Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: coolwebsearch

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.01.2006, 04:45   #1
Light
 
coolwebsearch - Icon17

coolwebsearch



Hallo Leute,

ich habe euch über GOOGLE gefunden und ich habe ein riesen Problem.
Ich habe schon verschiedene Foren durchforstet, u.a. auch Beiträge geschrieben und leider hab ich wenig Ahnung von Viren, da ich gottseidank noch nie damit zu tun hatte.

Ich brauche ein Virenprogramm, ja das weiss ich, aber ich kann kein Englisch, bzw. nicht ausreichend um mit den meisten Programmen klar zu kommen und ich habe leider zu wenig Ahnung wie ich heute feststellen musste um etwas passendes zu finden.

Ich besitze ein Laptop mit Windows XP und gehe über den Internetexplorer ins Netz, ausserdem habe ich die Windowseigene Firewall, welche auch aktiv ist.

Also hier mein Problem:

Seit FR habe ich einen Virus, Trojaner, Spyware und noch einiges anderes.
Angefangen hat alles, dass ich auf einmal ein Programm namens ms.exe auf meinem PC fand, was am 13.01. installiert worden sein soll.Ich habe aber ein solches Programm nicht installiert. Ich habe es gelöscht, da es sich weder öffnen lies noch sonstiges.
Als ich dann ins Internet ging, hatte ich keine Startseite mehr und es stand in der Leiste about:blank.
Leider war es nicht blank, denn ich hatte eine Anzeige:Cool WEB Search.
ich konnte keine andere startseite einfügen, dieses habe ich bestimmt zwanzig mal versucht.
Also machte ich mich auf die Suche über Google, leider dauerte es ewig bis sich die seiten aufbauten und ich habe mich bisher soweit informiert, dass es wohl spyware ist, welche sich nicht leicht entfernen lässt, den PC langsamer macht und einiges mehr.
Ich habe danach Ad-aware drüber laufen lassen. Diese fand CWS und clicksearch als böse einträge.
Ich löschte sie über den button von ad-aware.
Leider tauchten sie beim erneuten scan wieder auf, ich löschte sie zum zweiten mal.
damit war das problem nicht behoben, auch nicht nach dem neustart.
Ich habe foren durchforstet und habe Hijack drüberlaufen lassen.Leider auch auf englisch....
Dann Panda, aber das hat sich immer wieder aufgehängt, XSOFTSPY, hat mir zwar schön alles aufgelistet aber dann kam: bitte registrieren sie sich für nur 29, 95€.
es hat 33 minuten gedauert und dann das, obwohl free drinstand!!!
So, alles was ihr an INFOS braucht bitte sagen, ich werde mich darum bemühen es zu beschaffen.
Hier ein LOG, welches ich hoffe, dass einer was damit anfangen kann:


Logfile of HijackThis v1.99.1
Gut Zeigt die Version von HijackThis an. Neuste Version: v1.99.1!
Ihre Version sollte aktuell sein. (v1.99.1)
Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Gut Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2900.2180!
Ihre Version sollte aktuell sein. (6.00.2900.2180)
C:\WINDOWS\System32\smss.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\winlogon.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\services.exe
Gut Laufender Prozess. (services.exe)
Systemprozess - Verwaltet die Systemdienste.


C:\WINDOWS\system32\lsass.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\Ati2evxx.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.


C:\WINDOWS\System32\svchost.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\spoolsv.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\sdkjo32.exe
Unbekannt Laufender Prozess. (sdkjo32.exe)

Dies ist ein unbekannter Prozess.

C:\WINDOWS\system32\Ati2evxx.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\Explorer.EXE
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\SOUNDMAN.EXE
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
Gut Laufender Prozess. (SynTPLpr.exe)



C:\Programme\Synaptics\SynTP\SynTPEnh.exe
Gut Laufender Prozess. (SynTPEnh.exe)



C:\Programme\Launch Manager\LaunchAp.exe
Gut Laufender Prozess. (LaunchAp.exe)
Acer Launch Manager


C:\Programme\Launch Manager\HotkeyApp.exe
Gut Laufender Prozess. (HotkeyApp.exe)
Acer Launch Manager


C:\Programme\Launch Manager\OSD.exe
Gut Laufender Prozess. (OSD.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\program\netropa\onscreen display\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\Launch Manager\Wbutton.exe
Gut Laufender Prozess. (Wbutton.exe)
Wireless Button


C:\Programme\Home Cinema\PowerCinema\PCMService.exe
Gut Laufender Prozess. (PCMService.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\dell\media experience\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\WINDOWS\system32\rundll32.exe
Gut Laufender Prozess. (rundll32.exe)
RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.


C:\Programme\MSN Messenger\MsgPlus.exe
Gut Laufender Prozess. (MsgPlus.exe)
Messenger Plus

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\messengerplus! 3\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
Gut Laufender Prozess. (atitray.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\ray adams\ati tray tools\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\eMule\emule.exe
Gut Laufender Prozess. (emule.exe)
eMule filesharing

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\emule0.46c\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\WINDOWS\system32\crex.exe
Unbekannt Laufender Prozess. (crex.exe)

Dies ist ein unbekannter Prozess.

C:\WINDOWS\System32\svchost.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\Programme\Internet Explorer\iexplore.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\kavss.exe
Gut Laufender Prozess. (kavss.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\bases_x\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\Internet Explorer\iexplore.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\Programme\WinRAR\WinRAR.exe
Gut Laufender Prozess. (WinRAR.exe)
WinRar Packer


C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\Rar$EX04.793\HijackThis.exe
Gut Laufender Prozess. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
Gut Diese Seite wurde als Gut identifiziert!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R3 - Default URLSearchHook is missing
Böse Dieser Eintrag wurde von unseren Besuchern als böse eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
O2 - BHO: Class - {346A3F48-1536-DD4B-2EE6-069E340D4822} - C:\WINDOWS\apigh32.dll
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([346A3F48-1536-DD4B-2EE6-069E340D4822] - Treffer: 346A3F48-1536-DD4B-2EE6-069E340D4822) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen!
O2 - BHO: Class - {5376C008-43E9-B01E-C70A-C935910F0FD2} - C:\WINDOWS\d3xv32.dll
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([5376C008-43E9-B01E-C70A-C935910F0FD2] - Treffer: 5376C008-43E9-B01E-C70A-C935910F0FD2) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen!
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
Gut Synaptics touchpad driver helper. Required for touchpad features to work
Trefferquote: 82 % (Resultate)

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
Gut
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
Gut Part of Acer Launch Manager - programmable keys on such laptops as the TravelMate 610
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
Gut Acer Launch Manager
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
Gut
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
Gut OnScreenDisplay
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
Gut Wireless Button
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
Gut In a Dell\Media Experience sub-directory
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
Gut Conzeptronic-USB-Dongle
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
Gut Control panel for the ATI series of video cards allowing access to such features as display resolution, colour depth, etc. Available via Start -> Settings -> Control Panel -> Display. Some users may need it if they have optimised their settings
Trefferquote: 94 % (Resultate)

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
Gut Third party MSN Messenger extension that hides banner ads and adds archiving and other useful features. Appears not to work unless checked, but may be activated after startup. Not recommended as it includes Lop.com - see here
Trefferquote: 72 % (Resultate)
Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Gabis Babe\Startmenü\Programme\Autostart\ms.exe" /m
Unbekannt
Trefferquote: 9 % (Resultate)
Nicht bekanntes Programm.
O4 - HKLM\..\Run: [atlkf.exe] C:\WINDOWS\system32\atlkf.exe
Eventuell Böse
Trefferquote: 6 % (Resultate)
Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\Run: [javapm32.exe] C:\WINDOWS\system32\javapm32.exe
Eventuell Böse
Trefferquote: 5 % (Resultate)
Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\Run: [crex.exe] C:\WINDOWS\system32\crex.exe
Eventuell Böse
Trefferquote: 7 % (Resultate)
Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
Gut ATI Tray Tool - allows quick access to ATI graphics card settings
Trefferquote: 83 % (Resultate)
Nicht gefährlich aber unnötig.
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Gut Der Eintrag Nach Microsoft &Excel exportieren wurde als Gut erkannt.
Wenn der Eintrag 'Nach Microsoft &Excel exportieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
Unnötig Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.
Wenn der Eintrag 'Get More Games ' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
Unnötig Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.
Wenn der Eintrag 'Get More Games ' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
Gut Der Eintrag Recherchieren wurde als Gut erkannt.
Wenn der Eintrag 'Recherchieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
Unnötig Der Eintrag Messenger wurde als Gut erkannt.
Wenn der Eintrag 'Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
Unnötig Der Eintrag Windows Messenger wurde als Gut erkannt.
Wenn der Eintrag 'Windows Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingame/luxr/default/mjolauncher.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
Gut Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Die Eingegebene IP oder Domäne '192.168.178.1' wurde als gut identifiziert.
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
Gut Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
Dieser Dienst (Ati2evxx.exe) wurde als gut identifiziert.
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
Gut Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
Dieser Dienst (ati2sgag.exe) wurde als gut identifiziert.
O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Dokumente und Einstellungen\Gabis Babe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUZ41AB\SFUninstaller[1].exe" service (file missing)
Unnötig Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
Unbekannter Dienst. (SFUninstaller[1].exe" service (file missing))
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

Was soll ich tun?

Bitte helft mir!!

LG Light

Alt 15.01.2006, 04:54   #2
Light
 
coolwebsearch - Icon22

coolwebsearch



Ich habe gerade gesehen, dass in diesem Log auch noch der ms.exe vorkommt, laut log im autostart, aber in meinem autostart steht (leer), wie kann ich diese anwendung finden??

Denn ich habe sie ja bereits gelöscht, permanent!! Nicht nur im Papierkorb, hm????

LG Light
__________________


Alt 15.01.2006, 05:22   #3
Light
 
coolwebsearch - Standard

coolwebsearch



Ich schon wieder, so ich habe jetzt HITVIRUS laufen lassen, das hat mir meine Firewall empfohlen.
Nach erstem Scan folgendes:

Logfile ofHit Virus v158
Scan saved at 05:07:15, on 15.1.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer build 6.0.2900.2180

[Spyware] [Cookie] [adblock.com] [Spyware cookie - adblock.com]
[Spyware] [Cookie] [cashtoolbar.com] [Spyware cookie - cashtoolbar.com]
[Spyware] [Cookie] [hitexchange.net] [Spyware cookie - hitexchange.net]
[Spyware] [Cookie] [abcsearch.com] [Spyware cookie - abcsearch.com]
[Spyware] [Cookie] [abcsearch.com] [Spyware cookie - abcsearch.com]
[Spyware] [Cookie] [abcsearch.com] [Spyware cookie - abcsearch.com]
[Spyware] [Cookie] [as1.falkag.de] [Spyware cookie - falkag.de]
[Spyware] [Cookie] [clickbank.net] [Spyware cookie - clickbank.net]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [mediaplex.com] [Spyware cookie - mediaplex.com]
[Spyware] [Cookie] [www.adminder.com] [Spyware cookie - adminder.com]
[Spyware] [Cookie] [www.adminder.com] [Spyware cookie - adminder.com]
[Spyware] [Run HKLM] [javapm32.exe] [C:\WINDOWS\system32\javapm32.exe]

Dann hab ich da REMOVE nicht geht unter PRIVACY alles gelöscht, password, typed adresses, history and cookies of search assistant, recent documents, run history, wallpapers changed history, people history, streams history und noch vieles mehr, eben alles was man clearen konnt.
Neues Screenen ergab das:

Logfile ofHit Virus v158
Scan saved at 05:11:56, on 15.1.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer build 6.0.2900.2180

[Spyware] [Run HKLM] [javapm32.exe] [C:\WINDOWS\system32\javapm32.exe]

Was ich toll finde: Spyware Doctor iss deutsch, freude, freude!!
Sobald der fertig ist poste ich euch noch das LOG, dann sollte ich doch einige Infos geliefert haben, dass ihr vielleicht nicht allzuviel durchforsten müsst, oder?

LG Light

PS: entschuldigt, dass ich so oft hintereinander poste, aber ich will soviele Infos wie möglich liefern!
edit:
So, jetzt noch das Log aus Spyware Doctor:

Erstellt am 15.1.2006 03:47:59 Spyware Doctor-Homepage PC Tools Homepage Technische Unterst?


Suchen (grunds?liche Information):

Suchergebnisse:
Suche starten: 15.1.2006 03:48:20
suche anhalten: 15.1.2006 03:57:47
durchsuchte Objekte: 68870
gefundene Objekte: 118
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts file scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner



Name der Infizierung Standort Risiko
CWS.Home Search Assistant C:\WINDOWS\apigh32.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\d3xv32.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\crex.exe Hoch
CWS.Home Search Assistant multiple Hoch
CWS.Home Search Assistant HKLM\Software\Microsoft\Windows\CurrentVersion\Run##crex.exe Hoch
Common Components for About Blank HKCU\Software\Microsoft\Internet Explorer\Main##HomeOldSP Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##UninstallString Hoch
HotBar HKLM\SOFTWARE\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools## Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools## Niedrig
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Default_Search_URL Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Page Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Bar Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
Advertising C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@www.adwarereport[2].txt Niedrig
Advertising C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@www.adminder[2].txt Niedrig
Advertising C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@mediaplex[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@counter.hitslink[2].txt Mittel
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\1.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\2.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\3.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\4.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\15.tmp.exe Hoch
Carpe Diem C:\WINDOWS\Temp\MT Hoch
Carpe Diem C:\WINDOWS\Temp\MT\Oversexe_fellations[1].exe Hoch
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\addss32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apifz.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apimc.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apimq32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apise.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apitu32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\appwt32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\atlio.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\atljr32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\atlvk32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crdt32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crel.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crmg.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crnd.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\d3ef.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\ieba.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\ipha32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\ipvg32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\javaey32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\javayz.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\msaj32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\mski.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\netkn32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\sdkjo32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\sdkpq.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\sysde32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\addga.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\addoe.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\apilx32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\apivi32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\apiyb32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appcp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appig32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appoa.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appsc32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\atlez32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\atlmz32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\atltu.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\bwztt.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\crjh.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\crvi.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\d3qk.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\iehp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\ieub.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\javajt.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\javakw32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\javasl.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\mfcka32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\msrq.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\mszt32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkan.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkcc.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkcx.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkjb.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdksp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sysew.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\systp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\vspky.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\sysvx32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\winip.exe Hoch
CWS C:\WINDOWS\wvnob.log Hoch

Suchergebnisse:
Suche starten: 15.1.2006 05:13:35
suche anhalten: 15.1.2006 05:21:47
durchsuchte Objekte: 56362
gefundene Objekte: 58
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts file scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner



Name der Infizierung Standort Risiko
CWS.Home Search Assistant C:\WINDOWS\apigh32.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\d3xv32.dll Hoch
CWS.Home Search Assistant multiple Hoch
CWS.Home Search Assistant crex.exe (C:\WINDOWS\system32\crex.exe) Hoch
CWS.Home Search Assistant sdkjo32.exe (C:\WINDOWS\sdkjo32.exe) Hoch
Common Components for About Blank HKCU\Software\Microsoft\Internet Explorer\Main##HomeOldSP Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##UninstallString Hoch
HotBar HKLM\SOFTWARE\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools## Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools## Niedrig
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main | Search Page Hoch
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main | Search Bar Hoch
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Default_Search_URL Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Page Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Bar Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\1.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\2.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\3.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\4.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\15.tmp.exe Hoch
Carpe Diem C:\WINDOWS\Temp\MT Hoch
Carpe Diem C:\WINDOWS\Temp\MT\Oversexe_fellations[1].exe Hoch
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\bwztt.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\vspky.dll Hoch
CWS C:\WINDOWS\wvnob.log Hoch

Ich hoffe damit kann jmd mehr anfangen als ich!
__________________

Geändert von Light (15.01.2006 um 05:37 Uhr)

Alt 15.01.2006, 05:38   #4
BataAlexander
> MalwareDB
 
coolwebsearch - Standard

coolwebsearch



Hi,

poste mal ein komplettes Hijackthis logfile.

Dann mach einen eScan, Anleitung hier.

Lösche die gefundenen Dateien manuell.

Sollten Probleme mit der Internet-Verbindung auftreten, benutze dieses Tool:

Link : LSP reparieren

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Geändert von Schrulli (15.01.2006 um 05:46 Uhr)

Alt 15.01.2006, 05:52   #5
Light
 
coolwebsearch - Standard

coolwebsearch



hier eben erstelltes Log, da ich verschiedene Programme schon hab laufen lassen hab ich ein neues gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 05:50:12, on 15.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\crex.exe
C:\WINDOWS\sdkjo32.exe
C:\Programme\HitVirus\HitVirus.exe
C:\WINDOWS\explorer.exe
C:\Programme\PC Tools AntiVirus\PCTAV.exe
C:\Programme\PC Tools AntiVirus\ScanningProcess.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\Rar$EX06.871\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {346A3F48-1536-DD4B-2EE6-069E340D4822} - C:\WINDOWS\apigh32.dll
O2 - BHO: Class - {5376C008-43E9-B01E-C70A-C935910F0FD2} - C:\WINDOWS\d3xv32.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Gabis Babe\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [atlkf.exe] C:\WINDOWS\system32\atlkf.exe
O4 - HKLM\..\Run: [javapm32.exe] C:\WINDOWS\system32\javapm32.exe
O4 - HKLM\..\Run: [PCTAVApp] "C:\Programme\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-0CR3B.exe" /REG
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Hit Virus] C:\Programme\HitVirus\HitVirus.exe
O4 - HKCU\..\Run: [Hit Virus Monitor] C:\Programme\HitVirus\HitVirus_monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingame/luxr/default/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Dokumente und Einstellungen\Gabis Babe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUZ41AB\SFUninstaller[1].exe" service (file missing)


Alt 15.01.2006, 06:05   #6
BataAlexander
> MalwareDB
 
coolwebsearch - Standard

coolwebsearch



Hallo,

fixe unbedingt:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {346A3F48-1536-DD4B-2EE6-069E340D4822} - C:\WINDOWS\apigh32.dll

O2 - BHO: Class - {5376C008-43E9-B01E-C70A-C935910F0FD2} - C:\WINDOWS\d3xv32.dll

Lade Dir Killbox und lösche folgende Dateien on Reboot:

C:\WINDOWS\system32\crex.exe

C:\WINDOWS\sdkjo32.exe

C:\WINDOWS\system32\vspky.dll

C:\WINDOWS\apigh32.dll

C:\WINDOWS\d3xv32.dll

Wenn Du folgende Einträge nicht kennst auch unbedingt fixen:

O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Gabis Babe\Startmenü\Programme\Autostart\ms.exe" /m

O4 - HKLM\..\Run: [atlkf.exe] C:\WINDOWS\system32\atlkf.exe

C:\Programme\HitVirus\HitVirus.exe

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-0CR3B.exe" /REG

O4 - HKCU\..\Run: [Hit Virus] C:\Programme\HitVirus\HitVirus.exe

O4 - HKCU\..\Run: [Hit Virus Monitor] C:\Programme\HitVirus\HitVirus_monitor.exe

O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Dokumente und Einstellungen\Gabis Babe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUZ41AB\SFUninstaller[1].exe" service (file missing)

Dann dann die Dateien bei Jotti prüfen und ggf. mittels Killbox löschen.

Diese Datei ebenfalls bei Jotti prüfen und ggf. löschen

C:\WINDOWS\system32\javapm32.exe

Dannach noch mal ein HJT Logfile.

Gruß

Schrulli
__________________
--> coolwebsearch

Alt 15.01.2006, 06:38   #7
Light
 
coolwebsearch - Standard

coolwebsearch



Hallo,

Killbox runtergeladen, du wolltest auch noch eine MWAV oder sowas, gell? Ich hab eine, aber leider kann ich sie nich posten, da mein Internet mittlerweile so langsam iss, dass es sich bei einer so grossen datei aufhängt.
Von welchem Programm war das? eScan? das muss ich nochmal suchen, denn ich glaub das war nur im Temporary File Ordner, kannst du mir nochmal adresse geben, bitte?
ich hab mich bei denen reg, daran erinnere ich mich noch, ich weiss aber leider nimmer wo ich es hin hab, wenn ich den ganzen namen hab, kann ich es suchen...
Sorry wegen meiner zerstreutheit aber ich mach jetzt seit 14!!!!!STD rum um das Prob in den Griff zu kriegen!
Auch müsstest du mir nochmal sagen, wie ich was wegbekomme mit Hijack...

Danke dass du mir so schnell hilfst!

LG Light

Alt 15.01.2006, 06:46   #8
Light
 
coolwebsearch - Standard

coolwebsearch



Hallo nochmal,

ich hab mir HITVIRUS als Schutz runtergeladen, macht seine arbeit nicht schlecht!
Also das brauch ich nich löschen!
ms.exe war die datei aus meinem ersten beitrag, ich weiss nich wo ie herkommt, ich habe sie gelöscht, im autostart findet er sie nimmer, wo soll ich also suchen, denn offensichtlich ist sie noch da!

Nächste Frage, wie kann ich fixen??

Gruß Light

Alt 15.01.2006, 06:49   #9
Light
 
coolwebsearch - Standard

coolwebsearch



Bei der Datei, welche ich bei Jotti hochlanden sollt, kam diese Meldung:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file!

Das bedeutet was?

Alt 15.01.2006, 07:32   #10
Light
 
coolwebsearch - Standard

coolwebsearch



Hilfe, jetzt nachdem ich eScan geladen habe komm ich nur noch über eine andere Oberfläche überhaupt rein, denn meine hängt sich jedesmal auf und der PC startet neu....
immer und immer wieder..

kommt blaue maske: Es wurde ein Problem festgestellt....
leider kann ich den Rest nicht lesen, da es dann sofort verschwindet...

beim neuen scan, den ich machen sollt hat sich das Programm auf einmal aufgehängt und dann passierte das!!!!!
Wie komm ich wieder auf meine Oberfläche, und vorallem, ich dacht ich soll das Programm downloaden und dann scan machen, dann fixen...soweit kam ich gar nich erst...wie gesagt, es hängte sich beim scan auf....hat das damit zu tun, dass ich die deutsche version runtergeladen hab? wie ihr wisst kann ich nich genügend englisch, da bat sich das deutsche an.....

hab nur gesehen, dass das Program von sich aus gleich 107 dateien mit dem Wort trojaner darin gelöscht hat!!!

was mach ich jetzt? bitte um hilfe!!

Alt 15.01.2006, 08:00   #11
Light
 
coolwebsearch - Standard

coolwebsearch



Neues Log :

Logfile of HijackThis v1.99.1
Scan saved at 07:55:28, on 15.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\sdkxe32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\PROGRA~1\SPYWAR~2\TRAYSSER.EXE
C:\Programme\Launch Manager\HotkeyApp.exe
C:\PROGRA~1\SPYWAR~2\avpm.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\WINDOWS\System32\locator.exe
C:\PROGRA~1\SPYWAR~2\MAILDISP.EXE
C:\PROGRA~1\SPYWAR~2\AVPMWrap.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\SPYWAR~2\MAILSCAN.EXE
C:\PROGRA~1\SPYWAR~2\SPOOLER.EXE
C:\PROGRA~1\SPYWAR~2\kavss.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\SPYWAR~2\AvpM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\Programme\Spywarekiller\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Class - {7B4CB4A8-D1EF-22A5-DC8A-5D41F0137145} - C:\WINDOWS\nettx.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\Spywarekiller\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\SPYWAR~2\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [nettx.exe] C:\WINDOWS\nettx.exe
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\SPYWAR~2\AVPMWrap.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [addvn32.exe] C:\WINDOWS\system32\addvn32.exe
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingame/luxr/default/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkxe32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\SPYWAR~2\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\SPYWAR~2\avpm.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Ich hoffe das Problem findet sich, habe neue oberfläche gemacht und hol alles rüber, mal schaun ob das klappt!!!
Ich komm einfach nimmer auf meine andere!!!Ich versteh es nich...

Alt 15.01.2006, 09:13   #12
Light
 
coolwebsearch - Standard

coolwebsearch



nun geht das neue profil auch nicht mehr...was soll ich bloss tun?
wie komm ich in den abgesicherten modus?vielleicht geht es da!!! bitte hilfeeeee

Alt 15.01.2006, 10:48   #13
Kurt Dunzinger
 
coolwebsearch - Standard

coolwebsearch



Zitat:
Zitat von Light
nun geht das neue profil auch nicht mehr...was soll ich bloss tun?
wie komm ich in den abgesicherten modus?vielleicht geht es da!!! bitte hilfeeeee
Hallo Light,
Bei einem Systemneustart mit der Funktionstaste "F8".
Und noch'n Tip: Schmeiß die Nerven nicht weg und bleib cool, du kannst sowieso damit nichts besser machen, eher schlechter.
Ich hab bei meiner Verseuchung damals beinahe 14 Tage an dem System rumgemacht, die letzte Woche täglich zig Scans usw., um wieder sicher sein zu können...

Gruß

Kurt
__________________
"Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti)

Alt 15.01.2006, 13:00   #14
BataAlexander
> MalwareDB
 
coolwebsearch - Standard

coolwebsearch



Hallo,

Zitat:
ich hab mir HITVIRUS als Schutz runtergeladen, macht seine arbeit nicht schlecht!Also das brauch ich nich löschen!
so gut aber auch nicht, denn Dein System ist immer noch voll mit Schadsoftware.

eScan findest Du in diesem Post.

Zitat:
Hilfe, jetzt nachdem ich eScan geladen habe komm ich nur noch über eine andere Oberfläche überhaupt rein, denn meine hängt sich jedesmal auf und der PC startet neu....immer und immer wieder..
Du meinst, dass DU nur noch über einen anderen Benutzeraccount reinkommst?

Zitat:
hab nur gesehen, dass das Program von sich aus gleich 107 dateien mit dem Wort trojaner darin gelöscht hat!!!
NEIN, eScan löscht in der Freeversion nicht mehr! Diese Dateien, Einträge musst Du manuell löschen.

Zitat:
auf....hat das damit zu tun, dass ich die deutsche version runtergeladen hab? wie ihr wisst kann ich nich genügend englisch, da bat sich das deutsche an.....
Nein, es ist eine Multilanguage Software, heißt es sind mehrere Sprachversionen in der Datei enthalten.

Jetzt zu Deinem neuen Log:

Prüfe folgende Datei bei Jotti

C:\WINDOWS\sdkxe32.exe

Wenn verseucht, die Datei löschen und das hier fixen:

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkxe32.exe

Fixe unbedingt mittels HJT:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

O2 - BHO: Class - {7B4CB4A8-D1EF-22A5-DC8A-5D41F0137145} - C:\WINDOWS\nettx.dll

O4 - HKLM\..\Run: [nettx.exe] C:\WINDOWS\nettx.exe

O4 - HKLM\..\Run: [addvn32.exe] C:\WINDOWS\system32\addvn32.exe

Wenn Du die folgenden Einträge nicht kennst, willst, fixen:

O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

Zitat:
Sorry wegen meiner zerstreutheit aber ich mach jetzt seit 14!!!!!STD rum um das Prob in den Griff zu kriegen!
Auch müsstest du mir nochmal sagen, wie ich was wegbekomme mit Hijack...
Ich frag mich immer wieder, warum man dann nicht einfach ein vernüftiges Backup der Eigenen Dateien macht um dann frisch aufzusetzten? Das dauert meist nicht länger als 2 - 5 Stunden, wenn man komplett macht. Bei Deinem System bald zu raten.

Zitat:
Zitat von Kurt Dunzinger
Ich hab bei meiner Verseuchung damals beinahe 14 Tage an dem System rumgemacht, die letzte Woche täglich zig Scans usw., um wieder sicher sein zu können...
Bist Du nicht!
Wenn Dein System wirklich soo verseucht war, kannst Du Dir dessen nicht sicher sein.

@Light: Poste bitte dannach noch mal ein HJT

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 15.01.2006, 18:26   #15
Light
 
coolwebsearch - Standard

coolwebsearch



Hallo Schrulli,
ja jedesmal wenn ich auf mein Profil klicke nach dem Start, dann lädt er hoch und kurz bevor er alles ganz aufgebaut hat kommt eine blaue Seite!
Da sie leider immer gleich verschwindet und der PC neu startet konnte ich nur Bruchstücke lesen, z.b:

Es wurde ein Problem festgestellt, der PC wird neu gestartet...
bei Installation eScan....
Updates falsch....
Bitte überprüfen sie....

blabla, aber ich kann es nicht lesen, es geht sofort weg....
Ich verzweifle fast...
Ich hab nun ein neues Profil gemacht und meine Daten etc rübergeholt, das Problem was ich habe ist, dass ich mitten im Bewerbungschreiben bin und nichts verschicken kann!!! Ich weiss nicht was ich noch machen soll.
Mein Mann hat gesagt er geht einen portable Festplatte kaufen, macht da Datensicherung und will dann alles löschen. Nur leider kann ich nicht auf mein Profil!! Aber Abgesicherter Modus geht und das neue Profil hab ich auch zum laufen gebracht...

Ad-aware hat 33 critical objects gefunden und über "REMOVE" entfernt!
eScan hab ich installiert, nicht nur ausgeführt, danach hat sich eine Maske geöffnet und ein grünes Symbol unten rechts in die Symbolleiste gesetzt. Beim Scan sagte er mir 107 Dateien gefunden, automatisch 103 gelöscht, ich schau mal ob ich das LOG finde, vielleicht hab ich glück!

Also, ich hab Angst, wenn ich jetzt von der Oberfläche aus was mache und das System wieder zusammenbricht und ich wieder nichtmehr auf die Oberfläche komm...

was soll ich im ABGESICHERTEN MODUS kontrollieren? Wonach soll ich suchen?

Danke, dass du dir soviel Mühe machst!

Antwort

Themen zu coolwebsearch
ad-aware, auf einmal, aufgehängt, bho, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, content.ie5, drivers, einstellungen, entfernen, excel, explorers, google, hijack, hijackthis, home, iexplore.exe, immer wieder, internet explorer, launch, logon.exe, malware, ms.exe, object, programm, required, rundll, scan, software, spyware, svchost.exe, system, third party, trojaner, urlsearchhook, viren, virus, warum, wenig ahnung, windows, windows xp



Ähnliche Themen: coolwebsearch


  1. Adware.Coolwebsearch
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (10)
  2. wie entferne ich CoolWebSearch
    Mülltonne - 03.06.2012 (1)
  3. Adware.Coolwebsearch
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (11)
  4. CoolWebSearch Nachwirkungen
    Log-Analyse und Auswertung - 19.11.2007 (15)
  5. ich brauch hilfe (coolwebsearch)
    Log-Analyse und Auswertung - 03.03.2006 (4)
  6. Hilfe! CoolWebSearch, AZESearch...
    Log-Analyse und Auswertung - 25.07.2005 (3)
  7. Hilfe! CoolWebSearch, AZESearch...
    Mülltonne - 25.07.2005 (1)
  8. CoolWebSearch, die nächste
    Log-Analyse und Auswertung - 10.06.2005 (17)
  9. CoolWebSearch
    Log-Analyse und Auswertung - 07.06.2005 (5)
  10. CoolWebSearch
    Log-Analyse und Auswertung - 14.03.2005 (2)
  11. Mein Problem: Coolwebsearch und se.dll
    Log-Analyse und Auswertung - 19.02.2005 (6)
  12. coolwebsearch probleme
    Log-Analyse und Auswertung - 15.02.2005 (4)
  13. CoolWebSearch nicht zu entfernen
    Log-Analyse und Auswertung - 25.01.2005 (6)
  14. Coolwebsearch about:blank
    Log-Analyse und Auswertung - 12.01.2005 (4)
  15. Coolwebsearch
    Log-Analyse und Auswertung - 25.10.2004 (2)
  16. CoolWebSearch
    Plagegeister aller Art und deren Bekämpfung - 16.04.2004 (29)
  17. Coolwebsearch Trojan
    Plagegeister aller Art und deren Bekämpfung - 25.01.2004 (8)

Zum Thema coolwebsearch - Hallo Leute, ich habe euch über GOOGLE gefunden und ich habe ein riesen Problem. Ich habe schon verschiedene Foren durchforstet, u.a. auch Beiträge geschrieben und leider hab ich wenig Ahnung - coolwebsearch...
Archiv
Du betrachtest: coolwebsearch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.