Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: searchx-Virus bleibt hartnäckig / xfind-Variante?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.05.2004, 21:19   #1
Aendru
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hi,

habe auch das lästige about:blank-Startseitenproblem (IE Windows XP). Probiere seit Tagen verzweifelt alle guten Tipps aus (CWS Shredder, HijackThis, spybot, Systemwiederherstellung deaktivieren, abgesicherter Modus, Windosw Update, ZoneAlarm uswusw.) Bisher leider alles erfolglos.

Auch die hier im Forum vorgestellte real-yellow-page-Lösung und eScan habe ich ausprobiert. Auch nix! Meine letzte Hoffnung: Die xfind-Variante. Allerdings habe ich nicht wirklich verstanden, wie die funktioniert (erbärmlicher Computerlaie). Deshalb meine große Bitte: Kann mir jemand verraten, was ich mit folgendem Ergebnis
der xfind-Suche anfangen soll?

--===**'FIND-ALL' VERSION 2, 5/04**===--


Tue May 11 21:50:30 2004 -- Results:
*System Info:

Microsoft Windows XP [Version 5.1.2600]
C: "SYSTEM" (A0DB:9126) - FS:NTFS clusters:4k
Total: 16 105 062 400 [15G] - Free: 8 296 685 568 [7.7G]


Locked or 'Suspect' file(s) found...
\\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error
\\?\C:\WINDOWS\System32\CDAE.DLL +++ File read error


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2BBD3D0B-93EC-41A3-BF94-331092075F59}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

Class Install Handler
{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}
C:\WINDOWS\system32\urlmon.dll

deflate
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

gzip
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

lzdhtml
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

text/html
{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}
C:\WINDOWS\System32\cdae.dll

text/plain
{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5}
C:\WINDOWS\System32\cdae.dll

text/webviewhtml
{733AC4CB-F1A4-11d0-B951-00A0C90312E1}
%SystemRoot%\system32\SHELL32.dll

{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll
{2BBD3D0B-93EC-41A3-BF94-331092075F59} C:\WINDOWS\System32\cdae.dll
{0ADAFA9F-8C59-47F4-8A2F-D1F2B8FC5CA5} C:\WINDOWS\System32\cdae.dll
{2BBD3D0B-93EC-41A3-BF94-331092075F59} C:\WINDOWS\System32\cdae.dll

_______________________________

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

{2BBD3D0B-93EC-41A3-BF94-331092075F59}
C:\WINDOWS\System32\cdae.dll


Bin dankbar für jeden Tipp!
Habe inzwischen zwar auf Firefox umgestellt, will aber nach soviel vergeblichen Versuchen den verdammten Virus endlich loswerden.

Gruß
Aendru

PS: Übrigens findet CWSShredder im absicherten Modus jedes Mal CWS.searchx und CWS.msconfig, im normalen Modus immer nur CWS.searchx. Führt das irgendwie auf die Spur?

Alt 12.05.2004, 01:34   #2
Who Cares
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hi,

es wird davon berichtet, dass mehrmaliges scannen und bereinigen mit Cwhsredder einige der hartnäckigen fälle löst..

dito probier mal den ESCAN/KAV-Scanner von microworld

und poste doch mal ein hijackthis-log hier..

Hast du für alle Zonen im IE activeX & scripting deaktiviert ?

(Links zu o.g. durchgeführten Lösungsvorschlägen können auch nie schaden)
__________________


Alt 12.05.2004, 09:51   #3
Lutz
 

searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hallo Aendru und Willkommen im Board,

da hast Du Dir wirklich die bisher hartnäckigste Variante eines Hijackers eingefangen. Eine 'Knopfdrucklösung' gibt es meines Wissens immer noch nicht.

Im Board von Rokob-Security habe ich gestern mal schrittweise dokumentiert, welche Schritte ich nach einer bewussten Infektion durchgeführt habe. Ich muss allerdings zugeben, dass das noch nicht 'anfängertauglich' ist.
Hier kannst Du es einmal nachlesen.
Wenn Du es Dir zutraust, kannst Du versuchen, die einzelnen Schritte (ab Punkt 2) einmal durchzuführen. Ich weise aber ausdrücklich darauf hin, dass das nur auf eigene Gefahr erfolgen kann!!

In meinem Beitrag von heute im gleichen Thread bei Rokob habe ich mal meine OUTPUT.TXT mit Deiner verglichen. Die 'interessanten' Einträge habe ich da blau markiert. Um diese Einträge loszuwerden schlage ich folgendes vor.
Starte den Editor und kopiere folgendes hinein:
</font><blockquote>Zitat:</font><hr /> REGEDIT4

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
"{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"="%SystemRoot%\system32\SHELL32.dll"
</font>[/QUOTE]Speichere die Datei (am besten direkt auf dem Desktop) unter dem Namen clean.reg. Bei Dateityp musst Du 'Alle Dateien' angeben, damit die Datei auch wirklich als reg-Datei und nicht als reg.txt gespeichert wird.
Wenn Du die Datei auf dem Desktop gespeichert hast, führe sie (im abgesicherten Modus) mit einem Doppelklick aus. Damit sollten die 'bösen' Einträge in der Registry entfernt/überschrieben werden.

Nochmal der Hinweis: Dies geschieht auf eigene Gefahr! Mach am besten zuerst eine komplette Sicherung der Registry. Dazu gehst Du auf Start -&gt; Ausführen, gibts bei Öffnen regedit ein und bestätigst dies mit der [ENTER]-Tast. Im Registrierungs-Editor gehst Du auf Datei -&gt; Exportieren. Bei 'Speichern in' gibst Du einen Pfad an, den Du Dir gut merken kannst, damit Du die Sicherung bei Bedarf schnell wiederfindest. Auch hier bietet sich imho der Desktop an.
Bei 'Dateiname' gibst Du beispielsweise Komplett_12_05_04 an. Unter 'Exportbereich' wählst Du 'Alles' und klickst dann auf 'Speichern'. Wenn etwas schief gehen sollte, kannst Du mit einem Doppelklick auf 'Komplett_12_05_04.reg' den vorherigen Zustand wieder herstellen.


Bevor Du etwas unternimmst, möchte ich Dich allerdings bitten, erst einmal ein Log von HijackThis hier zu posten.
__________________
__________________

Alt 12.05.2004, 11:15   #4
Aendru
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hallo Lutz,

erstmal vielen Dank für die schnelle Antwort.

So sieht der aktuelle Scan-Log von HijackThis aus:

Logfile of HijackThis v1.97.7
Scan saved at 12:08:22, on 12.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\D-Link AirPlus\AIRPLUS.EXE
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...100.0333912037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


Normalerweise hätte ich jetzt alle Einträge mit cdae.dll gefixt. Habe bisher aber noch nichts unternommen, falls ich vielleicht bisher immer etwas übersehen habe.

Gruß
Aendru

Alt 12.05.2004, 11:49   #5
Lutz
 

searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hallo,

folgendes muss raus:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing) </font>[/QUOTE]Das Entfernen allein wird dir nichts nützen, da die Einträge spätestens nach 24 Stunden unter einem anderen Namen wieder auftauchen.
'Traust' Du Dir das zu, was ich vorhin geschrieben habe?

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 12.05.2004, 12:16   #6
Aendru
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Ich probier's einfach mal. Wahrscheinlich taucht dabei noch die eine oder andere Frage auf. Werde mich dann vertrauensvoll an Dich wenden.

Danke und bis dann
Aendru

[ 12. Mai 2004, 14:56: Beitrag editiert von: Aendru ]

Alt 12.05.2004, 14:04   #7
Aendru
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hallo Lutz,

bis Punkt 7) bin ich noch gekommen. Habe den Wert c:\windows\system32\wdmbch.dll wie angegeben gelöscht. Leider tauchte die Datei unter Windows\system32 nicht auf (Ordneroption: Alle Ordner und Dateien anzeigen).

Habe im abgesicherten Modus nochmals CWSShredder, adaware und HijackThis durchlaufen lassen und alles Böse eliminiert.

Bei der Überprüfung mit Find-All war c:\windows\system32\wdmbch.dll natürlich noch da.
Bin mir sicher, das spätestens ab morgen das alte about:blank-Spielchen wieder losgeht.

Hast Du noch einen Tipp?

Gruß
Aendru

Alt 12.05.2004, 14:29   #8
Lutz
 

searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Mhmm, so spontan nicht. ;(

Eher eine Frage, anders als bei meiner 'Test-Infektion' sind bei Dir ja zwei dll's angegeben. Wird die CDAE.DLL jetzt auch noch mit Find-All angezeigt?
Poste doch noch einmal bitte eine aktuelle OUTPUT.TXT, vielleicht fällt mir dann noch etwas auf bzw. ein...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 12.05.2004, 14:45   #9
Aendru
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



So sieht das aktuelle Ergebnis aus:

--===**'FIND-ALL' VERSION 2, 5/04**===--


Wed May 12 15:38:34 2004 -- Results:
*System Info:

Microsoft Windows XP [Version 5.1.2600]
C: "SYSTEM" (A0DB:9126) - FS:NTFS clusters:4k
Total: 16 105 062 400 [15G] - Free: 8 275 591 168 [7.7G]


Locked or 'Suspect' file(s) found...
\\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error
\\?\C:\WINDOWS\System32\WDMBCN.DLL +++ File read error


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

Class Install Handler
{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}
C:\WINDOWS\system32\urlmon.dll

deflate
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

gzip
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

lzdhtml
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINDOWS\system32\urlmon.dll

text/webviewhtml
{733AC4CB-F1A4-11d0-B951-00A0C90312E1}
%SystemRoot%\system32\SHELL32.dll


_______________________________

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx


Gruß
Aendru

Alt 12.05.2004, 15:09   #10
Lutz
 

searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Kannst Du mal in der Registry (entweder mit regedit oder mit dem Tool RegAlyzer) die komplette Registry im abgesicherten Modus nach folgendem durchsuchen: WDMBCN.DLL

Wahrscheinlich ist ein evtl. Aufruf zwar wieder 'superversteckt', aber vielleicht haben wir ja Glück. Wenn wir den finden, können wir evtl. auch diese dll killen.

Ansonsten versuch mal die Killbox
http://download.broadbandmedic.com/VbStuff/KillBox.zip

Eine Anleitung hierzu findest Du hier:
http://www.trojaner-info.de/anleitun...llow_page.html
Dort unter Schritt 5
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 12.05.2004, 16:40   #11
Aendru
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Das kam dabei raus:

Als RegAlyzer etwas fand, wurde das Programm merkwürdigerweise automatisch geschlossen. Ich habe die einzelnen Reg-Hauptordner dann einzeln untersuchen lassen, mit folgendem Ergebnis:

In folgenden Keys fand RegAlyzer den Eintrag wdmbcn.dll (jeweils an Position 000 REG_SZ):

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5604

An den anderen Positionen dieser Keys tauchten auch ziemlich verdächtige Einträge auf (z.B. Position 014 REG_SZ TR/Java.ByteVerify).

Leider fand sich unter HKLM/Software (...) Current Version/Windows auch wieder der alte Eintrag c:\windows\sytsem32\wdmbcn.dll, den ich eigentlich schon gelöscht hatte.

Mit Killbox bin auch auch wie vorgegeben verfahren. Danach AppInit Clean mit Process-Viewer wie beschrieben. Im Moment sieht der Hijack-Scan auch noch sauber aus. Im Moment...

Gruß
Aendru

PS: CWSShredder hat danach (im abgesicherten Modus) wieder CWS.msconfig gefunden!

[ 12. Mai 2004, 17:45: Beitrag editiert von: Aendru ]

Alt 13.05.2004, 10:07   #12
Lutz
 

searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hallo Aendru,

im Moment möchte ich Dich um ein bisschen Geduld bitten, falls Dein Problem noch nicht endgültig gelöst ist.
'Wir' arbeiten gerade an einer Lösung. Aber das braucht natürlich seine Zeit, denn es soll ja auch sauber funktionieren.

Wenn Du die Datei wdmbcn.dll noch auf Deinem Rechner hast und sie nicht versteckt ist, schick sie mir doch bitte mal per Mail. Ich würde die gerne zu einer genaueren Analyse weitergeben.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.05.2004, 10:31   #13
Aendru
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hi Lutz,

im Moment sieht noch alles sauber aus. Vielleicht hat's diesmal tatsächlich geklappt. Ganz traue ich dem Frieden allerdings noch nicht. Ich werde Dir morgen nochmal eine Rückmeldung geben.

Gruß
Aendru

Alt 13.05.2004, 10:42   #14
Mäc
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Ausrufezeichen

searchx-Virus bleibt hartnäckig / xfind-Variante?



Hallo Aendru,

einen gleich (oder zumindest ähnlich) gelagerten Fall findest Du hier. Sieht für mich aus wie StartPage-CZ/StartPage.gv: Ersetze den DLL-Namen des BHO durch einen (beliebigen) anderen, dann passt's!
Welchen Virenscanner verwendest Du? Ist die Virendefinition aktuell? F-Secure Anti-Virus, Kaspersky Anti-Virus und McAfee VirusScan sollten ihn mittlerweile erkennen. Ansonsten probier' mal meinen Workaround und mach mal 'ne Testsuche nach "searchx".

Alt 14.05.2004, 08:23   #15
Mäc
 
searchx-Virus bleibt hartnäckig / xfind-Variante? - Beitrag

searchx-Virus bleibt hartnäckig / xfind-Variante?



Moin, das Remove-Tool ist da: Rokop Security - aber wie gesagt, ein aktuelles Antiviren-Update tut's mittlerweile auch... Trotzdem: Hut ab, Rokop! [img]graemlins/daumenhoch.gif[/img]

Antwort

Themen zu searchx-Virus bleibt hartnäckig / xfind-Variante?
.dll, acrobat, adobe, appinit_dlls, browser, ellung, ergebnis, escan, explorer, file, firefox, folge, forum, free, helper, hijack, hijackthis, nicht, problem, programme, seite, software, system32, systemwiederherstellung, update, virus, windows, windows xp



Ähnliche Themen: searchx-Virus bleibt hartnäckig / xfind-Variante?


  1. search.certiefied-toolbar bleibt hartnäckig
    Plagegeister aller Art und deren Bekämpfung - 29.10.2013 (10)
  2. BRAUCHE DRINGEND HILFE!!! PerformerSoft.com Virus/Trojaner? Hartnäckig!!!
    Plagegeister aller Art und deren Bekämpfung - 28.02.2013 (6)
  3. Der Computer ist für die Verletzung....bla bla Ukash Virus - Hartnäckig
    Log-Analyse und Auswertung - 02.09.2012 (10)
  4. Gema Virus hartnäckig!
    Log-Analyse und Auswertung - 18.06.2012 (74)
  5. GEMA-Virus Variante 2.06 (?) m. 2 Zahlfunktionen (paysave, ukash)
    Log-Analyse und Auswertung - 08.06.2012 (1)
  6. GVU-Virus (neue Variante?) erfolgeich teilw. manuell entfernt mit Analyse von ESET
    Plagegeister aller Art und deren Bekämpfung - 23.04.2012 (1)
  7. gema virus hartnäckig
    Log-Analyse und Auswertung - 30.03.2012 (1)
  8. Virus bleibt erhalten
    Log-Analyse und Auswertung - 08.06.2010 (3)
  9. Pc bleibt dauernt hängen, Virus?
    Log-Analyse und Auswertung - 22.04.2010 (7)
  10. BIOS/Firmware Virus/RK sehr hartnäckig und intelligent
    Plagegeister aller Art und deren Bekämpfung - 20.03.2010 (11)
  11. Virus.Win32.Tenga.A sehr hartnäckig
    Log-Analyse und Auswertung - 30.01.2010 (13)
  12. WinFixer - Bleibt hartnäckig ...
    Log-Analyse und Auswertung - 11.11.2005 (3)
  13. Home Search Assistent bleibt hartnäckig
    Log-Analyse und Auswertung - 21.07.2005 (6)
  14. CWS.Searchx / 6 infected IE registry values
    Plagegeister aller Art und deren Bekämpfung - 28.10.2004 (3)
  15. cws.searchx - Hilfe
    Log-Analyse und Auswertung - 24.06.2004 (1)
  16. Searchx Problem
    Plagegeister aller Art und deren Bekämpfung - 18.04.2004 (11)
  17. Ein Trojaner ?? Ein Virus ?? Hartnäckig !!!
    Archiv - 15.01.2003 (6)

Zum Thema searchx-Virus bleibt hartnäckig / xfind-Variante? - Hi, habe auch das lästige about :blank-Startseitenproblem (IE Windows XP). Probiere seit Tagen verzweifelt alle guten Tipps aus (CWS Shredder, HijackThis, spybot, Systemwiederherstellung deaktivieren, abgesicherter Modus, Windosw Update, ZoneAlarm uswusw.) - searchx-Virus bleibt hartnäckig / xfind-Variante?...
Archiv
Du betrachtest: searchx-Virus bleibt hartnäckig / xfind-Variante? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.