Startseite Diamondsearch.info!

Brauche noch mal eure Hilfe!

Hab seit kurzer Zeit wieder mal eine hartnäckige Startseite namens diamondsearch.info bei mir drauf. Und ich finde einfach die Datei, oder was auch immer, die das auslöst, nicht. Hab schon alles probiert: CWShredder, Ad-Aware, Spybot Search and Destroy, Suche nach Schlüsselwörtern usw. Nichts hat geholfen. Ich kann sie zwar mit dem Proggy HiJackThis entfernen, aber nach jedem Neustart wieder da!

Hier mal das LogFile von HiJackThis:


Logfile of HijackThis v1.97.7
Scan saved at 12:33:58, on 06.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINXP1\System32\smss.exe
C:\WINXP1\system32\winlogon.exe
C:\WINXP1\system32\services.exe
C:\WINXP1\system32\lsass.exe
C:\WINXP1\system32\svchost.exe
C:\WINXP1\System32\svchost.exe
C:\WINXP1\system32\spoolsv.exe
C:\WINXP1\Explorer.EXE
C:\WINXP1\System32\sistray.EXE
C:\WINXP1\System32\khooker.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINXP1\System32\ctfmon.exe
C:\WINXP1\System32\devldr32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Dokumente und Einstellungen\jesus.XUQG7UBXMSJ8JTP\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://diamondsearch.info/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://diamondsearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://diamondsearch.info/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://diamondsearch.info/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://diamondsearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://diamondsearch.info/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://diamondsearch.info/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://diamondsearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://diamondsearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://diamondsearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://diamondsearch.info/search.html
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP1\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS Tray] C:\WINXP1\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINXP1\System32\khooker.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Truefonts] C:\WINXP1\Fonts\fonts.hta
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINXP1\system32\rundll32.vbe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINXP1\SiSUSBrg.exe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINXP1\system32\rundll32.vbe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP1\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINXP1\system32\rundll32.vbe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Kann da jemand was entdecken, was der Auslöser für diesen Mist ist?

Und gleich noch eine Frage zu diesem LogFile:

Da taucht 3 x eine Datei namens rundll32.vbe als Windows Security Assistant auf! Kann damit jemand was anfangen? Ist die Datei wichtig? Taucht nämlich erst im LogFile auf, seit ich diesen Startseiten-Mist habe!

 

Und weil die "Machswiedergut"-Programme IMMER den "ManipulierdenIE"-Programmen hinterherhinken, hat sich das höchstens für ein paar Tage erledigt.

 

@ManniBear


Da hab ich Tr***** doch glatt vrgessen, das neueste Update für den CWShredder zu ziehen!

Vielen Dank! Das hatts endlich gelöst!

Mittlerweile gibts ja sogar schon die Version 1.44!

 

Bei der rundll32.vbe handelt es sich vermutlich um eine CoolWebSearch-Variante:

"CWS.Alfasearch.3: A mutation of this variant exists, that hijacks IE to www.alfa-search.com, and reinstalls by running an encryped VBS script from three places in the Registry, named rundll32.vbe using the name Windows Security Assistant."

http://www.merijn.org/cwschronicles.html#alfasearch

Hattest du denn die aktuelle Version 1.43 vom 06.01.04 von CWShredder zum Scannen benutzt?

"CWShredder 1.43.0000
* Updated for new CWS.Aff.Toolband variant (hijacks to kliksearch.com).
* Bugfix for removal of the CWS.Alfasearch.3 variant (rundll32.vbe).
* Removal support for possible CWS.Alfasearch.4 variant (winsec.exe, similar to rundll32.vbe)."

http://forums.net-integration.net/index.php?showtopic=9156

Mfg Manni

 

Na was soll es damit schon auf sich haben? Es ist Malware.

 

@trudenbiker


Ne, nix dergleichen gefunden! Weder in der Registry unter ...runOnce, noch bei ... run! Kann ja sein, daß AntiVir das schon alles entfernt hatte.

Nur das Startseiten-Problem besteht weiterhin!

Und zu meiner 2. Frage im Ursprungs-Post:

Kann mir bitte mal einer erklären, was das mit dieser rundll32.vbe auf sich hat?

 

jetzt lass mal den Antivir und schau mal, ob das in deiner registry steht:

Troj/StartPag-C ist ein JavaScript, das sich als Update911.js in den Windows-Ordner kopiert und den folgenden Registrierungseintrag erstellt, damit er beim Systemneustart aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\TLC

Troj/StartPag-C erstellt außerdem die folgenden Registrierungseinträge, um die Startseite des Internet Explorers auf eine Such-Website einzustellen:

HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
= http://81.211.105.9/search.php?v=1
HKCU\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL = 1
HKCU\Software\Microsoft\Internet Explorer\Main\Use Search Asst = no

wenn ja - ändern, wie bei sophos beschrieben.

2. steele's hinweis befolgen, bevor man wieder süüüüüüürft

 

Auch AntiVir hat leider nicht geholfen!

Das Problem besteht nach wie vor!

 

Aha, also nicht zum ersten Mal.
All die tollen Hilfs- und Säuberungstools konnten bisher nicht wirklich helfen oder gar erneute Probleme verhindern.
Was lehrt uns dies?
Das Problem ist nicht der Browser-Hijacker oder Trojaner, sondern jenes Programm, das sich IMMER WIEDER manipulieren lässt.
Dieses Programm ist der Internet Explorer. IE steht aber in diesem Fall für Intruder Extension
Damit das ein Ende hat, wechselt man den Browser. So einfach ist das.

 

@nevok


Bin grade dabei, mit AntiVir mal zu überprüfen. Hat schon 3 Dateien gefunden, die den Trojaner TR/StartPage.AU.3 beinhalteten.

Können diese Sachen der Auslöser gewesen sein?

 

@nevok


Habe ich beides schon gemacht!

Hab heute erst die aktuellen Updates für beide Proggy's gezogen. Hat trotzdem nichts genutzt!

 

@ ralhoh

Der Trojaner wird wahrscheinlich der Grund sein, warum nach jedem Neutstart die Startseite im Internet wieder verändert wurde.

 

Vireninfo - Sieht nach dem Grund aus

 

Hab isch doch glatt überlesen

 

Hat er doch schon benutzt.

 

Wie wäre es hiermit(CWShredder)

 

Hast du schon einene Viren- bzw. Trojanerscan gemacht?

 

Hallo ralhoh

Lade dir mal Ad-Aware und Spybot herunter, installiere beide Programme, lade dir die neusten Updates für die Programme herunter und scanne mit beiden Programmen (erst mit dem einen, dann mit dem anderen) deinen Rechner.

Wenn du in Zukunft vor solchen Dingen gefeiht sein willst, dann solltest auf auf Mozilla oder Opera wechseln.

Der Auslöser wird Adware oder Malware sein. Ob die Datei "rundll32.vbe" wichtig ist, kann ich dir leider nicht sagen, auch das Protokoll sagt mir nicht viel. Evtl. hat Steele aber noch 'ne Idee.

Gruß
Nevok