Problemen mit 180search Assistant

Wie werd ich das teil los

Hilfe bei Problemen mit 180search Assistant

Ich habe mir anscheinend 180search Assistant eingefangen. Wenn ich mit ZoneAlarm einen Spyware scan durchführe findet er ihn. Habe schon versucht ihn zu Löschen doch dies hatte keinen efekt. Habe ihn jetzt unter Quarantäne gestellt. Weiß einer wie ich das ding sicher los werde?

Zum System:
Windows XP Pro SP2
FireFox 2.0.0.1
FireWall: ZoneAlarm Pro
Virus Scan: AVG 7.5

Logfile of HijackThis v1.99.1
Scan saved at 17:09:25, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Meine Dateien\FireFox Download\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup  
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start  
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Programme\Storm Codec\StormSet.exe" /S /opti  
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"  
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [NewsBee Private Edition] "C:\Programme\hhS Siegfried Hirsch\NewsBee2\newsbee2.exe" /nosplash  
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe (file missing)  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe  
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Please also mark the comments that contributed to the solution of the article

Content-Key: 50919

Url: https://administrator.de/contentid/50919

Printed on: April 16, 2024 at 05:04 o'clock

3 Comments

Latest comment

hallo,
bei dem 180Search-Assistant handelt es sich um Adware, um die loszuwerden musst du ein spezielles Tool runterladen und ausfuehren:
http://securityresponse.symantec.com/avcenter/Fix180Sh.exe

-bitte die Systemwiederherstellung vorher ausschalten und alle bisherigen Wiederherstellungspunkte loeschen-

Danach ueberpruefen, ob die Adware korrekt entfernt wurde [mal die Folgenden Ordner und Registrierdatenbankschluessel von Hand ueberpruefen]:

When Adware.180Search is executed, it does the following:

1. May create the following folder:

%Windir%\FLEOK\

Notes:
%Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000).

2. Installs itself to one or more of the following locations:

%ProgramFiles%\180search Assistant\sain.exe
%ProgramFiles%\180search Assistant\hsr.dll
%ProgramFiles%\180search Assistant\sau.exe
%ProgramFiles%\180search Assistant\sau.log
%ProgramFiles%\180search Assistant\sau.dll
%ProgramFiles%\180search Assistant\sau_[3 RANDOM LETTERS].dat
%ProgramFiles%\180search Assistant\sauau.dat
%ProgramFiles%\180search Assistant\sac.exe
%ProgramFiles%\180searchassistant\salm.exe
%ProgramFiles%\180searchassistant\salmau_update.dat
%ProgramFiles%\180searchassistant\salm.dat
%ProgramFiles%\180searchassistant\salm_[3 RANDOM LETTERS].dat
%ProgramFiles%\180searchassistant\salm_3 RANDOM LETTERS]_update.dat
%ProgramFiles%\180searchassistant\sac_[3 RANDOM LETTERS]_update.dat
%ProgramFiles%\180searchassistant\sac_[3 RANDOM LETTERS].dat
%ProgramFiles%\180searchassistant\sackyf.dat
%ProgramFiles%\180searchassistant\sacau.dat
%Windir%\[RANDOM FILE NAME].exe
%Windir%\salm.exe
%Windir%\salm[Random letters].dat
%Windir%\salm_gdf.dat
%Windir%\salm_kyf.dat
%Windir%\salm.log
%Temp%\180sainstallernusalm.exe
%UserProfile%\Local Settings\Temp\180ax.exe
%UserProfile%\Local Settings\Temp\180ax.log
%Windir%\ClientInstaller.log

Notes:

%ProgramFiles% is a variable that refers to the program files folder.

%Windir% is a variable that refers to the Windows installation folder.

%Temp% is a variable that refers to the Windows temporary folder.

%UserProfile% is a variable that refers to the current user's profile folder.

%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\Uninstall 180search Assistant Instructions.lnk

Words typed into the Web browser.
The address of Web site that words were typed into.
Operating System version (including service pack).
Web browser used (including exact version number).
Screen width and height.

Danke,

Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?

Da meine Firewall mich immer in kentnies setzt wer grade auf das internet zugreifen will würd mich da mal interessieren wie der Prozzes heist der die daten "wenn ich ihn den drauf habe" an den Sever sendet.

Schau im Prozessexplorer und auf dem Rechner nach:
Msbb.exe
sac.exe
sau.exe
salmbundle.exe
Boomerang.exe
setup4156.exe
180SAInstaller.dll
1802.dll

Telena schrieb:
"Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?"

darum schrieb ich, dass Du das alles von Hand nocheinmal nachpruefen sollst. Die genauen Informationen, die Du dazu brauchst hatte ich Dir ja auch gegeben...

saludos
gnarff

German solved Question Viruses, Trojans Security