-Aware und eScan herunter. Installiere Ad-Aware und entpacke eScan (Anleitung genau befolgen!). Aktualisiere beide Programme und stell außerdem sicher, dass sich Spybot S&D auf dem neusten Stand befindet.

Starte den PC im abgesicherten Modus und fixe diese Zeilen mit HijackThis:

Zitat:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://lookfor.cc?pin=83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://lookfor.cc/sp.php?pin=83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://lookfor.cc?pin=83556
R3 - Default URLSearchHook is missing

Deinstalliere, falls möglich, alle unseriöse Software über Systemsteuerung-> Software.

Scanne nacheinander mit Ad-Aware und Spybot S&D (sollte ein Neustart nötig sein, führe diesen aus und botte danach wieder in den abgesicherten Modus).

Scanne abschließend mit eScan und poste die Ergebnisse.

jet-ti · 23.10.2005, 18:24

Vielen Dank für die Hilfe!
Ich konnte die Programme mit den Progs entfernen (glaub ich zumindest

)

Eine Frage bleibt noch?
Die Logfile bei eScan ist sehr lang und ich blick da nicht ganz durch
Gibt es da nicht eine Zusammenfassung wo alles was gefunden wurde angezeigt wird?

Vieln Dank

Haui45 · 23.10.2005, 18:34

Zitat:

Zitat von jet-ti

Die Logfile bei eScan ist sehr lang und ich blick da nicht ganz durch
Gibt es da nicht eine Zusammenfassung wo alles was gefunden wurde angezeigt wird?

Lies den Punkt "Einsetzen von eScan – Auswertung:" in der Anleitung noch mal durch (Find.rar bzw. >Find.bat)

jet-ti · 24.10.2005, 13:10

Das ist nun meine Log von eScan bearbeitet mit der Find.bat

Kann ich die ersten 2 Regediteinträge ohne bedenken löschen ? (wo sind die eigentlich, hklm?)
Und wo liegen die "whenu.savenow" dateien bzw. einträge?
Die Viren in dem Windows verzeichnis werd ich auch einfach löschen, oder?
Der letzte eintrag ist doch von spybot search&destroy, trozdem löschen?

So und an der Stelle nochmal vielen Dank, hätte nicht gedach dass ich so schnell hier Hilfe bekomme, das Forum ist super!! :aplaus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Oct 23 18:32:21 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Sun Oct 23 18:32:21 2005 => System found infected with mega search hijacker Spyware/Adware ({8bc6346b-ffb0-4435-ace3-faca6cd77816})! Action taken: No Action Taken.
Sun Oct 23 18:32:24 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 23 18:32:24 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 23 18:32:24 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 23 18:32:24 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 23 18:32:24 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Sun Oct 23 18:32:37 2005 => File C:\WINDOWS\notepad.com infected by "Trojan-Downloader.Win32.Delf.ks" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:32:38 2005 => File C:\WINDOWS\ntea32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:33:29 2005 => File C:\WINDOWS\System32\notepad.com infected by "Trojan-Downloader.Win32.Delf.ks" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:33:49 2005 => File C:\WINDOWS\System32\svcnva.exe infected by "Trojan-Downloader.Win32.Delf.ks" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:33:49 2005 => File C:\WINDOWS\System32\syskl32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:44:01 2005 => File C:\System Volume Information\_restore{EA57E9F9-C503-4F76-8E07-8D524F4493A3}(2)\RP60\A0017840.exe infected by "Trojan-Downloader.Win32.Small.bau" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:49:12 2005 => File C:\WINDOWS\notepad.com infected by "Trojan-Downloader.Win32.Delf.ks" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:49:12 2005 => File C:\WINDOWS\ntea32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
Sun Oct 23 18:53:13 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Oct 23 18:32:22 2005 => Offending Key found: HKLM\Software\gnu !!!
Sun Oct 23 18:32:22 2005 => Offending Key found: HKCU\Software\gnu !!!
Sun Oct 23 18:32:24 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\o1e34t6v\common[1].js
Sun Oct 23 18:32:24 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\op23st6j\common[1].js
Sun Oct 23 18:32:24 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\o1e34t6v\common[1].js
Sun Oct 23 18:32:24 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\op23st6j\common[1].js
Sun Oct 23 18:32:24 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Oct 23 18:53:13 2005 => Total Virus(es) Found: 17
Sun Oct 23 18:53:13 2005 => Total Errors: 186
Sun Oct 23 18:53:13 2005 => Time Elapsed: 00:21:40
Sun Oct 23 18:53:13 2005 => Total Objects Scanned: 45423
Sun Oct 23 18:29:27 2005 => Virus Database Date: 2005/10/23
Sun Oct 23 18:53:13 2005 => Virus Database Date: 2005/10/23
Sun Oct 23 18:55:53 2005 => Virus Database Date: 2005/10/23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

23.10.2005, 13:00	#2
Cidre Administrator, a.D.	"Home Search Assistent" entfernen, wie? Hallo, erstelle mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es. Beachte die rot markierten Hinweise (aktive Links + persönl. Informationen editieren!)! __________________ __________________

"Home Search Assistent" entfernen, wie?

Log-Analyse und Auswertung: "Home Search Assistent" entfernen, wie?