Hallo,
wer kann mir helfen, diese Invasion zu beenden.
Also, wenn ich mit spybot arbeite, können folgende sechs Einträge nicht gelöscht werden.
CoolWWWSearch.HomeSearch: Daten (Datei, fixing failed)
C:\WINDOWS\ncfkm.log
CoolWWWSearch.HomeSearch: Daten (Datei, fixing failed)
C:\WINDOWS\qfszd.txt
CoolWWWSearch.HomeSearch: Daten (Datei, fixing failed)
C:\WINDOWS\ssmof.dat
CoolWWWSearch.SearchKlick: Daten (Datei, fixing failed)
C:\WINDOWS\fxoug.txt
CoolWWWSearch.SearchKlick: Daten (Datei, fixing failed)
C:\WINDOWS\kfkns.txt
CoolWWWSearch.SearchKlick: Daten (Datei, fixing failed)
C:\WINDOWS\qmapv.txt
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
Ich habe es dann mit hijackthis probiert. TMK hat mir empfohlen, welche Einträge ich aus dem logfile löschen sollte. Davon konnte ich aber die folgenden vier nicht loschen - auch nicht im abgesicherten Modus. Wer hat noch eine Idee !!??
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
hast du Spybot auch im Abgesichertem Modus Ausgeführt?
Das habe ich noch nicht ausprobiert. vielen Dank!
Klick in Hijackthis auf "open the misc tool section" und dann auf "delete an NT Service" und gebe die Namen an.
Aber bitte nur bei O23 Einträgen.
Vielen Dank für die beiden Tipps. Leider hat spybot im abgesicherten Modus nichts gebracht.
In der misc tool section "delete an NT Service" (auch im abgesicherten Modus angewandt) erhalte ich jeweils folgende Nachricht:
The service 'VAIOMediaPlatform-MusicServer-AppServer' is enabled and/or running. Disable it first, using Hijackthis itself (from the scan results) or the Services.msc window.
Bei Hijackthis erhalte ich jeweils die Nachricht, dass sich die files noch einmal selbst erstellt haben. Sie lassen sich also nicht löschen.
Wer hat eine Idee, was ich jetzt noch tun kann ?!
Versuche es mal nach dieser Anleitung:
Was bei O23-Einträgen zu unternehmen ist:
Hier werden alle nichtwindowseigenen Dienste aufgelistet. Diese Liste sollte identisch sein, mit den Autostarteinträgen des Msconfig-Tools unter Windows XP. Diverse Hijacking-Trojaner benutzen in Verbindung mit weiteren Autostartmöglichkeiten einen eigenen Dienst um sich immer wieder selbst neu zu installieren. Der komplette Name eines solchen Dienstes klingt zumeist äußerst wichtig, z. B. 'Network Security Service', 'Workstation Logon Service' oder 'Remote Procedure Call Helper', aber der interne Name (in Klammern) ist eine Sammlung unsinniger Zeichen, z. B. 'O?'ŽrtñåȲ$Ó'. Der hintere Teil der jeweiligen Zeile zeigt den Namen der Datei an, welche zu diesem Dienst gehört.
Achtung: Das 'Fixen' eines 023-Eintrages beendet und deaktiviert lediglich einen solchen Dienst. Es ist daher erforderlich, den Dienst entweder manuell oder mit einem entsprechenden Tool aus der Registry zu entfernen. In HijackThis 1.99.1 oder höher kann die Option 'Delete NT Service' unter 'Misc Tools' hierfür genutzt werden.
Quelle (http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial-p3.html#o23)
Ich werde mich gleich mal ans Werk machen und versuche es auf diese Weise. Vielen Dank !
Nachdem ich es nun geschafft habe, die von TMK empfohlenen files zu löschen, bleibt mein Problem vom Anfang leider immer noch bestehen. Ich habe immer noch meine CoolWWWsearch Trojaner auf dem Computer. Hier die nicht zu beseitigenden Dateien von spybot und danach mein logfile aus hijackthis.
Gibt es nicht vielleicht doch noch jemanden, der mir einen Ausweg oder eine Lösung verrraten kann ??!!!
CoolWWWSearch.HomeSearch: Daten (Datei, fixing failed)
C:\WINDOWS\ncfkm.log
CoolWWWSearch.HomeSearch: Daten (Datei, fixing failed)
C:\WINDOWS\qfszd.txt
CoolWWWSearch.HomeSearch: Daten (Datei, fixing failed)
C:\WINDOWS\ssmof.dat
CoolWWWSearch.SearchKlick: Daten (Datei, fixing failed)
C:\WINDOWS\fxoug.txt
CoolWWWSearch.SearchKlick: Daten (Datei, fixing failed)
C:\WINDOWS\kfkns.txt
CoolWWWSearch.SearchKlick: Daten (Datei, fixing failed)
C:\WINDOWS\qmapv.txt
Logfile of HijackThis v1.99.1
Scan saved at 19:26:12, on 29.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Rainer\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [waol.exe] C:\Programme\AOL 9.0a\waol.exe
O4 - HKLM\..\Run: [PCLEPCI] D:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093094044828
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4C81901-2F65-40CA-966C-99D4518F7338}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
Das HijackThis.log ist sauber.
Führe Spybot Search & Destroy im abgesicherten Modus aus. Anschliessend Papierkorb leeren.
Falls das nichts bringt kannst du die Dateien auch im abgesicherten Modus löschen.
Das war die Lösung des Problems. Mein System ist wieder sauber und die betreffenden Dateien gelöscht.
Vielen Dank für Eure Hilfe. Super !!!