Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problemen mit 180search Assistant

Frage Sicherheit Viren und Trojaner

Mitglied: 25521

25521 (Level 1)

06.02.2007, aktualisiert 10.02.2007, 4770 Aufrufe, 3 Kommentare

Wie werd ich das teil los

Hilfe bei Problemen mit 180search Assistant

Ich habe mir anscheinend 180search Assistant eingefangen. Wenn ich mit ZoneAlarm einen Spyware scan durchführe findet er ihn. Habe schon versucht ihn zu Löschen doch dies hatte keinen efekt. Habe ihn jetzt unter Quarantäne gestellt. Weiß einer wie ich das ding sicher los werde?


Zum System:
Windows XP Pro SP2
FireFox 2.0.0.1
FireWall: ZoneAlarm Pro
Virus Scan: AVG 7.5

01.
Logfile of HijackThis v1.99.1 
02.
Scan saved at 17:09:25, on 06.02.2007 
03.
Platform: Windows XP SP2 (WinNT 5.01.2600) 
04.
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) 
05.
 
06.
Running processes: 
07.
C:\WINDOWS\System32\smss.exe 
08.
C:\WINDOWS\system32\winlogon.exe 
09.
C:\WINDOWS\system32\services.exe 
10.
C:\WINDOWS\system32\lsass.exe 
11.
C:\WINDOWS\system32\Ati2evxx.exe 
12.
C:\WINDOWS\system32\svchost.exe 
13.
C:\WINDOWS\System32\svchost.exe 
14.
C:\WINDOWS\system32\Ati2evxx.exe 
15.
C:\WINDOWS\Explorer.EXE 
16.
C:\WINDOWS\system32\spoolsv.exe 
17.
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe 
18.
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE 
19.
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe 
20.
C:\WINDOWS\htpatch.exe 
21.
C:\WINDOWS\CTHELPER.EXE 
22.
C:\WINDOWS\system32\rundll32.exe 
23.
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe 
24.
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE 
25.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe 
26.
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe 
27.
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe 
28.
C:\WINDOWS\system32\CTsvcCDA.exe 
29.
C:\WINDOWS\system32\oodag.exe 
30.
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 
31.
C:\WINDOWS\system32\svchost.exe 
32.
D:\Programme\VMware Workstation\vmware-authd.exe 
33.
C:\WINDOWS\system32\vmnat.exe 
34.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe 
35.
C:\WINDOWS\system32\MsPMSPSv.exe 
36.
C:\WINDOWS\system32\vmnetdhcp.exe 
37.
C:\Programme\Mozilla Firefox\firefox.exe 
38.
C:\WINDOWS\system32\notepad.exe 
39.
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE 
40.
E:\Meine Dateien\FireFox Download\HijackThis.exe 
41.
 
42.
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 
43.
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll 
44.
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r 
45.
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE 
46.
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE 
47.
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP 
48.
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe 
49.
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup 
50.
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start 
51.
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime 
52.
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe 
53.
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe 
54.
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE 
55.
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Programme\Storm Codec\StormSet.exe" /S /opti 
56.
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent 
57.
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" 
58.
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu 
59.
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction 
60.
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE 
61.
O4 - HKCU\..\Run: [NewsBee Private Edition] "C:\Programme\hhS Siegfried Hirsch\NewsBee2\newsbee2.exe" /nosplash 
62.
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 
63.
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 
64.
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe (file missing) 
65.
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe (file missing) 
66.
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe 
67.
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe 
68.
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll 
69.
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe 
70.
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe 
71.
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe 
72.
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe 
73.
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe 
74.
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe 
75.
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe 
76.
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe 
77.
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 
78.
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe 
79.
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware Workstation\vmware-authd.exe 
80.
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe 
81.
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe 
82.
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Mitglied: gnarff
10.02.2007 um 02:38 Uhr
hallo,
bei dem 180Search-Assistant handelt es sich um Adware, um die loszuwerden musst du ein spezielles Tool runterladen und ausfuehren:
http://securityresponse.symantec.com/avcenter/Fix180Sh.exe

-bitte die Systemwiederherstellung vorher ausschalten und alle bisherigen Wiederherstellungspunkte loeschen-

Danach ueberpruefen, ob die Adware korrekt entfernt wurde [mal die Folgenden Ordner und Registrierdatenbankschluessel von Hand ueberpruefen]:

When Adware.180Search is executed, it does the following:

1. May create the following folder:

%Windir%\FLEOK\

Notes:
%Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000).

2. Installs itself to one or more of the following locations:

                      • %ProgramFiles%\180search Assistant\sain.exe
                      • %ProgramFiles%\180search Assistant\hsr.dll
                      • %ProgramFiles%\180search Assistant\sau.exe
                      • %ProgramFiles%\180search Assistant\sau.log
                      • %ProgramFiles%\180search Assistant\sau.dll
                      • %ProgramFiles%\180search Assistant\sau_[3 RANDOM LETTERS].dat
                      • %ProgramFiles%\180search Assistant\sauau.dat
                      • %ProgramFiles%\180search Assistant\sac.exe
                      • %ProgramFiles%\180searchassistant\salm.exe
                      • %ProgramFiles%\180searchassistant\salmau_update.dat
                      • %ProgramFiles%\180searchassistant\salm.dat
                      • %ProgramFiles%\180searchassistant\salm_[3 RANDOM LETTERS].dat
                      • %ProgramFiles%\180searchassistant\salm_3 RANDOM LETTERS]_update.dat
                      • %ProgramFiles%\180searchassistant\sac_[3 RANDOM LETTERS]_update.dat
                      • %ProgramFiles%\180searchassistant\sac_[3 RANDOM LETTERS].dat
                      • %ProgramFiles%\180searchassistant\sackyf.dat
                      • %ProgramFiles%\180searchassistant\sacau.dat
                      • %Windir%\[RANDOM FILE NAME].exe
                      • %Windir%\salm.exe
                      • %Windir%\salm[Random letters].dat
                      • %Windir%\salm_gdf.dat
                      • %Windir%\salm_kyf.dat
                      • %Windir%\salm.log
                      • %Temp%\180sainstallernusalm.exe
                      • %UserProfile%\Local Settings\Temp\180ax.exe
                      • %UserProfile%\Local Settings\Temp\180ax.log
                      • %Windir%\ClientInstaller.log

Notes:
                      • %ProgramFiles% is a variable that refers to the program files folder.
                      By default, this is C:\Program Files.
                                          • %Windir% is a variable that refers to the Windows installation folder.
                                          By default, this is C:\Windows (Windows 95/98/Me/XP) or
                                          C:\Winnt (Windows NT/2000).
                                                              • %Temp% is a variable that refers to the Windows temporary folder.
                                                              By default, this is C:\Windows\TEMP (Windows 95/98/Me/XP) or
                                                              C:\WINNT\Temp (Windows NT/2000).
                                                                                  • %UserProfile% is a variable that refers to the current user's profile folder.
                                                                                  By default, this is C:\Documents and Settings\[Current User] (Windows NT/2000/XP).

                                                                                  3. May create the following files:

                                                                                  *%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\180search Assistant.com.url
                                                                                                      • %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\Uninstall 180search Assistant Instructions.lnk

                                                                                                      Note: %SystemDrive% is a variable that refers to the drive on which
                                                                                                      Windows is installed. By default, this is drive C.

                                                                                                      4. May add the values:

                                                                                                      "MSBB" = "[PATH TO FILE]"
                                                                                                      "sau" = "%ProgramFiles%\180search assistant\sau.exe"
                                                                                                      "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
                                                                                                      "sain" = "%ProgramFiles%\180search assistant\sain.exe"
                                                                                                      "salm" = "[PATH TO FILE]\"salm.exe"
                                                                                                      "180ax" = "%userprofile%\local settings\temp\180ax.exe"
                                                                                                      "[RANDOM FILE NAME]" = "%Windir%\[RANDOM FILE NAME].exe"

                                                                                                      to the registry subkey:

                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

                                                                                                      so that the risk runs when every time Windows starts.

                                                                                                      5. Creates some of the following registry entries:

                                                                                                      HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
                                                                                                      HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
                                                                                                      HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
                                                                                                      HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
                                                                                                      HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\sau
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\sac
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\sain
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\salm
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\180ax
                                                                                                      HKEY_CURRENT_USER\Software\sau
                                                                                                      HKEY_CURRENT_USER\Software\sac
                                                                                                      HKEY_CURRNET_USER\Software\sain
                                                                                                      HKEY_CURRENT_USER\SOFTWARE\salm
                                                                                                      HKEY_CURRENT_USER\SOFTWARE\180ax
                                                                                                      HKEY_CURRENT_USER\Software\180solutions
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
                                                                                                      \Uninstall\180ax
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
                                                                                                      \Uninstall\nCASE
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
                                                                                                      \Uninstall\msbb
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
                                                                                                      \Uninstall\sac
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
                                                                                                      \Uninstall\sain
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
                                                                                                      \Uninstall\salm
                                                                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
                                                                                                      \Uninstall\sau

                                                                                                      6. May add the value:

                                                                                                      "LoginSessionDisable" = "1"

                                                                                                      to the registry key:

                                                                                                      HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

                                                                                                      to prevent the risk from causing the system to automatically dial to an ISP.

                                                                                                      7. Monitors the contents of Web browser windows. When certain (configurable) keywords are detected in Web search or shopping browser windows, the adware displays the Web page of a partner site. The information collected includes:

                                                                                                                          • Words typed into the Web browser.
                                                                                                                          • The address of Web site that words were typed into.
                                                                                                                          • Operating System version (including service pack).
                                                                                                                          • Web browser used (including exact version number).
                                                                                                                          • Screen width and height.

                                                                                                      8. Monitors the state of the adware application, if the adware is partially removed, it will reinstall the missing components.

                                                                                                      Viel Erfolg...

                                                                                                      saludos
                                                                                                      gnarff
Bitte warten ..
Mitglied: 25521
10.02.2007 um 16:53 Uhr
Danke,

Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?

Da meine Firewall mich immer in kentnies setzt wer grade auf das internet zugreifen will würd mich da mal interessieren wie der Prozzes heist der die daten "wenn ich ihn den drauf habe" an den Sever sendet.
Bitte warten ..
Mitglied: gnarff
10.02.2007 um 18:04 Uhr
Schau im Prozessexplorer und auf dem Rechner nach:
Msbb.exe
sac.exe
sau.exe
salmbundle.exe
Boomerang.exe
setup4156.exe
180SAInstaller.dll
1802.dll



Telena schrieb:
"Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?"


darum schrieb ich, dass Du das alles von Hand nocheinmal nachpruefen sollst. Die genauen Informationen, die Du dazu brauchst hatte ich Dir ja auch gegeben...

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Zertifikate: Schwerer Fehler bei Globalsign führt zu HTTPS-Problemen

Link von Frank zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...