Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Seltsame Programme "installiert" (https://www.trojaner-board.de/7111-seltsame-programme-installiert.html)

rudiwillauch 25.08.2004 20:24
Seltsame Programme "installiert"
 
Hallo,
ich weiss nicht, ob ich hier an der richtigen Stelle poste, aber irgendwie habe ich merkwürdige Software auf meinem System.
Unter "Zur Zeit installierte Software" findet sich u.a.:

- Home Search Assistant
- Search Extender
- Shopping Wizard

Für mich haben die keine "sichtbaren Auswirkungen", aber ich würd schon gern wissen,
was die da machen und vorallem, wie ich die da weg bekomme?

eScan und Ad-aware haben zwar einiges gefunden und gelöscht,
aber HighjackThis findet z.B. nur dies:

Logfile of HijackThis v1.98.2
Scan saved at 21:20:15, on 25.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\ANTI\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickDVBT] C:\Programme\AVerTV DVB-T\QuickDVB-T.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

Cidre 25.08.2004 21:15
Hallo,

Zitat:
Für mich haben die keine "sichtbaren Auswirkungen", aber ich würd schon gern wissen,
was die da machen und vorallem, wie ich die da weg bekomme?
Die Ursache ist, daß dein Browser hijacked (entführt)wurde. Die Auswirkung sollte eine verstellte Startseite sein, sowie Popups und die wiederkehrende Suchmaschine.

Abhilfe:
Deinstalliere alle drei Programme. Danach mit aktualisierten eScan nochmals im abgesicherten Modus scannen und die Virus Log Information posten.

rudiwillauch 26.08.2004 10:04
Hi Cidre,
deinstalliern würd ich ja gern, nur wenn man unter Systemsteuerung-Software auf ändern klickt, passiert garnichts ausser das ein browser fenster aufgeht und mich auffordert Software zum deinstallieren zu installieren :koch:

????

rudiwillauch 26.08.2004 10:47
...achja


Zitat:
Die Auswirkung sollte eine verstellte Startseite sein, sowie Popups und die wiederkehrende Suchmaschine.
gibts nicht??? :confused:

rudiwillauch 27.08.2004 08:14
hallo zusammen,
habe eScan im abgesicherten Modus laufen lassen, hat noch kleinigkeiten gefunden, die aber definitiv nichts mit dem unten geschilderten problem zu tun haben.

eine registry-suche konnte nur eines der drei unten genannten programme finden, die beiden anderen tauchen immernoch unter systemsteuerung-software auf.

deinstallieren lassen sie sich aus den schon genannten gründen auch nicht.

vom gehijacked-ten browser bemerke ich nichts, keine popups, keine startseiten etc.

kann es sein, das da nur noch reste angezeigt werden, die inaktiv sind?
die frage bleibt trotzdem: wie bekomm ich die weg?

kann jemand helfen?

Shadow 27.08.2004 10:11
Es ist möglich, dass die Programme nur noch "Leichen" in der Softwareübersicht sind und z.B. die Programme selber durch Tools wie eScan und AdAware schon gelöscht wurden.
Such mal ob du irgendwo anders noch Hinweise auf deren Existenz findest

Ansonsten:
"Durch eine fehlerhafte Installation oder Deinstallation können Einträge in der Systemsteuerung unter Software zurückbleiben. Dies verhindert unter Umständen die Neuinstallation des Programms.

Um den alten Eintrag zu entfernen, löscht man in der Registry unter

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall

den betreffenden Unterschlüssel des Programms komplett. Sollte das Programm nicht in der Liste zu finden sein, hat es möglicherweise ein ID statt einen Namen angelegt. In diesem Fall schaut man bei den kryptischen Einträgen in dem Key DisplayName nach der echten Beschreibung."


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131