25521
06.02.2007, aktualisiert am 10.02.2007
5506
3
0
Problemen mit 180search Assistant
Wie werd ich das teil los
Hilfe bei Problemen mit 180search Assistant
Ich habe mir anscheinend 180search Assistant eingefangen. Wenn ich mit ZoneAlarm einen Spyware scan durchführe findet er ihn. Habe schon versucht ihn zu Löschen doch dies hatte keinen efekt. Habe ihn jetzt unter Quarantäne gestellt. Weiß einer wie ich das ding sicher los werde?
Zum System:
Windows XP Pro SP2
FireFox 2.0.0.1
FireWall: ZoneAlarm Pro
Virus Scan: AVG 7.5
Hilfe bei Problemen mit 180search Assistant
Ich habe mir anscheinend 180search Assistant eingefangen. Wenn ich mit ZoneAlarm einen Spyware scan durchführe findet er ihn. Habe schon versucht ihn zu Löschen doch dies hatte keinen efekt. Habe ihn jetzt unter Quarantäne gestellt. Weiß einer wie ich das ding sicher los werde?
Zum System:
Windows XP Pro SP2
FireFox 2.0.0.1
FireWall: ZoneAlarm Pro
Virus Scan: AVG 7.5
Logfile of HijackThis v1.99.1
Scan saved at 17:09:25, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Meine Dateien\FireFox Download\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Programme\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [NewsBee Private Edition] "C:\Programme\hhS Siegfried Hirsch\NewsBee2\newsbee2.exe" /nosplash
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 50919
Url: https://administrator.de/forum/problemen-mit-180search-assistant-50919.html
Ausgedruckt am: 25.04.2025 um 21:04 Uhr
3 Kommentare
Neuester Kommentar
hallo,
bei dem 180Search-Assistant handelt es sich um Adware, um die loszuwerden musst du ein spezielles Tool runterladen und ausfuehren:
http://securityresponse.symantec.com/avcenter/Fix180Sh.exe
-bitte die Systemwiederherstellung vorher ausschalten und alle bisherigen Wiederherstellungspunkte loeschen-
Danach ueberpruefen, ob die Adware korrekt entfernt wurde [mal die Folgenden Ordner und Registrierdatenbankschluessel von Hand ueberpruefen]:
When Adware.180Search is executed, it does the following:
1. May create the following folder:
%Windir%\FLEOK\
Notes:
%Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000).
2. Installs itself to one or more of the following locations:
Notes:
bei dem 180Search-Assistant handelt es sich um Adware, um die loszuwerden musst du ein spezielles Tool runterladen und ausfuehren:
http://securityresponse.symantec.com/avcenter/Fix180Sh.exe
-bitte die Systemwiederherstellung vorher ausschalten und alle bisherigen Wiederherstellungspunkte loeschen-
Danach ueberpruefen, ob die Adware korrekt entfernt wurde [mal die Folgenden Ordner und Registrierdatenbankschluessel von Hand ueberpruefen]:
When Adware.180Search is executed, it does the following:
1. May create the following folder:
%Windir%\FLEOK\
Notes:
%Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000).
2. Installs itself to one or more of the following locations:
- %ProgramFiles%\180search Assistant\sain.exe
- %ProgramFiles%\180search Assistant\hsr.dll
- %ProgramFiles%\180search Assistant\sau.exe
- %ProgramFiles%\180search Assistant\sau.log
- %ProgramFiles%\180search Assistant\sau.dll
- %ProgramFiles%\180search Assistant\sau_[3 RANDOM LETTERS].dat
- %ProgramFiles%\180search Assistant\sauau.dat
- %ProgramFiles%\180search Assistant\sac.exe
- %ProgramFiles%\180searchassistant\salm.exe
- %ProgramFiles%\180searchassistant\salmau_update.dat
- %ProgramFiles%\180searchassistant\salm.dat
- %ProgramFiles%\180searchassistant\salm_[3 RANDOM LETTERS].dat
- %ProgramFiles%\180searchassistant\salm_3 RANDOM LETTERS]_update.dat
- %ProgramFiles%\180searchassistant\sac_[3 RANDOM LETTERS]_update.dat
- %ProgramFiles%\180searchassistant\sac_[3 RANDOM LETTERS].dat
- %ProgramFiles%\180searchassistant\sackyf.dat
- %ProgramFiles%\180searchassistant\sacau.dat
- %Windir%\[RANDOM FILE NAME].exe
- %Windir%\salm.exe
- %Windir%\salm[Random letters].dat
- %Windir%\salm_gdf.dat
- %Windir%\salm_kyf.dat
- %Windir%\salm.log
- %Temp%\180sainstallernusalm.exe
- %UserProfile%\Local Settings\Temp\180ax.exe
- %UserProfile%\Local Settings\Temp\180ax.log
- %Windir%\ClientInstaller.log
Notes:
- %ProgramFiles% is a variable that refers to the program files folder.
- %Windir% is a variable that refers to the Windows installation folder.
- %Temp% is a variable that refers to the Windows temporary folder.
- %UserProfile% is a variable that refers to the current user's profile folder.
- %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\Uninstall 180search Assistant Instructions.lnk
- Words typed into the Web browser.
- The address of Web site that words were typed into.
- Operating System version (including service pack).
- Web browser used (including exact version number).
- Screen width and height.
C:\Winnt (Windows NT/2000).
C:\WINNT\Temp (Windows NT/2000).
3. May create the following files:
*%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\180search Assistant.com.url
Note: %SystemDrive% is a variable that refers to the drive on which
Windows is installed. By default, this is drive C.
4. May add the values:
"MSBB" = "[PATH TO FILE]"
"sau" = "%ProgramFiles%\180search assistant\sau.exe"
"sac" = "%ProgramFiles%\180searchassistant\sac.exe"
"sain" = "%ProgramFiles%\180search assistant\sain.exe"
"salm" = "[PATH TO FILE]\"salm.exe"
"180ax" = "%userprofile%\local settings\temp\180ax.exe"
"[RANDOM FILE NAME]" = "%Windir%\[RANDOM FILE NAME].exe"
to the registry subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
so that the risk runs when every time Windows starts.
5. Creates some of the following registry entries:
HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\sau
HKEY_LOCAL_MACHINE\SOFTWARE\sac
HKEY_LOCAL_MACHINE\SOFTWARE\sain
HKEY_LOCAL_MACHINE\SOFTWARE\salm
HKEY_LOCAL_MACHINE\SOFTWARE\180ax
HKEY_CURRENT_USER\Software\sau
HKEY_CURRENT_USER\Software\sac
HKEY_CURRNET_USER\Software\sain
HKEY_CURRENT_USER\SOFTWARE\salm
HKEY_CURRENT_USER\SOFTWARE\180ax
HKEY_CURRENT_USER\Software\180solutions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\180ax
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\nCASE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\msbb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\sac
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\sain
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\salm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\sau
6. May add the value:
"LoginSessionDisable" = "1"
to the registry key:
HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control
to prevent the risk from causing the system to automatically dial to an ISP.
7. Monitors the contents of Web browser windows. When certain (configurable) keywords are detected in Web search or shopping browser windows, the adware displays the Web page of a partner site. The information collected includes:
8. Monitors the state of the adware application, if the adware is partially removed, it will reinstall the missing components.
Viel Erfolg...
saludos
gnarff
Danke,
Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?
Da meine Firewall mich immer in kentnies setzt wer grade auf das internet zugreifen will würd mich da mal interessieren wie der Prozzes heist der die daten "wenn ich ihn den drauf habe" an den Sever sendet.
Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?
Da meine Firewall mich immer in kentnies setzt wer grade auf das internet zugreifen will würd mich da mal interessieren wie der Prozzes heist der die daten "wenn ich ihn den drauf habe" an den Sever sendet.
Schau im Prozessexplorer und auf dem Rechner nach:
Msbb.exe
sac.exe
sau.exe
salmbundle.exe
Boomerang.exe
setup4156.exe
180SAInstaller.dll
1802.dll
Telena schrieb:
"Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?"
darum schrieb ich, dass Du das alles von Hand nocheinmal nachpruefen sollst. Die genauen Informationen, die Du dazu brauchst hatte ich Dir ja auch gegeben...
saludos
gnarff
Msbb.exe
sac.exe
sau.exe
salmbundle.exe
Boomerang.exe
setup4156.exe
180SAInstaller.dll
1802.dll
Telena schrieb:
"Habe das tool schon benutz doches sagt mir das ich die Adware garnicht drauf habe. "?"
Kann es sich da um einen fehl Alarm von ZoneAlarm handeln?"
darum schrieb ich, dass Du das alles von Hand nocheinmal nachpruefen sollst. Die genauen Informationen, die Du dazu brauchst hatte ich Dir ja auch gegeben...
saludos
gnarff
