Search Extender

Bond999 · 18.10.2004, 10:58

Hallo ich ahbe mir den Search Extender eingefangen.
Ist das schlimm? Hoffe nicht! Wenn ja was muss ich machen?
Bond999

chaosman · 18.10.2004, 12:24

@Bond999
downloade Hijackthis
http://www.trojaner-board.de/51130-a...ijackthis.html
mache ein scan, poste hier das ergebnis
chaosman

Bond999 · 18.10.2004, 12:42

Logfile of HijackThis v1.98.2
Scan saved at 13:42:55, on 18.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\NetMeeting\conf.exe
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\22M WLAN\WLANMON.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\IRCplus 2000\IRCplus.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Palm\HOTSYNC.EXE
D:\Teamspeak2 Server\server_windows.exe
C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~3\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~2\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
D:\Programme\ICQLite\ICQLite.exe
D:\WWW File Share Pro2\WWWFileSharePro.exe
D:\apachefriends\xampp\mysql\bin\mysqld.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\COMPUT~1\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://zond.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find777.com/sp.html
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [d3rr.exe] C:\WINDOWS\d3rr.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Programme\NetMeeting\conf.exe" -Background
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - HKCU\..\Run: [WWW File Share Pro] D:\WWW File Share Pro\WWWFileSharePro.exe /1
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: TeamSpeak 2 Server.lnk = D:\Teamspeak2 Server\server_windows.exe
O4 - Startup: Verknüpfung mit DeeEnEs.lnk = C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - Global Startup: 22M WLAN-Adapter-Utility.lnk = ?
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\4.bin\MWSOEMON.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {3F0F4FF4-DF46-463C-BB3F-BE4C519B0527} - D:\onlineTV\onlineTV.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABFA7B17-2F82-41A2-8F87-306C815702F2}: NameServer = 192.168.1.1

Bond999

chaosman · 18.10.2004, 17:43

@Bond999
wechsle in den abgesicherte modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://zond.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find777.com/sp.html
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe
O4 - HKLM\..\Run: [d3rr.exe] C:\WINDOWS\d3rr.exe
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - Startup: TeamSpeak 2 Server.lnk = D:\Teamspeak2 Server\server_windows.exe

lösche manuell:
D:\Teamspeak2 Server\server_windows.exe
C:\WINDOWS\d3rr.exe
C:\WINDOWS\system32\Launcher.exe
starte neu, lade dir escan
http://www.mwti.net/antivirus/free_utilities.asp
lese den anleitung
http://www.trojaner-board.de/showthread.php?t=8131
und führe es genauso durch
mache dann ein neuen scan HJT, hier posten
ich rate dir dein surfverhalten zu ändern,dass sind wahrscheinlich deine malwareschleuder
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\IRCplus 2000\IRCplus.exe
D:\Programme\ICQLite\ICQLite.exe
chaosman

Shadowdance · 20.10.2004, 04:18

@ Bond999,

wenn Du Dein System noch nicht laut Anweisung von chaosman gefixed hast, habe ich eine Bitte an Dich:

Downloade bitte zunächst Spybot-Search & Destroy 1.3, lade Dir dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis. Scanne damit Deinen Rechner, lass bestehende Probleme beheben. Erstelle dann einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "Directwebsearch-TBOARD" - zu Forschungszwecken. -> Danke!

SD

Bond999 · 20.10.2004, 12:07

Zitat:

wenn Du Dein System noch nicht laut Anweisung von chaosman gefixed hast, habe ich eine Bitte an Dich:

Ne habe ich noch nicht.
Ich weiß garnicht ob ich Spybot habe?!?

Zitat:

lösche manuell:
D:\Teamspeak2 Server\server_windows.exe
C:\WINDOWS\d3rr.exe
C:\WINDOWS\system32\Launcher.exe
starte neu, lade dir escan
http://www.mwti.net/antivirus/free_utilities.asp
lese den anleitung
http://www.trojaner-board.de/showthread.php?t=8131
und führe es genauso durch
mache dann ein neuen scan HJT, hier posten
ich rate dir dein surfverhalten zu ändern,dass sind wahrscheinlich deine malwareschleuder
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\IRCplus 2000\IRCplus.exe
D:\Programme\ICQLite\ICQLite.exe
chaosman

Wieso muss ich D:\Teamspeak2 Server\server_windows.exe löschen???
Diese Datei brauche ich damit mein Teamspeak Server läuft. Oder wird der dannach auch noch laufen?!?

Search Extender

Log-Analyse und Auswertung: Search Extender

Search Extender

Search Extender

Search Extender

Search Extender

Search Extender

Search Extender

Ähnliche Themen: Search Extender

18.10.2004, 10:58	#1
Bond999	Search Extender Hallo ich ahbe mir den Search Extender eingefangen. Ist das schlimm? Hoffe nicht! Wenn ja was muss ich machen? Bond999

18.10.2004, 12:24	#2
chaosman	Search Extender @Bond999 downloade Hijackthis http://www.trojaner-board.de/51130-a...ijackthis.html mache ein scan, poste hier das ergebnis chaosman __________________ __________________