Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.09.2004, 16:25   #1
simsab
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Hallo,
jedesmal wenn ich den Internet-Explorer öffne verschwindet die leere Startseite und es öffnet sich eine Seite namens "Home Search" eine Art Suchmaschine. Ausserdem öffnen sich alle paar Minuten lässtige Pop-Ups, die den Namen "Only the Best" tragen mit unterschiedlichen Werbungen.
Aber jetzt ist der Gipfel erreicht denn heute war zum ersten mal eine Werbung mit pornografischem Inhalt bei den Pop-Ups dabei und da auch Kinder meinen PC benutzen muss dieses Programm endlich runter.
Ich hatte schon mal hier einen Thread gepostet, aber ich konnte diesen Nervtöter damals nicht loswerden und ich hoffe ich habe diesmal mehr Glück und ich wäre sehr dankbar wenn ihr helft?

Ich weiss mein Internet-Explorer ist veraltet, aber sobald das Ding ausgemerzt ist, lade ich den neuen runter, denn momentan bin ich nie länger wie 10 min im Internet.

Hier mein HiJackThis-Log:

Logfile of HijackThis v1.98.2
Scan saved at 17:24:25, on 19.09.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\crcf.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\Explorer.exe
E:\WINNT\loadqm.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINNT\system32\apijs32.exe
E:\Programme\ELSAlan\LANmonitor\lanmon.exe
E:\WINNT\System32\drwtsn32.exe
E:\Dokumente und Einstellungen\Armin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9A8D4D68-0153-AAF1-ACFC-C5FC66D84B5B} - E:\WINNT\system32\javalr32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntqj32.exe] E:\WINNT\system32\ntqj32.exe
O4 - HKLM\..\Run: [apijs32.exe] E:\WINNT\system32\apijs32.exe
O4 - Global Startup: lanmon.lnk = E:\Programme\ELSAlan\LANmonitor\lanmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O12 - Plugin for .mid: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254

Alt 19.09.2004, 16:42   #2
*Christian*
Gast
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Nicht nur dein IE ist veraltet - sondern auch dein System.
Bitte drigend www.windowsupdate.com besuchen und alle Patches und Updates installieren.

Das blöde an deiner Geschichte:
Du hast wahrscheinlich unbekannte Malware auf deinem System:

E:\WINNT\crcf.exe
E:\WINNT\system32\apijs32.exe
E:\WINNT\system32\javalr32.dll

Würdest du diese Dateien finden, dann würde diese Malware zukünftig erkannt werden.
Schau mal nochmal unter den Ordneroptionen, ob "Alle Dateien anzeigen" und "Geschütze Systemdateien anzeigen" aktiviert sind.
So oder so ähnlich sollte dies heissen.
Findest du die Dateien, dann sende sie an partytime-germany.ice@web.de

Vielleicht kann ja jemand anderes noch etwas dazu sagen.

Mit HijackThis fixe jedenfall mal dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9A8D4D68-0153-AAF1-ACFC-C5FC66D84B5B} - E:\WINNT\system32\javalr32.dll

Das fixen wird aber wahrscheinlich nicht viel nützen, da ja die Dateien die für dies verantwortlich sind, noch auf dem System sind.
__________________


Alt 19.09.2004, 16:59   #3
simsab
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Ich habe dir die Dateien zugeschickt.
Sie sind in einer Zip-Datei verpackt und heissen Dateinen.zip (0.12 MB).
Das Fixen mit HijackThis hilft nix, weil sichs ja gleich wieder installiert, aber ich hab ja jetzt endlich die Auslöserdateien gefunden!
__________________

Alt 19.09.2004, 17:01   #4
*Christian*
Gast
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Warum hast du jetzt die Dateien gefunden und vorher nicht?
Was sind die "Auslöser-Dateien"?

PS: ClamAV (Virenscanner von web.de) hat das ganze Archiv wegen der bekannten dll-Datei gelöscht. Bitte schick mir die Dateien nochmal und vergebe diesmal ein Passwort für das zipfile.

Alt 19.09.2004, 17:04   #5
simsab
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Weil ich diesmal auch "Geschütze Systemdateien anzeigen" aktiviert hab!
Keine Ahnung was die Auslöserdateien sind?
Ich hab dir nur die Dateien geschickt:
E:\WINNT\crcf.exe
E:\WINNT\system32\apijs32.exe
E:\WINNT\system32\javalr32.dll

Zweite Mail wurde abgeschickt.


Geändert von simsab (19.09.2004 um 17:10 Uhr)

Alt 19.09.2004, 17:10   #6
*Christian*
Gast
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Poste nun mal ein neues HijackThis-Log.

Alt 19.09.2004, 17:13   #7
simsab
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Muss ich vorher die Dateien löschen?

(Ich weiß ich stell mich dumm an, aber ich hab sonst nicht viel mit meinem PC zu tun ausser ins Internet hin und wieder zu gehen... )

Alt 19.09.2004, 17:17   #8
*Christian*
Gast
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Versuche es bitte nochmal.
Du hast kein Passwort vergeben.
Warte mit den löschen, bis ich die Dateien habe.
Ich sag dir dann, wie es weitergeht ...

Alt 19.09.2004, 17:50   #9
*Christian*
Gast
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Lösche diese Dateien im abgesicherten Modus:

E:\WINNT\crcf.exe
E:\WINNT\system32\apijs32.exe
E:\WINNT\system32\javalr32.dll
E:\WINNT\system32\ntqj32.exe (wenn vorhanden)


In den abg. Modus gelangst du, wenn du beim Booten/Starten des PC's die F8-Taste drückst. Wähle nun den abg. Modus aus.

Anschließend fixe dies mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9A8D4D68-0153-AAF1-ACFC-C5FC66D84B5B} - E:\WINNT\system32\javalr32.dll
O4 - HKLM\..\Run: [ntqj32.exe] E:\WINNT\system32\ntqj32.exe
O4 - HKLM\..\Run: [apijs32.exe] E:\WINNT\system32\apijs32.exe

Poste nun ein neues HijackThis-Log.

Wichtig: Bitte besuche umgehend www.windowsupdate.com , sonst hast du das Problem bald wieder.

Alt 19.09.2004, 18:13   #10
simsab
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



Logfile of HijackThis v1.98.2
Scan saved at 19:21:23, on 19.09.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\Explorer.exe
E:\WINNT\loadqm.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\ELSAlan\LANmonitor\lanmon.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\MSN Messenger\msnmsgr.exe
E:\Dokumente und Einstellungen\Armin\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: lanmon.lnk = E:\Programme\ELSAlan\LANmonitor\lanmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O12 - Plugin for .mid: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254

Ich hoffe es hält...

Alt 19.09.2004, 18:34   #11
*Christian*
Gast
 
IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Standard

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?



System updaten: www.windowsupdate.com

Antwort

Themen zu IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?
.inf, 192.168.0.2, bho, dateien, desktop, einstellungen, hijack, hilfe, home, infiziert, internet explorer, internet-explorer, loswerden, microsoft, monitor, neue, pop-ups, programm, programme, software, sun java, system, system32, tan, tcpip, update, urlsearchhook, windows, öffnet



Ähnliche Themen: IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?


  1. Fehlerhinweis "Ungültiges Bild" unter WINDOWS 7: "C:\PROGRA~2\SEARCH~2\SEARCH~1\bin\VC32LO~1.DLL" +
    Log-Analyse und Auswertung - 19.04.2015 (9)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. Windows XP Nach Installation von HP Player immer zwei Startseiten beim Öffnen von Google chrome "start.iminent.com" und "Search gol"
    Log-Analyse und Auswertung - 08.10.2013 (5)
  5. "NAV-Links" und "Certified-Toolbar (Search)" rauben mir den letzten Nerv! Was tun?
    Log-Analyse und Auswertung - 23.08.2013 (8)
  6. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  7. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  8. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  9. Computerverschlüsselungstrojaner WinXP Home, Folge HDD "C" und "D" verschlüsselt
    Log-Analyse und Auswertung - 05.05.2012 (9)
  10. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  11. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  12. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  13. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  14. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  15. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)
  16. Problem mit "Home Search", wer weiß was ich löschen muss ???
    Plagegeister aller Art und deren Bekämpfung - 09.10.2004 (4)
  17. Hilfe! Wie entferne ich "Home Search" aus dem IE?
    Log-Analyse und Auswertung - 04.09.2004 (35)

Zum Thema IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? - Hallo, jedesmal wenn ich den Internet-Explorer öffne verschwindet die leere Startseite und es öffnet sich eine Seite namens "Home Search" eine Art Suchmaschine. Ausserdem öffnen sich alle paar Minuten lässtige - IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?...
Archiv
Du betrachtest: IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.