[HaBo]

Achim_S

Anzeige

Seit kurzem ist bei mir trotz Startseite "about:blank" das Browserfenster beim Start gefüllt mit einem Suchfenster, dass den Rechner furchtbar langsam macht und in der Titelzeile des Internetexplorer steht "Search for ... Internet Explorer".

Ad-aware und Spybot Search & Destroy und Norton Antivirus finden nichts.

Was soll das? Was ist da passiert? Ich will das nicht haben. Ich könnte ein Image meiner OS-Partition von letzter Woche einspielen, da war es noch nicht, aber ich wüsste gerne, was da los ist.

EDIT: inzwischen habe ich bemerkt, dass das, was meinen Rechner so langsam macht, vermutlich QSERVER.EXE ist. Das habe ich vorher noch nicht auf meinem Rechner gesehen. Das ist anscheinend eine Komponente von Norton irgendwas, die merkwürdigerweise erst seit dieser Woche bei mir läuft. Weiss einer was darüber? Ich habe Norton Internet Security Family Edition 2002 in Betrieb.

NeoN

http://www.liutilities.com/products/...brary/qserver/

Description: Application that is associated with Norton and is used to accept infected files from servers and clients and communicates with Quarantine Console.

Solltest dein System mal genauer unter die Lupe nehmen, wenn du das nicht selbst veranlasst hast.

Achim_S

Das habe ich auch schon gelesen.

Ich habe vermutet, dass das durch irgendein von mir durchgeführtes LiveUpdate von Norton Antivirus/Norton Internet Security auf meinen Rechner gekommen ist.

Den Prozess kann ich einfach beenden und alles ist wieder schnell.

Abgesehen davon, dass es eine Unverschämtheit ist, einen Prozess, der das System dermaßen in die Knie treibt, einfach kommentarlos in Betrieb zu nehmen, interessiert es mich im Moment viel mehr, woher dieses blöde Suchfenster kommt.

Das ist vielleicht irgendwie durch ein Javascript-Programm da hingekommen, denn wenn ich auf die einzelnen Einträge gehe, steht das sowas wie "javascript:go('shopping'). Aber ich habe das noch nicht gefunden.

EDIT: per Ansicht/Quelltext sehe ich nun, wo das herkommt. Es ist ein html-Programm. Aber wo das steht und wo das herkommt und wie das aufgerufen wird, habe ich noch nicht gefunden. Ich suche auf meinem Rechner und finde es nicht. Hm.... Fällt wem was Hilfreiches dazu ein?

Hier ist der Anfang:

<base href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6 d%33%32%5c%66%64%63%65%2e%64%6c%6c/"><HTML>
<HEAD>
<TITLE>Search for..</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1251">
<STYLE type=text/css>
...

EDIT: so, ich bin es nun leid. Ich habe mein letztes Image eingespielt (es war von vorgestern) und fast alles ist wieder so, wie es sein sollte. Der Fehler muss wohl dieser QSERVER.EXE gewesen sein. Denn ich habe gleich anschliessend ein Norton LiveUpdate gemacht und ich hatte hinterher keinen QSERVER auf meinem Rechner...

Brabax

Das ist Ad-Ware, Werbung, wieauchimmer. Hab ich seit 2 Wochen im Windows und bekomme es auch nicht los. Egal was man tut es bleibt hartnäckig drinnen.

Die Seite kommt von (lieber nicht anklicken - weiss nicht ob sie diese Site entsprechende Software einspielt) http://searchx.cc . Ich hatte sie bereits entfernt und alle Scripte usw. abgestellt und trotzdem hat sie es erneut geschafft und lässt sich nun auch nicht mehr mit Ad-Aware, Hijackthis, CWD-Shredder, Spybot uvm. entfernen.

falls jmd. ein beständiges, gutes Mittel kennt - ich bin offen dafür

Ich habe noch meine Alternative, Linux. Aber die hat wohl nicht jeder (ausser andere Browser zu verwenden)

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

Achim_S

Die müssen dieses html-Zeug irgendwo auf dem PC verstecken. Ich habe gestern wenigstens 3 Stunden lang gesucht in allen Dateien auf meinem PC und es nicht gefunden. Und es ist da auch, wenn ich meine DSL-Verbindung unterbrochen habe.

Vielleicht sollte man mal Symantec darauf hinweisen, dass da jemand mit Symantec-Tools, die sicher nicht zu diesem Zweck dienen, Schindluder treibt.

EDIT: ich habe inzwischen mit schlauen Leuten aus meiner Firma gesprochen und es könnte sein, dass die das Zeug einbauen, indem sie eine modifizierte Google- oder was auch immer ....dll auf den Rechner packen, wo das dann als html-Skript drinsteht. Das findet auf jeden Fall die Volltextsuche dann auch nicht. Auf jeden Fall wurde mir ein html-Skript in der Googletoolbar-DLL gezeigt.

Mackz

Das "html-Zeug" liegt in 2 dlls, deren Name zufällig generiert wird und in windows\system32 liegen.
Diese dlls werden beim Starten des inet explorers ausgeführt.

Ladet euch doch einfach mal ListDLLs von http://www.sysinternals.com/ntw2k/utilities.shtml runter und führt dieses Tool unmittelbar nach dem öffnen des inetexplorers aus.
Dann bekommt man unter
"IEXPLORE.EXE pid: xxxx
Command line: "C:\Programme\Internet Explorer\iexplore.exe" "
die dlls aufgelistet, die er verwendet.
Nun geht ihr die einzelnen dlls durch (oder man beschränkt es auf die, deren Name offensichtlich keinen Sinn ergibt) und öffnet eine nach der anderen in einem editor, fällt euch was auffälliges auf z.b. "<TITLE>Search for..</TITLE>" o.ä. notiert ihr euch den Namen, da sie erst unmittelbar nach einem Neustart gelöscht werden können.
"Search for" müsste auch eine svchost.exe in windows\system abgelegt haben, diese kann ebenfalls beseitigt werden (Achtung: Nicht zu verwechseln mit der svchost.exe in windows\system32!)
Wenn man nun noch die entsprechenden Reg-Schlüssel beseitigt müsste man eigentlich Ruhe haben.

Leider hat mich "Search for" noch nicht heimgesucht , sodass diese Tips nur theoretischer Natur sind aber probieren geht ja bekanntlich über studieren.

P.s.: Vielleicht könnte mir ja jemand einen Link zukommen lassen, wo man sich das Teil einfängt, ich würde mir das gerne mal anschauen. searchx.cc ist leider clean. *g*

__________________
RL sux big time... auch 2012!

Deleting pr0n is like killing your best friend

[HaBo] bei Facebook - Werde Fan

Brabax

Ich werde es mal testen - thx.

Ne Site, wo man sich dieses "Tool" einfängt kann ich leider nicht bennenen. (vllt mittlerweile auf astalaviste? Die haben doch so ziemlich alles )

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

Mackz

Per email wurde mir gerade noch ein Tipp zum Erkennen der verantwortlichen dll zugetragen:
Die entsprechenden dlls sind im oben genannten Tool "listdlls" wohl daran zu erkennen, dass sie keine Versionsnummer tragen.

__________________
RL sux big time... auch 2012!

Deleting pr0n is like killing your best friend

[HaBo] bei Facebook - Werde Fan

VAL1UMII

Hilft mir nicht viel weiter... Problem noch immer nicht gelöst! Wer weiss Rat? THX

Achim_S

Also ... ich hatte mir das Ding schon wieder irgendwo zugezogen ... und ich hatte keine Pornoseiten besucht ... und die Behebung hat funktioniert.

Ich habe mit Hilfe des Prozess Explorers die vom IE geladenen dlls betrachtet und es war genau eine ohne Hersteller dabei. Die habe ich umbenannt, weil man ja dlls in Betrieb nicht löschen kann. Nach dem Beenden und Neustarten des IE war dann die komische Suchseite wieder weg und ich konnte die dll komplett löschen.

Ich habe dann aber hinterher doch wieder mein letztes sauberes Image eingespielt, weil noch irgendwas anderes auch nicht gut war. Die Kiste war furchbar langsam geworden und niemand (nicht Norton Antivirus, nicht Spybot S&D, nicht Ad-aware) hat was erkannt. Und dieses MS-Update gegen diesen neumodischen aktuellen Virus habe ich schon seit Wochen auf meinem PC.

Nun ist alles wieder OK.

Aufsicht

Rehi

so war scho lang nicht mehr hier also das mit

res:// %43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6 d%33%32%5c%66%64%63%65%2e
%64%6c%6c/

das ist hex in ascii sieht das so aus

res:// C:\WINDOWS\System32\fdce.dll/

VAL1UMII

@Achim_S: Wie hast du das genau gemacht? (Ich habe mit Hilfe des Prozess Explorers die vom IE geladenen dlls betrachtet und es war genau eine ohne Hersteller dabei. Die habe ich umbenannt, weil man ja dlls in Betrieb nicht löschen kann. Nach dem Beenden und Neustarten des IE war dann die komische Suchseite wieder weg und ich konnte die dll komplett löschen.)

Danke im voraus

Pepsi_XXL

Hallo Search...-Opfer/innen

Hier zum herunterladen: http://209.133.47.200/~merijn/files/CWShredder.exe

Habe damals auch so oft ärgert mit Search... und about:search gehabt. Habe diese Dateien "CWShedder.exe" herunterladen und doppelnklick. Danach ist Search... und about:blank alles WEG! Danach musst du im IE ( EXTRAS--> INTERNETOPTIONEN--> STARTSEITE eingeben welche URL was du willst. )

Wünsche ich euch vielen Glück.

Achim_S

Also: ich habe im Process Explorer den IE angeklickt. Dann habe ich irgendwo in der Menüleiste den Punkt "Show DLLs" gefunden. Danach wurden im unteren Fenster des Process Explorers die DLLs etc. angezeigt. Da habe ich eine gefunden, die keinen Hersteller hatte (die meisten anderen waren von Microsoft). Ich wusste ja schon, dass die im Verzeichnis ...\system32 steht, aber es gibt auch die Möglichkeit, den Process Explorer suchen zu lassen.

Da ich ja ein optimistischer Mensch bin, habe ich dann erstmal versucht, die im Windows Explorer zu löschen, was aber natürlich nicht ging. Was aber ging war, sie umzubenennen (ich habe sie zu ...alt_dll umbenannt.) Danach habe ich den IE (alle Instanzen!) beendet und neu gestartet und die search-Seite war wieder verschwunden, wie ich es erhofft hatte.

Danach war die dll nicht mehr in Betrieb und ich konnte sie ganz normal löschen.

bendito

Zum Thema Search for...

Ich habe das Ding auch. und habe kein Norton Virenschutz Update

und habe festgestellt, dass der Name der in HEX im Quelltext steht z.B.

<base href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6 d%33%32%5c%68%68%6b%61%6f%2e%64%6c%6c/">

sich ändern kann, er stellt den Namen der DLL dar die geladen wird, diese DLL steht da wo die HEX zeichen hinzeigen, die Datei kann heisen:
stehen unter system32, neustes Datum als sortierung benutzen

hhkao.dll
lalkdbb.dll
fdce.dll
dpm.dll
daop.dll
ahofia.dll

sie ist immer exakt 30,0 KB (30.720 Bytes) groß
die DLL wird in er Registrierung 2 mal angezogen, wenn man diese 2 einträge löscht ist die Seite weg, so scheint es zumindest am nächsten Tag ist sie dann wieder da mit neuem Namen.

Ich habe bemerkt dass NOTPAD.EXE beim ersten erscheinen der Suchseite ein neues Datum bekommen hat, seit 3 Tagen versuche ich den sch... loszuwerden.

Gruß Bendito

Habe auch was gefunden das zu helfen schein, der Entwickler der Datei hat im Quellcode count.cc stehen dies ist eine Webseite die ein uninstall anbietet, net von Ihn

http://count.cc

Gruß Bendito