28. April 2024, 16:13:50 Uhr

CoolWWWSearch

Begonnen von Shiva82hh, 10. April 2005, 22:04:36 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten 1 ... 4 5 6 7 8
Benutzer-Aktionen

TMK

25. Dezember 2005, 11:49:23 Uhr #100
Hi,

solltest folgendes im abgesicherten Modus über Hijackthis löschen bzw. fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {5FF514CF-F791-3F3E-6A4F-3C96C41EE869} - C:\WINDOWS\system32\winla32.dll

O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)

O2 - BHO: Class - {C8C966DD-1537-9AB7-2EF4-DFEF1A1C8D24} - C:\WINDOWS\system32\mfcpe.dll
O2 - BHO: Class - {CC5FEABC-FD03-1BA4-2907-D32BC8AFEBB7} - C:\WINDOWS\d3mk32.dll

O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)

O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan.exe
O4 - HKLM\..\Run: [sdkyg32.exe] C:\WINDOWS\sdkyg32.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ipnm.exe

O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Anschließend noch mit SpyBot das System checken, siehe:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

...und den Windows-Papierkorb leeren.

penny2882

25. Dezember 2005, 18:30:11 Uhr #101
Sorry, aber es hat leider nicht gefunkt. Mit spybot hab ich wieder 5 einträge (nach dem Neustart ) gefunden. Ich hoffe du kannst mir irgendwie weiterhelfen. Ich bin echt ratlos... Mfg

marco1972

25. Dezember 2005, 22:09:49 Uhr #102
hallo zusammen

ich habe mir heute offensichtlich einen trojaner bzw browser hijacker gezogen.
normalerweise bin ich sehr vorsichtig aber heute habe ich einen dummen fehler gemacht und offensichtlich an der falschen stelle mal OK geklickt.

jedesmal wenn ich den internet explorer starte, ist meine startseite auf "about:blank" gesetzt und "kaspersky" medet das folgende 2 trojaner geblockt und deleted werden:

Trojan.Win32.Agent.bi - c:\windows\system32\sdkst.exe
dieser meldet sich auch noch in c:\windows\javabc.exe, c:\windows\addfk32.exe

Trojan-Downloader.Win32.Agent.td - c:\windows\ieze.exe
dieser meldet sich auch unter c:\...\system32\sdkly.exe, c:\netmv32.exe

während ich das hier grade schreibe merke ich das das der name der dateien offensichtlich immer varieiert.

die dateien können wie gesagt immer gelöscht werden. allerdings versuchen sie sich bei jedem start von IE wie gesagt neu auf platte zu schreiben.

der fullscan von kaspersky findet allerdings keine bedrohungen. auch AdAware findet keine kritischen bedrohungen. ich hab mir dann noch spybot search&destroy runter geladen, das ich CoolWWWSearch auf dem system habe. spybot removed das zwar, aber wenn ich den internetexplorer starte, kommt wieder der selbe käse.

ich hab dann noch ein bisschen gegoogelt und die systemwiederherstellung deaktiviert und spybot im abgesicherten modus laufen lassen. im abgesicherten modus sagte spybot dann das noch 1 programm resistent liefe und es nach dem neustart removed wird, er hat dann beim nächsten start einen scan gemacht bevor er mein desktop initialisiert hat, geholfen hat das aber alles nichts. obwohl ich mit spybot auch imunisiert habe, kommen sofort wieder die fehlermeldungen das das registry einträge geändert werden sollen.

cwshredder hab ich auch mal probiert, der findet allerdings auch nichts.

ich weiss nicht mehr weiter, aber ich würde äusserst ungern wegen diesem mist meinen rechner neu machen müssen.

achso unter systemsteuerung/software sind folgende 3 programme zu finden die offensichtlich von dem hijack sind, denn nachdem spybot removed hat sind sie weg, sobald ich IE starte wieder da. sind auch keine programme sondern führen wenn man "entfernen" drückt auf eine seite die sich smartfinder nennt. da wird angeboten die programme zu entfernen, was natürlich nicht funktioniert. sie heissen: HomeSearchExtender, ShoppingWizard und SearchExtender.

ich hab keine ahnung ob ich mir da jetzt mehrere trojaner eingefangen habe oder ob das nur eine neue variante ist die spybot noch nicht wirkungsvoll löschen kann.

temporary internet files und cookies habe ich auc gelöscht, bringt wie gesagt alles nix.

wenn spybot das coolwwwsearch entfernt hat, kommen übrigens sofort wieder spybot fehlermeldungen das registry einträge geändert werden sollen.

ich habe mit hijackthis auch noch einen log erstellt und hänge den mal dran:

Logfile of HijackThis v1.99.1
Scan saved at 21:09:10, on 25.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Psionic\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.druckwelle-hq.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {7F0F2565-877E-9354-50D9-CAEBA6908734} - C:\WINDOWS\system32\iedu32.dll
O2 - BHO: Class - {9FDF9F05-731F-BB1B-8038-145341EE7FEB} - C:\WINDOWS\apivb.dll
O2 - BHO: Class - {B291DEE2-D9B2-592B-0C2E-27B58D348424} - C:\WINDOWS\msvt32.dll
O2 - BHO: Class - {E064B1BE-9CE1-12FD-649D-C3AF86045971} - C:\WINDOWS\system32\nthg.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [apiqm.exe] C:\WINDOWS\apiqm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124315208265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125221345453
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crpc32.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

TMK

26. Dezember 2005, 00:26:36 Uhr #103
Hi,

folgendes solltest im abgesicherten Modus (F8 während dem Systemstart) fixen:

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {7F0F2565-877E-9354-50D9-CAEBA6908734} - C:\WINDOWS\system32\iedu32.dll
O2 - BHO: Class - {9FDF9F05-731F-BB1B-8038-145341EE7FEB} - C:\WINDOWS\apivb.dll
O2 - BHO: Class - {B291DEE2-D9B2-592B-0C2E-27B58D348424} - C:\WINDOWS\msvt32.dll
O2 - BHO: Class - {E064B1BE-9CE1-12FD-649D-C3AF86045971} - C:\WINDOWS\system32\nthg.dll

O4 - HKLM\..\Run: [apiqm.exe] C:\WINDOWS\apiqm.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crpc32.exe (file missing)

...die dazugehörigen Dateien (".dlls" bzw. die ".exe") am Besten dann noch manuell löschen und den Papierkorb leeren. Anschließend kannst dann ja auch mal noch SpyBot im abgesicherten Modus darüberlaufen lassen.

Gruß

marco1972

26. Dezember 2005, 01:39:40 Uhr #104 Letzte Bearbeitung: 26. Dezember 2005, 01:51:09 Uhr von marco1972
hallo TMK

erstmal VIELEN VIELEN dank für die antwort !!!
ich habe im abgesicherten modus alle einträge mit hijackthis gefixt bis auf:

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crpc32.exe (file missing)

der eintrag war irgendwie nicht mehr drinn. die dateien waren alle nicht in /windows bzw. /system32, also nichts zu löschen.
ich habe dann im abgesicherten modus nochmal spybot drüber laufen lassen, er hatte auch noch einige coolwwwsearch einträge gefunden die er gelöscht hat.
wenn ich jetzt den IE aufrufe läuft wieder alles normal, allerdings hat spybot (nach dem aufrufen von IE im normalmodus) unter /lokale einstellungen/user/temp noch eine datei namens "c.tmp" gefunden wo er coolwwwsearch meldete, die habe ich dann noch entfernt.
es kam dann beim entfernen auch nochmal eine kaspersky meldung, das ein trojaner in einer anderen datei entdeckt und gelöscht wurde.
ich bin jetzt nicht ganz sicher ob das problem im griff ist, oder ob noch reste von coolwwwsearch übrig sind.

allerdings verwirrt mich der log von hijackthis den ich jetzt unter normalsystem erstellt habe, weil einige einträge die ich löschen sollte wieder drinn sind (bsp. R3 Default URLSearchHook is missing) und die unter O2 stehen jetzt mit nofile drinn. ich hab halt keine ahnung, vielleicht könntest du nochmal über den aktuellen hijack log drüber schauen ob da nochwas raus muss.

ps: du hast mir mit deiner hilfe den rest der feiertage gerettet, vielen dank nochmals ! 

der log:

Logfile of HijackThis v1.99.1
Scan saved at 01:34:37, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Dokumente und Einstellungen\Psionic\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.druckwelle-hq.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7F0F2565-877E-9354-50D9-CAEBA6908734} - (no file)
O2 - BHO: (no name) - {9FDF9F05-731F-BB1B-8038-145341EE7FEB} - (no file)
O2 - BHO: (no name) - {B291DEE2-D9B2-592B-0C2E-27B58D348424} - (no file)
O2 - BHO: (no name) - {E064B1BE-9CE1-12FD-649D-C3AF86045971} - (no file)
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124315208265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125221345453
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

tyco

26. Dezember 2005, 09:18:05 Uhr #105
Dein Logfile scheint sauber zu sein. Diese unnötigen Einträge kannst Du noch fixen:

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {7F0F2565-877E-9354-50D9-CAEBA6908734} - (no file)

O2 - BHO: (no name) - {9FDF9F05-731F-BB1B-8038-145341EE7FEB} - (no file)

O2 - BHO: (no name) - {B291DEE2-D9B2-592B-0C2E-27B58D348424} - (no file)

O2 - BHO: (no name) - {E064B1BE-9CE1-12FD-649D-C3AF86045971} - (no file)
Bitte keine Supportanfragen per PM stellen.

marco1972

26. Dezember 2005, 11:33:40 Uhr #106
ich hab jetzt noch 2 mal gefixt und das system neu gestartet, aber 4 von den einträgen kommen scheinbar immer wieder.

dieser bleibt weg:
R3 - Default URLSearchHook is missing

diese kommen wieder:
O2 - BHO: (no name) - {7F0F2565-877E-9354-50D9-CAEBA6908734} - (no file)
O2 - BHO: (no name) - {9FDF9F05-731F-BB1B-8038-145341EE7FEB} - (no file)
O2 - BHO: (no name) - {B291DEE2-D9B2-592B-0C2E-27B58D348424} - (no file)
O2 - BHO: (no name) - {E064B1BE-9CE1-12FD-649D-C3AF86045971} - (no file)

heisst das das noch ein rest vom coolwwwsearch auf dem system ist ?
was mich auch etwas wundert ist, das ich beim ersten fix keine der dateien zum löschen gefunden habe. hätte nicht
wenigesten eine davon auf dem system sein müssen ? ich mein irgendwo musste die malware ja drinn sein.
nur so zum besseren verständnis.

penny2882

27. Dezember 2005, 03:16:31 Uhr #107
Hallo, also ich bins nochmal. Hab noch vier std. Suchen, Finden, Löschen, Fixen, Scannen usw. Es endlich geschafft mein System ist wieder fit.
Wollt mich an dieser stelle nochmal bedanken, dass es so leute wie euch gibt, die einem da weiterhelfen. Super Sache von euch. U. als Leihentip. Der Shredder (denk ich) hat es geschafft bei mir.  Viel Glück noch u. fr0hes neues Jahr euch allen. Bis dann, aber hoffentlich nicht wegen nem Virus o. ähnlichem..... ;)

marco1972

28. Dezember 2005, 00:07:31 Uhr #108
habs raus. teatimer hat die einträge immer wieder reingeschrieben. ich musste also teatimer für das löschen der einträge mit hijackthis vorübergehend disablen.
hab nach anweisung von den leuten vom spybot forum auch noch ein cws-killer namens "aboutbuster" laufen lassen, der hat dann wohl die letzen reste von coolwwwsearch entfernt.

an dieser stelle nochmals danke für eure hilfe !!!

tyco

28. Dezember 2005, 00:23:30 Uhr #109
Joa, Teatimer ist so ein Tool für sich. Ich habe es einfach deaktiviert.

Aber danke für den Tipp.
Bitte keine Supportanfragen per PM stellen.

joeBer

30. Dezember 2005, 14:59:08 Uhr #110 Letzte Bearbeitung: 05. Januar 2006, 18:21:52 Uhr von joeBer
... DANKE!

tyco

30. Dezember 2005, 15:57:28 Uhr #111
Die Systemwiederherstellung kannst Du hier deaktivieren:

Start > Programme > Zubehör > Systemprogramme > Systemwiederherstellung

Fixe im abgesicherten Modus (F8) folgende Einträge:

C:\WINDOWS\system32\addsm.exe

C:\WINDOWS\system32\msgx.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fezur.dll/sp.html#53142%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fezur.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\fezur.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fezur.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fezur.dll/sp.html#53142%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fezur.dll/sp.html#53142%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fezur.dll/sp.html#53142%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {7B5897CE-01D2-D7AF-61DB-36843E94F97E} - C:\WINDOWS\crxd32.dll

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [powerdll] Dest068.exe

O4 - HKLM\..\Run: [init32] ATLIEHELPER.exe

O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\dgprpsetup.exe" /m

O4 - HKLM\..\Run: [msgx.exe] C:\WINDOWS\system32\msgx.exe

O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"

O4 - HKCU\..\Run: [br0ken] TForm1.exe

O4 - HKCU\..\Run: [Serviceprocess] Dest068.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6A1077-1627-45DB-A572-1754A435EAD6}: NameServer = 85.255.115.42,85.255.112.118

O17 - HKLM\System\CCS\Services\Tcpip\..\{653F54DF-E62B-4BC7-BC42-E376A49679C5}: NameServer = 85.255.115.42,85.255.112.118

O17 - HKLM\System\CCS\Services\Tcpip\..\{79C177F8-C291-4C4E-B104-17F3637C3D51}: NameServer = 85.255.115.42,85.255.112.118

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CE01DF5-229E-4859-B75B-F06014E8CDCD}: NameServer = 85.255.115.42,85.255.112.118

O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe (file missing)

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

Lösche im Explorer anschliessend das ganze Verzeichnis: C:\Programme\UnSpyPC (oder besser noch deinstalliere dieses dubiose Programm)

Weiterhin suchst Du folgende Dateien und löscht sie:

C:\WINDOWS\system32\addsm.exe

C:\WINDOWS\system32\msgx.exe

C:\WINDOWS\system32\fezur.dll

C:\WINDOWS\crxd32.dll

Dest068.exe

ATLIEHELPER.exe

C:\WINDOWS\system32\dgprpsetup.exe

TForm1.exe

Vor einem Neustart den Papierkorb leeren.
Bitte keine Supportanfragen per PM stellen.

bAuNz

04. Januar 2006, 21:56:49 Uhr #112
hey, habe da auch das problem ,wäre nett wenn sich jmd meine logs anguckn würde.



Logfile of HijackThis v1.99.1
Scan saved at 21:56:21, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Conceptronic\Bluetooth Software\BTTray.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: Class - {FA239BAA-E441-30B6-0ABB-3EAAF567B877} - C:\WINDOWS\winnx.dll
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: BTTray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136399573982
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136399561139
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006 trial\AVKWCtl.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Dokumente und Einstellungen\Andreas\Desktop\SFUninstaller.exe"  service (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

tyco

04. Januar 2006, 22:48:11 Uhr #113
@bAuNz: Welches Problem hast Du genau? Würde im abgesicherten Modus (F8) folgendes fixen:

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {FA239BAA-E441-30B6-0ABB-3EAAF567B877} - C:\WINDOWS\winnx.dll



Bitte keine Supportanfragen per PM stellen.

bAuNz

04. Januar 2006, 22:54:02 Uhr #114 Letzte Bearbeitung: 04. Januar 2006, 22:55:36 Uhr von bAuNz
Also ich habe CoolWWWSearch zuerst erfolgreich entfernt. Nach dem neustart des Rechners und des IE´s kam allerdings alles wieder, nun ist die Frage wie ich das für immer wegbekomme ;)

Wenn ich den IE öffne meldet Kaspersky mehrere Viren die er dann löscht und SSD will viele Einträge verändern.

tyco

04. Januar 2006, 23:00:59 Uhr #115
Vor der Entfernung solltest Du die Systemwiederherstellung deaktivieren und nach der Entfernung den Papierkorb löschen.
Bitte keine Supportanfragen per PM stellen.

MaxM

24. Januar 2006, 22:30:27 Uhr #116
Hallo,

ich hatte vor ein paar Tagen auch eine Infektion mit diesem CoolWWWSearch Mist. Ich bin ihn mit Hilfe des Spybot, AdAware und  Norton IS mühsam losgeworden. Aber seither macht mein PC manchmal komische Dinge. Wie von Zauberhand öffnet sich Paint und es wird ein Viereck oder ein Sern gezeichnet oder es öffnet sich der Editor und es wird ein Text reingeschrieben. Kann das auch mit CoolWWWSearch zusammen hängen oder hab ich mir da noch was anderes eingefangen? Ich hoffe, jemand hat eine Ahnung, was da los ist.

Alles Gute

Max
"After all, to the well-organised mind, death is but the next great adventure." (Albus Percival Wulfric Brian Dumbledore)

tyco

24. Januar 2006, 23:20:54 Uhr #117
Poste mal Dein HijackThis.log.
Bitte keine Supportanfragen per PM stellen.

MaxM

24. Januar 2006, 23:23:03 Uhr #118
Das würde ich gerne tun, wenn ich wüsste, wo ich das finde. Bin leider kein so extremer Spezialist. ;)  Könntest du mir sagen, wo cih dieses Hijack Protokoll finde? Ich hab Win XP.
"After all, to the well-organised mind, death is but the next great adventure." (Albus Percival Wulfric Brian Dumbledore)

tyco

24. Januar 2006, 23:29:42 Uhr #119
Ich kann Dir sagen wo Du HijackThis findest. Das Log-File musst Du selbst erstellen.

Hier--> http://www.merijn.org/files/hijackthis.zip
Bitte keine Supportanfragen per PM stellen.
Benutzer-Aktionen
Drucken
Nach oben Seiten 1 ... 4 5 6 7 8