Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: coolwwwsearch.leftovers

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.01.2007, 20:01   #1
maxxo
 
coolwwwsearch.leftovers - Standard

coolwwwsearch.leftovers



gut dann hier mein eigens thread dafür...
also ich hab seit einiger zeit das problem, dass sich in unregelmäßigen abständen ein sog. "nachrichtenfenster" mit verschiedenartigen meldungen öffnet (meist werbung für ein programm, welches dieses problem beheben soll).
ich habe nun mit spybot s&d scannen lassen und einen eintrag names "coolwwwsearch.leftovers" gefunden, der aber leider nicht zu entfernen ist und die ausführende datei winlogon.exe heißt.
ich habe mich auch etwas schlau gemacht und einige andere foren zu diesem problem durchsucht. dort wurde immer ein HijackThis log gepostet. also hab ich mir auch dieses programm besorgt und einen log erstellt, zusätzlich habe ich noch meine winlogon.exe bei VirusTotal durchlaufen lassen.
da ich leider nicht besonders bewandert bin in solchen sachen, wie einträge aus der registry löschen etc. und ich das gefuehl habe, dass es sich bei den HijackThis logs immer um individuelle logs handelt wollte ich mal hier jemanden um hilfe bitten...

hier mein HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:03:55, on 19.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\TrayIcon.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
E:\ANWEND~1\AVGANT~1\avgcc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Anwendungen\Common\Bin\WinCinemaMgr.exe
E:\ANWEND~1\AVGANT~1\avgamsvr.exe
E:\ANWEND~1\AVGANT~1\avgupsvc.exe
E:\ANWEND~1\AVGANT~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ArcorOnline\Arcor.exe
E:\Anwendungen\Spybot - Search & Destroy\SpybotSD.exe
E:\Anwendungen\Firefox 1.5\firefox.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\anwendungen\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\ANWEND~1\AVGANT~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Anwendungen\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Anwendungen\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{035B18CD-1907-407A-BC15-44E56E226736}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{035B18CD-1907-407A-BC15-44E56E226736}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - E:\Anwendungen\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

außerdem der befund von VirusTotal (sieht, denk ich mal, nicht besonders gut aus):
Complete scanning result of "winlogon.exe", received in VirusTotal at 01.19.2007, 18:07:19 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.19.2007 TR/Small.Click.M.2
Authentium 4.93.8 01.19.2007 W32/Mdmhpv.D@bd
Avast 4.7.936.0 01.18.2007 Win32:Trojan-gen. {UPX!}
AVG 386 01.18.2007 no virus found
BitDefender 7.2 01.19.2007 Trojan.Clicker.Small.B
CAT-QuickHeal 9.00 01.19.2007 W32.XMedia.G
ClamAV devel-20060426 01.19.2007 Trojan.Clicker.XMedia-1
DrWeb 4.33 01.19.2007 Trojan.Xmedia
eSafe 7.0.14.0 01.19.2007 Win32.TrojanHorse
eTrust-InoculateIT 23.73.117 01.19.2007 Win32/XMedia!Trojan
eTrust-Vet 30.3.3336 01.19.2007 Win32/Rslocal.B
Ewido 4.0 01.19.2007 Hijacker.XMedia.g
Fortinet 2.82.0.0 01.19.2007 W32/Adclick.AE!tr
F-Prot 3.16f 01.19.2007 security risk named W32/Mdmhpv.D@bd
F-Prot4 4.2.1.29 01.19.2007 W32/Mdmhpv.D@bd
Ikarus T3.1.0.27 01.09.2007 Trojan-Clicker.Win32.XMedia.G
Kaspersky 4.0.2.24 01.19.2007 Trojan-Clicker.Win32.XMedia.g
McAfee 4942 01.18.2007 potentially unwanted program PosX
Microsoft 1.1904 01.19.2007 TrojanClicker:Win32/XMedia.G
NOD32v2 1990 01.19.2007 Win32/TrojanClicker.XMedia.G
Norman 5.80.02 01.19.2007 W32/XMedia.G
Panda 9.0.0.4 01.19.2007 Trj/Rslocal.D
Prevx1 V2 01.19.2007 Trojan.Clicker.Small.B
Sophos 4.13.0 01.19.2007 Troj/AdClick-AE
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.151 01.19.2007 Trojan/AdClickerAE
UNA 1.83 01.18.2007 no virus found
VBA32 3.11.2 01.19.2007 suspected of Trojan-Downloader.Agent.122
VirusBuster 4.3.19:9 01.19.2007 TrojanClicker.XMedia.B

Aditional Information
File size: 116736 bytes
MD5: 5ea1f281a77a527e594a9414e33b0b20
SHA1: 6a5004b7b7b972b6fde64f99a0d1248567437338
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=957b19885

ich würde mich freuen, wenn mit jemand helfen könnte
gruss maxxo

Alt 19.01.2007, 22:08   #2
Tunnel
 
coolwwwsearch.leftovers - Standard

coolwwwsearch.leftovers



Schonmal mit Ad-Aware versucht?
CHIP Online - Download - Ad-aware SE Personal 1.0.6 Englisch

edit:
Dein HijackThis Log sagt eigentlich nur, dass Du deinen Internet Explorer updaten solltest und folgendes fixen solltest:
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
__________________


Alt 19.01.2007, 22:42   #3
felix1
/// Helfer-Team
 
coolwwwsearch.leftovers - Standard

coolwwwsearch.leftovers



Zitat:
Zitat von Tunnel Beitrag anzeigen
Dein HijackThis Log sagt eigentlich nur, dass Du deinen Internet Explorer updaten solltest und folgendes fixen solltest:
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
@Tunnel
Wenn Du schon Ratschläge erteilst, dann bitte richtig. Der IE ist das kleinste Übel.

@maxxo
Dein Problem liegt tiefer. Es liegt darin, dass der PC noch niemals richtige Updates und Patches gesehen hat.


Platform: Windows XP (WinNT 5.01.2600)

Um allen problemen aus dem Wege zu gehen:
http://www.trojaner-board.de/12154-a...sicherung.html
__________________
__________________

Alt 20.01.2007, 01:55   #4
Tunnel
 
coolwwwsearch.leftovers - Standard

coolwwwsearch.leftovers



Zitat:
Zitat von felix1 Beitrag anzeigen
Platform: Windows XP (WinNT 5.01.2600)
Ups das habe ich übersehen
jap Neuaufsetzen und dann SP2 drauf packen ist das beste.

Alt 20.01.2007, 11:05   #5
maxxo
 
coolwwwsearch.leftovers - Standard

coolwwwsearch.leftovers



ja stimmt wohl, dass ich nie gepatchet oder ähnliches gemacht.
ich hab mir die anleitung zum Neuaufsetzen des systems durchgelesen. dort konnte ich lesen, dass es sicherer ist alle partitionen zu löschen und die festplatte neu zu partitionieren. wäre das is meinem fall auch zwingend oder könnte ich auch eine von drei partitionen belassen?


Antwort

Themen zu coolwwwsearch.leftovers
alert, bho, e-mail, einstellungen, entfernen, explorer, firefox, handel, helfen, hijack, hijackthis, hijackthis log, home, internet, internet explorer, logon.exe, problem, programm, registry, rundll, scan, software, system, temp, träge, virus, werbung, windows, windows xp




Ähnliche Themen: coolwwwsearch.leftovers


  1. COOLWWWSEARCH.LEFTOVERS in WINLOGON
    Plagegeister aller Art und deren Bekämpfung - 26.11.2010 (8)
  2. CoolWWWSearch.OleH+lp
    Log-Analyse und Auswertung - 26.10.2010 (2)
  3. CoolWWWSearch.Dnsrelay
    Plagegeister aller Art und deren Bekämpfung - 23.04.2010 (1)
  4. Bitte um Unterstützung / CoolWWWSearch
    Log-Analyse und Auswertung - 13.01.2008 (55)
  5. tns-search und coolwwwsearch löschen?
    Plagegeister aller Art und deren Bekämpfung - 01.02.2006 (1)
  6. CoolWWWSearch hilfe!!!
    Log-Analyse und Auswertung - 18.01.2006 (26)
  7. CoolwwwSearch nicht wegzukriegen bei IE
    Log-Analyse und Auswertung - 10.01.2006 (2)
  8. Probleme mit CoolWWWSearch.WCADW
    Log-Analyse und Auswertung - 01.01.2006 (25)
  9. werde CoolWWWSearch nicht los
    Log-Analyse und Auswertung - 22.12.2005 (3)
  10. coolwwwsearch probleme
    Log-Analyse und Auswertung - 11.12.2005 (7)
  11. CoolWWWSearch, PSGuard, intel32.exe
    Log-Analyse und Auswertung - 04.09.2005 (1)
  12. CoolWWWSearch und kein Ende
    Log-Analyse und Auswertung - 04.09.2005 (5)
  13. CoolWWWSearch.smartsearch
    Log-Analyse und Auswertung - 17.05.2005 (4)
  14. CoolWWWSearch???? HILFE
    Log-Analyse und Auswertung - 28.02.2005 (10)
  15. Hilfe!CoolWWWSearch.WinRes
    Log-Analyse und Auswertung - 16.11.2004 (9)
  16. CoolWWWSearch.Msconfig
    Log-Analyse und Auswertung - 15.11.2004 (17)
  17. CoolWWWSearch.......
    Log-Analyse und Auswertung - 19.09.2004 (3)

Zum Thema coolwwwsearch.leftovers - gut dann hier mein eigens thread dafür... also ich hab seit einiger zeit das problem, dass sich in unregelmäßigen abständen ein sog. "nachrichtenfenster" mit verschiedenartigen meldungen öffnet (meist werbung für - coolwwwsearch.leftovers...
Archiv
Du betrachtest: coolwwwsearch.leftovers auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.