| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: CoolWebSearchWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.04.2004, 07:23
| #16 |
 |  CoolWebSearch Morgen Ja die müsste komplett sein von ner ignore liste weiß ich nichts... dann hab ich heute nach dem boten noch mal nen log erstellt.. Logfile of HijackThis v1.97.7 Scan saved at 08:11:44, on 16.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\trainer2\Desktop\spy\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {8BC7053C-386D-4FA9-B709-9F08D512BF4B} - C:\WINDOWS\System32\cngcdla.dll O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot das da dieses wäre. |
|
16.04.2004, 08:24
| #17 |
  | CoolWebSearch Hallo Trainer,
__________________</font><blockquote>Zitat:</font><hr />Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)</font>[/QUOTE]Nur vorsichtshalber gefragt: Es gibt jetzt keine 'wichtigen' Updates von MS, die Dir noch fehlen? </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe </font>[/QUOTE]Diese Dateien sagen mir so gar nichts (das muss natürlich nichts heißen, ich kenne ja auch nicht alles!) Aber überprüf die beiden doch mal bei Kaspersky http://www.kaspersky.com/de/remoteviruschk.html </font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {8BC7053C-386D-4FA9-B709-9F08D512BF4B} - C:\WINDOWS\System32\cngcdla.dll </font>[/QUOTE]Muss alles gefixt werden. Aber wie Du schreibst kommen die Einträge immer wieder?!? Wobei der Datei-Name cngcdla.dll neu ist. Diese Datei (sofern vorhanden solltest Du auch mal bei Kaspersky überprüfen.) Hast Du den Temp-Ordner des IE mal gelöscht?? Du kannst auch mal den SpywareBlaster ausprobieren: http://www.javacoolsoftware.com/spywareblaster.html Vielleicht findet der noch etwas... Gruß, Lutz
__________________ |
|
16.04.2004, 09:19
| #18 |
| /// Mr. Schatten  | CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh:
__________________Morgen Ja die müsste komplett sein von ner ignore liste weiß ich nichts... </font>[/QUOTE]Bei Systemstart wird z.B. entbehrlicher MS-Müll gestartet (von Works und Office) der MUSS Einträge hinterlassen, außer es wird anschließen wieder geschloßen! Benutzt du irgend so einen Windows-Tuner? </font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh: C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe </font>[/QUOTE]Könnte von Brother stammen, Überprüfung bei Kaspersky schadet aber sicher nicht! Such mal die Dateien, mache rechten Mausklick => Eigenschaften und lasse dir Hersteller etc.. anzeigen
__________________ |
|
16.04.2004, 09:40
| #19 |
| | CoolWebSearch Hatte mal tuneup drauf, (mist) Die zwei dateien sin vom Brother drucker, ich versteh nur nich diese .dll zb.. C:\WINDOWS\System32\cngcdla.dll hab ich immer wieder drinnen nur jeden tag mit nem anderen namen.  |
|
16.04.2004, 09:55
| #20 |
| | CoolWebSearch Noch 'ne Nachfrage: Wenn Du mit HijackThis fixt, sind dann alle Instanzen des IE (und evtl. Outlook), sowie des Explorers geschlossen?? Wenn nein, bitte noch einmal fixen, wobei dann alle anderen Anwendungen geschlossen sein sollten. Und noch etwas: Findest Du die Datei C:\WINDOWS\System32\cngcdla.dll bei einer Suche auf deinem Rechner? Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
16.04.2004, 10:04
| #21 |
| /// Mr. Schatten |  CoolWebSearch Ist tuneup GANZ SICHER deinstalliert? Ist IMHO nämlich ein echter Schrott, statt unerwünschte Programme gleich nicht zu starten, wird damit nach dem Start der Programme diese wieder beendet. Absoluter Schwachsinn
__________________ --> CoolWebSearch |
|
16.04.2004, 10:38
| #22 |
| | CoolWebSearch Ja tuneup ist def. weg und ja die *.dll find ich auch jedesmal im /system32 aber wie gesagt ich lösch die dann von hand und dann kommen sie unter anderen namen wieder [img]graemlins/pfui.gif[/img] |
|
16.04.2004, 11:03
| #23 |
| | CoolWebSearch So un das is nun noch nen log nicht neu gestartet.. nichts installiert oder deinstalled.. Logfile of HijackThis v1.97.7 Scan saved at 12:01:31, on 16.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\ICQLite\ICQLite.exe C:\xampp\mysql\bin\mysqld.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\trainer2\Desktop\spy\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {EF209864-99A9-4C19-8811-B7CDCC3E8EF9} - C:\WINDOWS\System32\ciljo.dll un ne neue *.dll jefunden ich brech noch ab bei dem scheiss dingen [img]graemlins/heulen.gif[/img] also ich mein die *.dll´s muessen doch von irgendwem/was was mir das da immer wieder ins sys32 schreibt |
|
16.04.2004, 11:33
| #24 |
| /// Mr. Schatten | CoolWebSearch Lade mal herunter: http://www.spywareinfo.com/~merijn/f...tartupList.exe speichere es zum Beispiel im Ordner c:\antispy öffne die Eingabeaufforderung und schreibe dort hinein: c:\antispy\sturtuplist Entertaste drücken die in diesem Verzeichnis erstellte Datei Startuplist.txt posten ganz viele Daten bekommt man so: c:\antispy\sturtuplist /verbose /full /complete /forceall Entertaste drücken wenn du irgendwo eigenen Webspace hast vielleicht eher dort reinstellen, diese Startuplist.txt kann recht sehr(!) länglich werden Aber poste mal die erste Version, vielleicht sieht man da schon was nettes, Einzelvarianten kann man ja nachfordern
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
16.04.2004, 12:01
| #25 |
| | CoolWebSearch gut gut ich hab das mal getan StartupList report, 16.04.2004, 12:54:15 StartupList version: 1.52 Started from : c:\antispy\StartupList.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\ICQLite\ICQLite.exe C:\xampp\mysql\bin\mysqld.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\cmd.exe C:\xampp\apache\bin\Apache.exe C:\xampp\apache\bin\Apache.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe c:\antispy\StartupList.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\WINDOWS\System32\ciljo.dll (file missing) - {66662E19-2178-479A-9FE2-0AE0E8C526F5} -------------------------------------------------- Enumerating Task Scheduler jobs: 1-Klick-Wartung.job -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe||C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 3.387 bytes Report generated in 0,231 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only ich seh nu nichts bzw versteh dat nich |
|
16.04.2004, 12:19
| #26 |
| /// Mr. Schatten | CoolWebSearch was ist der 1-Click-Wartung.job ? Was steht da drin! Der mist kommt doch von Tune-Up oder!
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
16.04.2004, 12:20
| #27 |
| | CoolWebSearch Das hier: </font><blockquote>Zitat:</font><hr /> Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe||C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp</font>[/QUOTE]solltest Du Dir mal genauer anschauen! Kannst Du die Dateien umbenennen zum Beispiel in *.OLD Ich mag mich natürlich irren, aber den Eintrag finde ich schon verdächtig... Und noch eine Frage: Der Apache-Webserver läuft bewusst? Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
16.04.2004, 15:18
| #28 |
| | CoolWebSearch Diese Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe||C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp  finde ich überhaupt nich der apaache is zu dem zeit punkt mit absicht gelaufen |
|
16.04.2004, 16:01
| #29 |
| /// Mr. Schatten | CoolWebSearch zu </font><blockquote>Zitat:</font><hr />C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe||C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp</font>[/QUOTE]Pfad ist: C:\Dokumente und Einstellungen\trainer2\Lokale Einstellungen\Temp\...
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
16.04.2004, 17:01
| #30 |
| |  CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: Pfad ist: C:\Dokumente und Einstellungen\trainer2\Lokale Einstellungen\Temp\... </font>[/QUOTE]Danke für die Übersetzung! [img]graemlins/daumenhoch.gif[/img] Auch wenn sich im anderen Thread zum gleichen (?) Hijacker ein anderer Trend abzeichnet, finde ich es schon verdächtig, dass ein Aufruf aus der Wininit.ini ins Temp geht... Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
| Themen zu CoolWebSearch |
| adaware, andere, anderen, coolwebsearch, dinge, frage, fängt, helfen, konnte, mehrfach, namen, nerve, nerven, neue, nicht, online, programme, sache, sachen, schei, sicherheit, system, system32, sämtliche, thema, verbannen, versucht |
