delta search malware

ChefCock · 4. April 2013

Hey Leute
Auf dem PC meiner Mutter ist der "delta-search" Virus drauf. Ich habe schon einige Lösungswege versucht allerdings klappt nix

Was passiert!
Wenn ich den Browser starte kommt immer deltasearch als Startseite egal bei welchen Browser

Was habe ich versucht
1. Einstellung im Browser gändert nach Anleitung
2. Duzende antimalware Programme versucht. Entweder wollen die ne gekaufte vollversion für ü100€ , finden Delta search nicht, oder haben keine lösch Funktion
3. Registry, Einträge gelöscht
4. Windows suche gestartet, nix gefunden

Nix davon hat geklappt

Kann mir jemand von euch weiter helfen/

Silver.Star · 4. April 2013

Schon mit Anti Malware Bytes versucht?
Ansonsten poste bitte mal einen HiJackThis Log.

lg

ChefCock · 4. April 2013

Malwarebytes hab ich versucht ... Der findet das teil nicht dem ich such den log mal

Swain_Blake · 4. April 2013

der installiert ein programm
schau mal unter systemprogramme
ich hatte den blödsinn auch letztens

Silver.Star · 4. April 2013

Wenn du den Log nicht findest, auch nicht schlimm.

Aber ein HiJackThis Log wäre trotz allendem sehr hilfreich
Weil darauf kann man ein paar grobe Schätzungen machen inwiefern du infiziert bist

lg,

ChefCock · 4. April 2013

Im systemprogramme steht nix drin
hijackthis downloadet grade dauert ne weile der Laptop von Mutti ist ne der neuste

//EDIT

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:52:57, on 04.04.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Spybot - Search & Destroy 2\SDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe
C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe
C:\Dokumente und Einstellungen\Karola\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe
C:\Programme\Spybot - Search & Destroy 2\SDFiles.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\Karola\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\Karola\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingF5240] "C:\Programme\Spybot - Search & Destroy 2\SDDelFile.exe" "C:\WINDOWS\SchedLgU.Txt"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.co…eb_site.cab?1348309679453
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (o2c Player Version 1.x) - http://www.o2c.de/download/o2cplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95BBFA8-E3F5-4F7A-AA3C-CD47C06ADCF4}: NameServer = 8.26.56.26,156.154.70.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{D01B7557-6341-4E13-BBEC-11FCCB930243}: NameServer = 8.26.56.26,156.154.70.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEE930B8-DFA6-4F76-A60D-0A0955F6E097}: NameServer = 8.26.56.26,156.154.70.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\dokume~1\alluse~1\anwend~1\browse~1\261125~1.80\{c16c1~1\browse~1.dll C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: BrowserProtect - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Programme\Spybot - Search & Destroy 2\SDWSCSvc.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\Karola\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programme\Skype\Updater\Updater.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 7231 bytes

Silver.Star · 4. April 2013

Okay,

also dem Log entnehm Ich (bis auf ein paar Warnungen) keine tiefsitzenden Gefahren.
Halt nur den Delta Search.

BTW, was spricht den gegen eine Neuinstallation?

ChefCock · 4. April 2013

neuinstallation meinste Windows oder Firefox?

Silver.Star · 4. April 2013

Ich meinte eigentlich Windows.

Weil wenn jeder Browser sofort wieder genau diese Seite als Startseite bekommt (obwohl umgestellt)
dann ezwingt es ja irgendein Prozess.

ChefCock · 4. April 2013

ok allso ich hab noch so eine Recovery cd die beim Kauf dabei war ich versuchs mal damit......

vielen dank für deine hilfe ....

//
Zatox & the rebbels gefällt mir

Matei · 4. April 2013

http://dieviren.de/delta-search/

GoTenKs · 4. April 2013

Mach ein neustart drück Alt und F10 immer drauf tippen.
Dan solltest du ins Recovery Menü gelangen.

ChefCock · 4. April 2013

@reimebude

Schon versucht klappt ne

Gotenks
Ich mach grade recovery von cd