Hilfe! Searchya Addon - Virus?!

    Hallo,

    Wir haben uns dieses searchya-ärgernis eingefangen. habe zuerst im internet nur englische infoseiten dazugefunden
    und eine hat dazu geraten bestimmte dateien zu löschen, erst später habe ich irgendwo gelesen das das wohl nicht gut war.

    wie dem auch sei, es hat nichts genutzt, stand der dinge:

    - startseite ändert sich immer wieder zurück zu "searchya.com"
    - oft öffnet sich ein fenster und meldet irgendeinen unfug

    ich hab gelesen, dass es wohl ein ernstzunehmender virus ist, frage mich allerdings wofür wir uns kaspersky besorgt haben, der das problem noch nicht mal erkennt.


    hier die logdatei von malwarebytes:

    Malwarebytes Anti-Malware 1.62.0.1300
    http://www.malwarebytes.org

    Datenbank Version: v2012.08.09.11

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Home :: BIE [Administrator]

    09.08.2012 22:57:03
    mbam-log-2012-08-10 (18-30-49).txt

    Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 275650
    Laufzeit: 1 Stunde(n), 14 Minute(n), 28 Sekunde(n)

    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung: 2
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien: 1
    C:\Dokumente und Einstellungen\Home\Eigene Dateien\Downloads\DownloadManagerSetup.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.

    (Ende)


    wäre großartig wenn ihr mir helfen könntet, wir wollten den rechner bald flach machen und die vielen wichtigen dateien sichern, da warte ich aber noch ab bevor das problem gelöst ist, oder?

    Ich würde mal die Registry nach "searchya" durchsuchen und alle Einträge diesbezüglich und evtl. Ordder die den Namen tragen löschen. Vorher aber ein Backup der registry machen. Hatte mal vor Jahren ein ähnliches Problem. War kein Virus sondern Malware und ein verfolgender Cookie. Auch Inetcache und Temp-Ordner leeren.

    Hi,

    Zitat von ben_lump

    ich hab gelesen, dass es wohl ein ernstzunehmender virus ist, frage mich allerdings wofür wir uns kaspersky besorgt haben, der das problem noch nicht mal erkennt.

    Es kommt auch darauf an, welche Version du hast. ;)

    Wie schon mein Vorredner schrieb, ist eine Sicherheitssoftware keine Garantie, für ein IMMER sauberes System.

    Es gilt das übliche "Katze und Mausspiel". Die Vieren oder ähnliches müssen erst bekannt sein, damit sie gefunden werden können.

    Auch die Sicherheitssoftware muß gewartet werden. Regelmäßige Updats, regelmäßige Systemchecks.

    Gruß Th 8) mmy

    Backup not found: (A)bort, (R)etry, (P)anic?

    Zitat von Boersenfeger

    //

    So so was ist dann in deinen Augen Malware? :roll:

    Siehe http://de.wikipedia.org/wiki/Schadprogramm.

    In meinem Fall war das Daemontools, dass an sich ein gutes, nützliches Programm ist aber in einer älteren Version hat es eine Toolbar installiert, die sehr lästig war und nur durch Registryeingriffe permanent entfernt werden konnte. Spätere Versionen haben die Toolbar optional werden lassen. .

    Ich geb mich zwar ungern mit Definitionsklaubereien ab, aber wie Bernd schon sagt, Malware ist ein Überbegriff. Ein Virus ist ein schädlicher Code, der in ein Programm eingebettet ist. Ein Virus kann ein Bestandteil von Malware sein aber Malware ist nicht unbedingt systemschädigend oder gefährdend. Malware kann z.B. auch Spyware und Adware sein. All das ist intrusiv und oft auch nervig, deshalb kann man meinetwegen auch "Nervware" dazu sagen. :wink:

    du hattest die Formulierung "...kein Virus sondern Malware..." verwendet. Dies kann mitlesende Nutzer in Verwirrung stürzen, deswegen mein Einwand. Mittlerweile ist es ja glattgezogen... :)

    hallo nochmal, danke für eure bisherigen kommentare, aber ich weiß nicht ob ich mich an registrydateien traue, kann man da nicht blöde fehler machen? hab nochmal geschaut und hier eine logdatei von eset gemacht, vielleicht fällt euch dazu noch was auf:


    wäre total nett wenn ihr (für blöde) erklärt wie man vorzugehen hat,

    danke!

    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{ED7702F7-093C-4968-8B84-3CF5D1A3F23D}\_Setupx.dll a variant of Win32/Adware.Yontoo.B application (unable to clean) 00000000000000000000000000000000 I
    C:\Dokumente und Einstellungen\Home\Eigene Dateien\Downloads\FreeYouTubeToMP3Converter_3.11.22.exe Win32/OpenCandy application (unable to clean) 00000000000000000000000000000000 I
    C:\Dokumente und Einstellungen\Home\Eigene Dateien\Downloads\PDFCreator-1_4_1_setup.exe Win32/OpenCandy application (unable to clean) 00000000000000000000000000000000 I
    C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zj7cqfgq.default\Cache\3\CB\C4B36d01 HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
    C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zj7cqfgq.default\Cache\9\64\AD59Ed01 HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
    C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp\YontooSetup-Silent.exe Win32/Adware.Yontoo application (unable to clean) 00000000000000000000000000000000 I
    C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Temp\is357113909\ezLookerSilent_DDD_FTT_BG_BD_BVD.exe probably a variant of Win32/Adware.HLQFYSH application (unable to clean) 00000000000000000000000000000000 I

    Brrr, also das hört sich übel nach einem ziemlich infizierten System an :shock: . Ich schätze mal. dass du um ein Neuaufsetzen nicht herumkommst. Außerdem solltest du versuchen die vermutlich vorhandenen Sicherheitslücken zu schliessen. Eben alles up-to-date halten. :!:

    Zitat von Bernd.


    Ist es aber nicht, sondern stinknormale Werbesoftware. Das Script ist wahrscheinlich auch irgendein aggressives Werbescript.

    Nur zu meinem besseren Verständnis. Sind diese Einträge nur auf das agressive Sript zurückzuführen ? Das sah mir nämlich sehr nach infiziert aus. :-??

    C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zj7cqfgq.default\Cache\3\CB\C4B36d01 HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
    C:\Dokumente und Einstellungen\Home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zj7cqfgq.default\Cache\9\64\AD59Ed01 HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I