Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hijack durch easy-search.biz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.06.2004, 01:12   #1
Ricky Bach
 
Bitte um Hilfe! Ich habe Troubles mit easy-search.biz: Ich kann nur mehr ganz wenige Sites aufrufen, bei den meisten kriege ich "Access Denied". Bin das ganze, in den div. Foren empfohlene Therapie-Programm durchgegangen, also Ad-Aware 6, Spybot und CWShredder. Die finden auch die Übeltäter, nur mein Problem läßt sich durch die Programme nicht beheben. CWShredder sagt mir jedes Mal:

Done!
Removed from your system:
- 9 infected IE registry values

Aber nach dem Neustart (trotz Deaktivierung der Systemwiederherstellung) geht der Wahnsinn wieder von vorne los und HijackThis zeigt easy-search.biz in der Registry an.

Ich wäre sehr dankbar, wenn mir hier jemand Tipps geben könnte, wie sich die Sache beheben läßt. 1.000 Dank im voraus!

Nachfolgend mein Logfile im Detail:

Logfile of HijackThis v1.97.7
Scan saved at 02:08:02, on 06.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
c:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.acer.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Album Schnellstart.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub...ctor/swdir.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/191d4516de5cf2e...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...63/mcfscan.cab

Alt 06.06.2004, 01:28   #2
mmk
 
Hijack durch easy-search.biz - Idee

Hijack durch easy-search.biz



Moin!

C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe

Bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Nach dem Scan die Registry-Einträge, die auf die beiden Dateien verweisen, über HijackThis und "Fix checked" löschen, ebenso die ganzen easy-search-Einträge.

Ich rege zudem im Allgemeinen an, neben der regelmäßigen Installation der Patches für Windows und für den IE auf einen anderen Browser umzusteigen, aber auch diesen stets aktuell zu halten (Firefox, Mozilla, Opera).
__________________

__________________

Alt 06.06.2004, 13:21   #3
raman
 
Hijack durch easy-search.biz - Beitrag

Hijack durch easy-search.biz



Bitte nicht vergessen diesen Eintrag auch zu fixen, sonst kommst du nicht mehr ins www, da du das Programm das den Proxyserver zur verfuegung stellt ja herausnimmst:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
__________________
__________________

Alt 06.06.2004, 13:31   #4
Ricky Bach
 
Hijack durch easy-search.biz - Icon26

Hijack durch easy-search.biz



Hallo Markus!

Vielen Dank für die Infos! Ich hab den Kapersky-Scan vorgenommen, wobei ich runwin32.exe nicht gefunden habe (schätze, da gibt es einen Zusammenhang mit e-scann, den ich gestern nach meinem Posting noch laufen ließ und der ein verdächtiges Programm löschte).

Jedenfalls ergab der Kapersky-Scan heute folgendes Resultat:

Zu überprüfende Datei: wininet32.exe
wininet32.exe - packed with UPX
wininet32.exe Infiziert: TrojanProxy.Win32.Agent.ad

Ich hab dann auch mit HijackThis die empfohlenen Fixes vorgenommen, allerdings war das Resultat nach dem Neustart etwas ernüchternd, da ich im Explorer eine "about:blank"-Seite als Startpage bekomme und sich jetzt überhaupt keine Site mehr öffnen läßt.

Ich wäre dir dankbar, wenn du mir weitere Hinweise geben könntest, wie ich den IE wieder zum Laufen kriege. Deinen Tipp auf Firefox umzusteigen habe ich übrigens bereits beherzigt! lg, Ricky

HijackThis zeigt mir folgendes:

Logfile of HijackThis v1.97.7
Scan saved at 14:12:22, on 06.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
c:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.acer.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Album Schnellstart.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub...ctor/swdir.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/191d4516de5cf2e...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...63/mcfscan.cab

Alt 06.06.2004, 13:51   #5
Ricky Bach
 
Hijack durch easy-search.biz - Icon26

Hijack durch easy-search.biz



Hier noch aktuelle Scan-Nachträge:

Laut Spybot ist alles ok. Ad-Aware 6 identifiziert zwei Registry values:

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Und der

CWShredder v1.44.2 scan only report

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Ricky Bach\Anwendungsdaten
Username: Ricky Bach

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (135 bytes, R)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (583 bytes, -)
Found System.ini file: C:\WINDOWS\system.ini (231 bytes, -)


Antwort

Themen zu Hijack durch easy-search.biz
access denied, ad-aware, adobe, antivirus, antivirus scan, aufrufe, bho, bitte um hilfe, ellung, excel, explorer, firefox, hijack, hijackthis, hilfe, internet, internet explorer, launch, logfile, mozilla, mozilla firefox, neustart, nicht, object, outlook express, problem, programme, registry, shockwave, software, symantec, system, windows, windows xp



Ähnliche Themen: Hijack durch easy-search.biz


  1. Search.EasyLifeApp.com bzw. Easy Life entfernen
    Anleitungen, FAQs & Links - 02.12.2013 (2)
  2. Delta Search und Babylon search - Malware durch Freeware, Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 16.07.2013 (37)
  3. HiJack- Search Settings exe und dll
    Log-Analyse und Auswertung - 10.11.2010 (13)
  4. Search Bar und Hijack des IE
    Log-Analyse und Auswertung - 22.08.2006 (3)
  5. Problem mit easy-search und Message Boxen
    Log-Analyse und Auswertung - 18.04.2005 (3)
  6. easy-search.biz
    Log-Analyse und Auswertung - 27.03.2005 (9)
  7. easy search
    Log-Analyse und Auswertung - 27.03.2005 (3)
  8. Easy-search.biz
    Log-Analyse und Auswertung - 14.03.2005 (1)
  9. web search hijack
    Log-Analyse und Auswertung - 19.12.2004 (1)
  10. Easy-Search als Startseite
    Log-Analyse und Auswertung - 11.11.2004 (3)
  11. http//easy-search.biz Hilfe!!!
    Log-Analyse und Auswertung - 10.11.2004 (8)
  12. easy-search.biz
    Log-Analyse und Auswertung - 31.10.2004 (8)
  13. easy-search.biz überschreibt IE Startseite
    Log-Analyse und Auswertung - 25.08.2004 (3)
  14. Wie krieg ich Casino Palazzo weg! Easy search ließ sich wegfixen
    Log-Analyse und Auswertung - 12.08.2004 (8)
  15. easy-search.biz
    Log-Analyse und Auswertung - 23.07.2004 (4)
  16. easy-search.biz u. casino palazzo verseucht
    Plagegeister aller Art und deren Bekämpfung - 16.07.2004 (17)
  17. W32.Aspam + Easy Search
    Log-Analyse und Auswertung - 15.07.2004 (5)

Zum Thema Hijack durch easy-search.biz - Bitte um Hilfe! Ich habe Troubles mit easy-search.biz: Ich kann nur mehr ganz wenige Sites aufrufen, bei den meisten kriege ich "Access Denied". Bin das ganze, in den div. Foren - Hijack durch easy-search.biz...
Archiv
Du betrachtest: Hijack durch easy-search.biz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.