Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: CWS oder was auch immer..

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.03.2006, 18:07   #1
TRex2003
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



hi,

ich sitze gerade an einem rechner, von dem ich einen trojaner nicht weg bekomme. vielleicht kann mir ja hier jemand helfen..

zum verhalten:

-> lässt sich über winlogon.exe laden (womit ich ihn nicht einfach löschen kann)
-> erscheint 3x in C:\WINDOWS\system32 in kryptischen dateinamen mit ~250kb (unterschiedlich)
-> wird von ad-aware als coolwebsearch identifiziert, aber cws shredder findet nichts
-> kaspersky av lässt das ding völlig kalt
-> dank der namensgebung á random kannich auch nicht im web suchen
-> abgesicherter modus hat auch noch nicht geholfen, da das drecksding wie gesagt mit winlogon geladen wird
-> hijackthis meldet, dass es sowas nicht entfernen kann
-> öffnet zwischendurch webseiten mit werbung

ach ja .. system = xp home sp2

bin für jede hilfe dankbar..

das HijackThis log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:06:15, on 2006-03-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Asia\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Zegarynka] C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Zegarynka.exe
O4 - Startup: Zegarynka.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{01511956-4256-4325-80D8-0D804F2656C5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{01511956-4256-4325-80D8-0D804F2656C5}: NameServer = 192.168.1.1
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m4jule191h.dll
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Alt 12.03.2006, 18:12   #2
Markus1234
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



fixe folgende einträge mit hijackthis

O4 - HKCU\..\Run: [Zegarynka] C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Z egarynka.exe

O4 - Startup: Zegarynka.exe

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m4jule191h.dll

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)

und leg' dir ein antiviren-programm und evtl. eine software-firewall zu. schützt zumindest vor den üblichen scriptkiddies
__________________


Alt 12.03.2006, 18:25   #3
Rene-gad
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



@TRex2003
Starte im abgesicherten Modus und suche im <systemroot>/alle Dateien, die Namen deren mehr als 8 Zeichen enthalten (die Suchmaske ????????*.*) und schmeiße die weg.
__________________

Alt 12.03.2006, 18:31   #4
BataAlexander
> MalwareDB
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



Hallo,

C:\WINDOWS\system32\m4jule191h.dll

sieht nach look2me aus. Lade Dir look2me Remover.

Scanne

C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Zegarynka.exe
C:\WINDOWS\system32\msiexec.exe
bei Jotti online ( siehe Signatur) und poste das Ergebnis.

@Markus1234:
Zitat:
und leg' dir ein antiviren-programm und evtl. eine software-firewall zu. schützt zumindest vor den üblichen scriptkiddies
1) Nein
2) scriptkiddies
3) eine PFW schützt vor nichts!



Gruß

Edit: Hallo Rene-gad

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 12.03.2006, 18:32   #5
Rene-gad
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



Zitat:
Zitat von Markus1234
fixe folgende einträge mit hijackthis
Zitat:
O4 - HKCU\..\Run: [Zegarynka] C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Zegarynka.exe
O4 - Startup: Zegarynka.exe
Warum muss man das fixen? Nur weil es auf polnisch ist?
Zitat:
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m4jule191h.dll
Die Datei wird ihre Name nach jedem Neustart wechseln (s. dazu meinen vorigen Posting)
Zitat:
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)
Ist wohl nur der Windows-Installer
Zitat:
und leg' dir ein antiviren-programm
hat er schon
Zitat:
und evtl. eine software-firewall zu.
Brauch man nicht, um so mehr KAV5 hat schon eine in sich.
@Markus1234
Dein Wunsch zu helfen ist lobesnwert, was ich vom Inhalt deines Postings nicht behaupten kann.
EDIT: Mion Schrulli


Alt 12.03.2006, 19:32   #6
TRex2003
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



danke für die schnelle reaktion..

also ich hab jetzt mal mit spybot search & destroy gewerkelt und bin soweit gekommen, dass der mir sehr viel mehr angezeigt hat. da der aber auch nicht alles entfernen konnte, hab ich mal eine reparaturinstallation gemacht (ging am schnellsten, wennauch eine Neuinstallation möglicherweise noch nötig ist) und siehe da, spybot findet nur noch einen

Log:

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-03-12 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-03-10 Includes\Cookies.sbi (*)
2006-03-10 Includes\Dialer.sbi (*)
2006-03-10 Includes\Hijackers.sbi (*)
2006-03-10 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-03-10 Includes\Malware.sbi (*)
2006-03-10 Includes\PUPS.sbi (*)
2006-03-10 Includes\Revision.sbi (*)
2006-03-10 Includes\Security.sbi (*)
2006-03-10 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-03-10 Includes\Trojans.sbi (*)


den command service konnte er jetzt nich direkt beheben..muss erst neu starten. zumindest hab ich einen anhaltspunkt. look2me scheint es nicht gewesen zu sein, denn das tool dafür fand nix..


edit: nach einem anderen tool gibts keinen cmdservice mehr (laut spybot) aber es gehen immer noch fenster auf mit werbung - und zwar im minutentakt .. das ist extrem nervig.. gibts noch ne lösung?

Geändert von TRex2003 (12.03.2006 um 19:57 Uhr)

Alt 12.03.2006, 23:21   #7
Markus1234
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



Zitat:
@Markus1234
Dein Wunsch zu helfen ist lobesnwert, was ich vom Inhalt deines Postings nicht behaupten kann.
der versuch zählt, meine "tips" waren nicht schädlich und hätten auch geholfen.

der windows installier war zumindest fehlerhaft, die polnische datei - hab ich nix gegen .. nur im startmenü kam mir ein bisschen spanisch vor.

eine software firewall hilft übrigens sehr wohl gegen "scriptkiddies", sprich wannabe-hacker

Alt 12.03.2006, 23:27   #8
BataAlexander
> MalwareDB
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



Hallo,

mache einen eScan, Anleitung in meiner Signatur verlinkt uns poste den Inhalt der C:\eScan_neu.txt hier.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 13.03.2006, 03:13   #9
MightyMarc
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



Zitat:
Zitat von Markus1234
der versuch zählt, meine "tips" waren nicht schädlich und hätten auch geholfen.
Mach's wie ich (wenn ich mir nicht 1000%ig sicher bin, was selten vorkommt): poste Deine Erkenntnis unter Vorbehalt.

Zitat:
eine software firewall hilft übrigens sehr wohl gegen "scriptkiddies", sprich wannabe-hacker
Dafür reicht auch ein gerüttelt Maß an sinnvoller Systemkonfiguration. Mal abgesehen von den zusätzlichen Angriffsvektoren, die so ein Softwareklotz mit sich bringt, erlebe ich tagein tagaus, dass eine PFW regelmäßig Ärger verursacht ("Zur Hülf! Das Programm ***hier den Namen einer x-beliebigen Anwendung die auf's Netz zugreift einsetzen*** spinnt").
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 13.03.2006, 07:30   #10
TRex2003
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



also die polnische datei ist ein programm, das die uhrzeit zwischendurch vorliest und gehört der stolzen besitzerin eines virenverseuchten pcs.

ich komm leider erst wieder nächstes we dahin, aber die meisten dinger hab ich ja unten. allerdings hat mir die zeit nimmer gereicht, um zu testen, ob noch was übrig ist (der remover für cmdService hat zumindest ohne neustart dafür gesorgt, dass spybot nix mehr findet - nach dem reboot musste ich dann weg).

bisher hab ich noch keine email bekommen, was evt heißt, dass ich alles erwischt hab.. wird sich noch rausstellen.

in weiser vorraussicht hab ich einem etwas versierterem mitbewohner ne email geschickt mit der escan anleitung

Alt 13.03.2006, 21:12   #11
TRex2003
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



so..war leider doch nicht weg :/


hier die escan_neu datei:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Mar 13 18:56:38 2006 => System found infected with ezula Spyware/Adware (cheap holiday travel.url)! Action taken: No Action Taken.
Mon Mar 13 18:56:38 2006 => System found infected with ezula Spyware/Adware (free online music.url)! Action taken: No Action Taken.
Mon Mar 13 18:56:38 2006 => System found infected with ezula Spyware/Adware (online dating.url)! Action taken: No Action Taken.
Mon Mar 13 18:56:41 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Mon Mar 13 18:56:39 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Mar 13 18:56:43 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Mar 13 18:56:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Desktop\cheap holiday travel.url
Mon Mar 13 18:56:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Desktop\free online music.url
Mon Mar 13 18:56:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Desktop\online dating.url
Mon Mar 13 18:56:41 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\temp\outlook logging\firstrun.log
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Mar 13 18:56:22 2006 => File C:\WINDOWS\system32\LPCMP11n.DLL tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 18:56:46 2006 => File C:\!KillBox\kedtat.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 18:57:01 2006 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GLZPCAI7\AppWrap[1].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:01:48 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\F6F10.tmp tagged as "not-a-virus:AdWare.Win32.Suggestor.q". Action Taken: No Action Taken.
Mon Mar 13 19:01:50 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\i13.tmp tagged as "not-a-virus:AdWare.Win32.SurfSide.j". Action Taken: No Action Taken.
Mon Mar 13 19:02:11 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr05F3 tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:11 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr2523 tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:11 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr66C3 tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:12 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr698E tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:41 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\W86NAN7H\package_NNSTP5[1].exe tagged as "not-a-virus:AdWare.Win32.BargainBuddy.ak". Action Taken: No Action Taken.
Mon Mar 13 19:03:01 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[1].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:01 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[2].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:01 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[3].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:02 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[4].exe tagged as "not-a-virus:AdWare.Win32.Zestyfind". Action Taken: No Action Taken.
Mon Mar 13 19:03:02 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\package_NNSTP5[1].exe tagged as "not-a-virus:AdWare.Win32.BargainBuddy.ak". Action Taken: No Action Taken.
Mon Mar 13 19:03:02 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NU1534E9\NNSCAA638[1].EXE tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NU1534E9\ventfe1[1].exe tagged as "not-a-virus:AdWare.Win32.BookedSpace.e". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PAEVCK05\AppWrap[1].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PAEVCK05\jw4p[1].cab tagged as "not-a-virus:AdWare.Win32.Suggestor.q". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PAEVCK05\ZICORN001[1].exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc10.EXE tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc12\newdotnet7_22.dll tagged as "not-a-virus:AdWare.Win32.NewDotNet.i". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc12\uninstall6_38.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc12\uninstall7_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet.e". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc13.tmp tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc14.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc15.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc16.tmp tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc2.exe tagged as "not-a-virus:AdWare.Win32.Suggestor.o". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc4.exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc5.exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:28:43 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc6.exe tagged as "not-a-virus:AdWare.Win32.Suggestor.q". Action Taken: No Action Taken.
Mon Mar 13 19:28:43 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc7.exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:29:00 2006 => File C:\ventfe1.exe tagged as "not-a-virus:AdWare.Win32.BookedSpace.e". Action Taken: No Action Taken.
Mon Mar 13 19:30:31 2006 => File C:\WINDOWS\876056.exe tagged as "not-a-virus:AdWare.Win32.Mirar.d". Action Taken: No Action Taken.
Mon Mar 13 19:39:31 2006 => File C:\WINDOWS\iconu.exe tagged as "not-a-virus:AdWare.Win32.Zestyfind". Action Taken: No Action Taken.
Mon Mar 13 19:41:11 2006 => File C:\WINDOWS\NDNuninstall7_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet.e". Action Taken: No Action Taken.
Mon Mar 13 19:41:14 2006 => File C:\WINDOWS\Ooitmzrd.dll tagged as "not-a-virus:AdWare.Win32.BookedSpace.g". Action Taken: No Action Taken.
Mon Mar 13 19:47:55 2006 => File C:\WINDOWS\Temp\bw2.com tagged as "not-a-virus:AdWare.Win32.Zestyfind". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Mar 13 18:56:39 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Asia\Eigene Dateien\ea games\die sims 2\music\cas
Mon Mar 13 18:56:43 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Asia\Eigene Dateien\ea games\die sims 2\music\cas
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Mar 13 19:57:05 2006 => Total Errors: 81
Mon Mar 13 19:57:05 2006 => Time Elapsed: 01:01:14
Mon Mar 13 19:57:05 2006 => Total Objects Scanned: 68889
Mon Mar 13 18:48:20 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 18:49:51 2006 => Virus Database Date: 3/13/2006
Mon Mar 13 18:55:06 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 19:57:06 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 19:59:06 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 20:10:33 2006 => Virus Database Date: 3/7/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
edit: hab ich schon erwähnt, dass da kaspersky drauf is?!?!

Geändert von TRex2003 (13.03.2006 um 21:17 Uhr)

Alt 14.03.2006, 00:32   #12
MightyMarc
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



Versuche mal folgendes:

1. Installiere Clearprog. Starte es und setze den Haken bei "alles löschen" und dann Löschen drücken. http://www.clearprog.de

2. Lade Dir folgende Datei http://rapidshare.de/files/15442636/trex2003.bat.html und starte sie im abgesicherten Modus.

Danach nochmal eScan laufen lassen und berichten.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 19.03.2006, 17:29   #13
TRex2003
 
CWS oder was auch immer.. - Standard

CWS oder was auch immer..



also das hat nich geholfen..ich hab dann die radikalmethode genommen und C:\WINDOWS\, dokumente und einstellungen sowie alle ordner in programme, die nicht von spielen oder so waren, gelöscht.

nun ist windows neu installiert und sämtliche würmer, viren & trojaner

(wenns mal wieder länger dauert, nimm format C: )

danke für die bemühungen, aber hier war das system nimmer zu retten..sogar die windows firewall war irgendwie deinstalliert..

Antwort

Themen zu CWS oder was auch immer..
ad-aware, dll, einstellungen, entfernen, excel, explorer, hijack, hijackthis, hijackthis log, home, internet, internet explorer, kaspersky, logfile, logon.exe, msiexec.exe, nvidia, opera, rundll, software, system, temp, trojaner, tuneup utilities, unterschiedlich, windows, windows xp, winlogon.exe, öffnet




Ähnliche Themen: CWS oder was auch immer..


  1. Immer wiederkehrender Virus und immer neuer Name auch im Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 16.07.2012 (5)
  2. I am my own boss try it out for yourself oder auch http://curingtenniselbow.com
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (1)
  3. Internetseiten oder YT-Videos werden mit Mozilla Firefox sehr langsam oder auch gar nicht geladen
    Log-Analyse und Auswertung - 17.08.2010 (5)
  4. PC geht nur noch im Abgesicherten (und das auch nicht immer...)
    Plagegeister aller Art und deren Bekämpfung - 19.12.2009 (1)
  5. Pc friert immer ein, auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 16.11.2008 (2)
  6. Bei mir kommt auch immer diese IE Werbung - Hilfe!
    Log-Analyse und Auswertung - 27.05.2008 (9)
  7. problem mit nem Trojaner oder auch nicht...
    Plagegeister aller Art und deren Bekämpfung - 17.11.2007 (6)
  8. Msn Wurm, Trojaner oder was auch immer.
    Plagegeister aller Art und deren Bekämpfung - 13.08.2007 (7)
  9. Ich hab folgende trojaner oder adware oder was auch immer gefunden!
    Log-Analyse und Auswertung - 23.07.2006 (15)
  10. auch mein pc startet immer wieder neu
    Plagegeister aller Art und deren Bekämpfung - 31.05.2006 (10)
  11. Trojaner, Virus oder wie auch immer?!?! Geänderte Registrierung :-(
    Log-Analyse und Auswertung - 21.03.2006 (9)
  12. Virus, Trojaner, oder was auch immer
    Log-Analyse und Auswertung - 03.01.2006 (27)
  13. Trojaner oder was auch immer
    Plagegeister aller Art und deren Bekämpfung - 13.06.2005 (3)
  14. Ratlos mit se.dll (oder auch noch was anderes?)
    Log-Analyse und Auswertung - 05.05.2005 (3)
  15. virus/ trojaner was auch immer...
    Plagegeister aller Art und deren Bekämpfung - 14.01.2005 (12)
  16. about:blank, der auch nach dem Löschen immer wieder kommt
    Log-Analyse und Auswertung - 31.08.2004 (5)

Zum Thema CWS oder was auch immer.. - hi, ich sitze gerade an einem rechner, von dem ich einen trojaner nicht weg bekomme. vielleicht kann mir ja hier jemand helfen.. zum verhalten: -> lässt sich über winlogon.exe laden - CWS oder was auch immer.....
Archiv
Du betrachtest: CWS oder was auch immer.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.