jksearch.biz browser hijack (juan)

juan
Gast

« am: 19.05.04, 17:23:14 »

hallo
hab mir da was eingefangen was ich nicht mehr wegbekomme.
neben dem typischen startseiten-problem läuft mein gesamtes system instabil.
die aktuellen Versionen von HijackThis, CWShredder, AdAware, Spybot können auch nichts ausrichten.

wäre dankbar, wenn sich ein sachkundiger mensch das logfile mal anschauen und mir helfen könnte.

Logfile of HijackThis v1.97.7
Scan saved at 17:04:09, on 19.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WIN98SE\SYSTEM\KERNEL32.DLL
C:\WIN98SE\SYSTEM\MSGSRV32.EXE
C:\WIN98SE\SYSTEM\MPREXE.EXE
C:\WIN98SE\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WIN98SE\EXPLORER.EXE
C:\WIN98SE\TASKMON.EXE
C:\WIN98SE\SYSTEM\SYSTRAY.EXE
C:\WIN98SE\LOADQM.EXE
C:\WIN98SE\SYSTEM\QTTASK.EXE
C:\PROGRAMME\D-TOOLS\DAEMON.EXE
C:\WIN98SE\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WIN98SE\RunDLL.exe
C:\WIN98SE\SYSTEM\CTFMON.EXE
C:\PROGRAMME\ANALOGX\POW\POW.EXE
C:\WIN98SE\SYSTEM\WMIEXE.EXE
C:\WIN98SE\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\OPERA7\OPERA.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WIN98SE\SYSTEM\PSTORES.EXE
C:\WIN98SE\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://131.188.24.132/proxy/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=131.188.24.131:3128;gopher=131.188.24.131:3128;http=131.188.24.131:3128;https=131.188.24.131:3128;socks=131.188.24.131:1080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php
O2 - BHO: (no name) - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98SE\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WIN98SE\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.54-DELEON.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98SE\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98SE\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSAChipGuard] C:\WIN98SE\ELSAUTIL\elsavect.exe
O4 - HKLM\..\Run: [ELSA VideoBlitter] C:\WIN98SE\ELSAUTIL\VIDTRAY.EXE /startup
O4 - HKLM\..\Run: [NetTime] C:\Programme\NetTime\NetTime.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WIN98SE\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: POW!.lnk = C:\Programme\AnalogX\POW\pow.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\WIN98SE\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.54-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WIN98SE\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.54-DELEON.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WIN98SE\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.54-DELEON.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WIN98SE\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.54-DELEON.DLL/cmbacklinks.html
O9 - Extra button: Net2Phone (HKLM)
O9 - Extra 'Tools' menuitem: Net2Phone (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {3E6D40EE-34F7-4BA4-B1EE-5DAC07C16A3F} (MigrationSecure.DemoCtl) - http://www.birds.org.il/MigrationSecure.ocx
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/deleon/1.1.48-deleon/GoogleNav.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - http://www.izb-hb.de/SPK_Nuernberg/SBrokerageinstV23.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.msn.de/r/neutral/controls/MsnPUpld.cab?4,0,1323,0
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1112.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37879.4843055556

Moderator informieren

Nighty
Gast

Re: jksearch.biz browser hijack

« Antwort #1 am: 19.05.04, 17:58:27 »

Guckst du hier...

Gruß

Moderator informieren

BlindDoc
Gast

Re: jksearch.biz browser hijack

« Antwort #2 am: 24.05.04, 05:52:23 »

Wow

Besten Dank - hatte das gleiche Problem...

Jetzt tuckert meine Kiste wieder wie immer.

Tausend Dank!!!

Gruss,
BlindDoc

Moderator informieren

KW
Gast

Re: jksearch.biz browser hijack

« Antwort #3 am: 24.05.04, 20:35:47 »

Zitat von: Nighty am 19.05.04, 17:58:27

Guckst du hier...

Klappt leider nicht, weil "system32.dll" unauffindbar ist (Obwol die Option "Alle Dateien und Ordner anzeigen" aktiv ist). Also, egal was ich mit "HijackThis.exe" lösche, es ist sofort wieder da. Was nun?

Schönen Gruss vom Rande der Verzweiflung ..

Moderator informieren

Nighty
Gast

Re: jksearch.biz browser hijack

« Antwort #4 am: 24.05.04, 20:39:27 »

Im Aaabgesicherten-Modus suchen und löschen dann geit dat auch

Gruß

Moderator informieren

KW
Gast

Re: jksearch.biz browser hijack

« Antwort #5 am: 24.05.04, 21:43:36 »

Haaab ich doch! Also erst "clear.reg" gespeichert und gemerged, dann einen Reboot (mit F8 gedrückt), dann "Abgesichter Modus" selektiert & ENTER gedrückt, dann sowohl bei "Suchen" als beim Explorer versucht: "system32.dll" ist und bleibt unauffindbar. Für mich jedenfalls. Kann dat sch...ding noch anders heissen?
Ich haaab sowiel Ahnung von PC's wie 'ne Kuh von Stricken, bin jetzt 3 volle Tage mit jksearch beschäftigt und wirklich verzweifelt. Also bitte: HILFE!

Moderator informieren

Nighty
Gast

Re: jksearch.biz browser hijack

« Antwort #6 am: 24.05.04, 21:54:07 »

Hehe, nur keine Panik...*gg

Geh mal im Explorer->Extras->ordneroptionen->Ansicht

-Alle Dateien und Ordner anzeigen->auswählen
-Geschützte Systemdateien ausblenden ->häkchen weg

Dann kannste nochmal suchen und beim suchen in den Optionen auch in systemordner oder so suchen auswählen

Oder direkt im Explorer gehn und selber schauen.

Ansonsten besorgst dir unter www.avp.ch ne Trialversion von Kaspersky ->installieren

Und folgenden Updateserver hinzufügen:
ftp://updates1.kaspersky-labs.com/updates_ext

Dann findet er die auf jeden fall wenn da was ist.

Gruß

Moderator informieren

KW
Gast

Re: jksearch.biz browser hijack

« Antwort #7 am: 25.05.04, 01:09:55 »

> Oder direkt im Explorer gehn und selber schauen.

system32.dll bleibt vorerst noch verschwunden ..

> Kaspersky ->installieren

Habe ich. Auch die .key Datei gedownload aber danach wird bei Installation überhaupt nicht gefragt (?)

> Und folgenden Updateserver hinzufügen:
> ftp://updates1.kaspersky-labs.com/updates_ext

Wie? Soll ich das irgendwie unter Update - Einstellungen hineinschreiben?

Mit leichtem Hoffnungsschimmer & leihenhafte Gruß,

Moderator informieren

Pantheon
Gast

Re: jksearch.biz browser hijack

« Antwort #8 am: 31.05.04, 15:10:23 »

Ein kumpel von mir hat ein ähnliches Problem, allerdings hat er clear.reg gemacht und auch die system32.dll gelöscht, aber seitdem, sagt er, läuft sein PC instabil.
Weiss zufällig einer, an was das liegen könnte und/oder wie man das beheben könnte?

Moderator informieren

Nighty
Gast

Re: jksearch.biz browser hijack

« Antwort #9 am: 31.05.04, 15:47:03 »

Jo hab ich vergessen der Updateserver gilt nur für die 4.5-er Version
Bei der 5er muss unter Einstellungen->Updates->Internet Updates->erweiterte datenbanken aktiviert werden.

Gruß

Moderator informieren

Helpman
Gast

Re: jksearch.biz browser hijack

« Antwort #10 am: 03.06.04, 18:19:25 »

Die neue Version von CWShredder (1.58.0) findet den JKSearch und removed ihn .

Moderator informieren

Sascha
Gast

Re: jksearch.biz browser hijack

« Antwort #11 am: 09.06.04, 18:07:11 »

Hi

kann mir jemand mit meinem log file weiterhelfen??
ich hab keine ahnung von diesem thema, weiß nur dass in letzter zeit viel sch***e aufm rechner ist, die da nicht sein sollte. Was muss ich mit hijackthis fixen?
vor allem wär ich dankbar, wenn mein startseitenproblem endlich gelöst würde. ich denke ihr wisst schon wovon ich spreche - das ist ja relativ bekannt....

Logfile of HijackThis v1.97.7
Scan saved at 17:38:58, on 09.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\fbxodj.exe
C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\ssor.exe
C:\WINDOWS\System32\wnscpcc.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mejk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mejk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mejk.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mejk.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mejk.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mejk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://faz.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AEAE823A-7DFE-4BD6-B063-CD9B0004189E} - C:\WINDOWS\System32\mejk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\javahu32.dll,Install
O4 - HKLM\..\Run: [kestwbt] C:\WINDOWS\System32\fbxodj.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Eotr] C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\ssor.exe
O4 - HKCU\..\Run: [WNSI] C:\WINDOWS\System32\wnscpcc.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\javahu32.dll,Install
O4 - Startup: Komfort-Wecker.lnk = C:\Programme\KomfortWecker\KomfortWecker.exe
O4 - Startup: Trillian.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/121a00511cfb6d762422/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

thx schon mal im Voraus!!

Sascha

Moderator informieren

Nighty
Gast

Re: jksearch.biz browser hijack

« Antwort #12 am: 09.06.04, 18:17:47 »

Erstmal hier lesen...

http://www.computerhilfen.de/hilfen-17-30578-0.html

Gruß

Moderator informieren

jksearch.biz browser hijack

Antworten zu jksearch.biz browser hijack:

Re: jksearch.biz browser hijack

Mehr zu jksearch.biz browser hijack

« TR/StartPage.FW lässt sich nicht löschen!		Windows XP: W32.Spybot.Wurm »