Coolwwwsearch

Begonnen von ran, 28. Oktober 2005, 14:56:18 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

ran

Hallo,
wer kann mir helfen, diese Invasion zu beenden.
Also, wenn ich mit spybot arbeite, können folgende sechs Einträge nicht gelöscht werden.

CoolWWWSearch.HomeSearch:  Daten (Datei, fixing failed)
  C:\WINDOWS\ncfkm.log

CoolWWWSearch.HomeSearch:  Daten (Datei, fixing failed)
  C:\WINDOWS\qfszd.txt

CoolWWWSearch.HomeSearch:  Daten (Datei, fixing failed)
  C:\WINDOWS\ssmof.dat

CoolWWWSearch.SearchKlick:  Daten (Datei, fixing failed)
  C:\WINDOWS\fxoug.txt

CoolWWWSearch.SearchKlick:  Daten (Datei, fixing failed)
  C:\WINDOWS\kfkns.txt

CoolWWWSearch.SearchKlick:  Daten (Datei, fixing failed)
  C:\WINDOWS\qmapv.txt


--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---


Ich habe es dann mit hijackthis probiert. TMK hat mir empfohlen, welche Einträge ich aus dem logfile löschen sollte. Davon konnte ich aber die folgenden vier nicht loschen - auch nicht im abgesicherten Modus. Wer hat noch eine Idee !!??

O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)



American

hast du Spybot auch im Abgesichertem Modus Ausgeführt?
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

ran

Das habe ich noch nicht ausprobiert. vielen Dank!

tyco

Klick in Hijackthis auf "open the misc tool section" und dann auf "delete an NT Service" und gebe die Namen an.

Aber bitte nur bei O23 Einträgen.
Bitte keine Supportanfragen per PM stellen.

ran

Vielen Dank für die beiden Tipps. Leider hat spybot im abgesicherten Modus nichts gebracht.
In der misc tool section "delete an NT Service" (auch im abgesicherten Modus angewandt) erhalte ich jeweils folgende Nachricht:
The service 'VAIOMediaPlatform-MusicServer-AppServer' is enabled and/or running. Disable it first, using Hijackthis itself (from the scan results) or the Services.msc window.
Bei Hijackthis erhalte ich jeweils die Nachricht, dass sich die files noch einmal selbst erstellt haben. Sie lassen sich also nicht löschen.
Wer hat eine Idee, was ich jetzt noch tun kann ?!

tyco

Versuche es mal nach dieser Anleitung:

Was bei O23-Einträgen zu unternehmen ist:

Hier werden alle nichtwindowseigenen Dienste aufgelistet. Diese Liste sollte identisch sein, mit den Autostarteinträgen des Msconfig-Tools unter Windows XP. Diverse Hijacking-Trojaner benutzen in Verbindung mit weiteren Autostartmöglichkeiten einen eigenen Dienst um sich immer wieder selbst neu zu installieren. Der komplette Name eines solchen Dienstes klingt zumeist äußerst wichtig, z. B. 'Network Security Service', 'Workstation Logon Service' oder 'Remote Procedure Call Helper', aber der interne Name (in Klammern) ist eine Sammlung unsinniger Zeichen, z. B. 'O?'ŽrtñåȲ$Ó'. Der hintere Teil der jeweiligen Zeile zeigt den Namen der Datei an, welche zu diesem Dienst gehört.

Achtung: Das 'Fixen' eines 023-Eintrages beendet und deaktiviert lediglich einen solchen Dienst. Es ist daher erforderlich, den Dienst entweder manuell oder mit einem entsprechenden Tool aus der Registry zu entfernen. In HijackThis 1.99.1 oder höher kann die Option 'Delete NT Service' unter 'Misc Tools' hierfür genutzt werden.

Quelle (http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial-p3.html#o23)

Bitte keine Supportanfragen per PM stellen.

ran

Ich werde mich gleich mal ans Werk machen und versuche es auf diese Weise. Vielen Dank !

ran

Nachdem ich es nun geschafft habe, die von TMK empfohlenen files zu löschen, bleibt mein Problem vom Anfang leider immer noch bestehen. Ich habe immer noch meine CoolWWWsearch Trojaner auf dem Computer. Hier die nicht zu beseitigenden Dateien von spybot und danach mein logfile aus hijackthis.
Gibt es nicht vielleicht doch noch jemanden, der mir einen Ausweg oder eine Lösung verrraten kann ??!!!


CoolWWWSearch.HomeSearch:  Daten (Datei, fixing failed)
  C:\WINDOWS\ncfkm.log

CoolWWWSearch.HomeSearch:  Daten (Datei, fixing failed)
  C:\WINDOWS\qfszd.txt

CoolWWWSearch.HomeSearch:  Daten (Datei, fixing failed)
  C:\WINDOWS\ssmof.dat

CoolWWWSearch.SearchKlick:  Daten (Datei, fixing failed)
  C:\WINDOWS\fxoug.txt

CoolWWWSearch.SearchKlick:  Daten (Datei, fixing failed)
  C:\WINDOWS\kfkns.txt

CoolWWWSearch.SearchKlick:  Daten (Datei, fixing failed)
  C:\WINDOWS\qmapv.txt


Logfile of HijackThis v1.99.1
Scan saved at 19:26:12, on 29.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Rainer\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [waol.exe] C:\Programme\AOL 9.0a\waol.exe
O4 - HKLM\..\Run: [PCLEPCI] D:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093094044828
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4C81901-2F65-40CA-966C-99D4518F7338}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe


tyco

Das HijackThis.log  ist sauber.

Führe Spybot Search & Destroy im abgesicherten Modus aus. Anschliessend Papierkorb leeren.

Falls das nichts bringt kannst du die Dateien auch im abgesicherten Modus löschen.
Bitte keine Supportanfragen per PM stellen.

ran

Das war die Lösung des Problems. Mein System ist wieder sauber und die betreffenden Dateien gelöscht.
Vielen Dank für Eure Hilfe. Super !!!