Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: cws.therealsearch

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.05.2005, 17:48   #1
sonne98
 
cws.therealsearch - Unglücklich

cws.therealsearch



hallo,
verzweifel schon :-(
hab irgendwie den trojaner cws.therealsearch und alexa auf meinen pc geladen.ich werde sie net mehr los.escan zeigt sie mir an im system,aber net wo.dadurch krieg ich dann auch immer wieder andere trojaner drauf,die ich dann im abgesicherten modus lösche aber sie kommen immer wieder.hab auch schon cwshredder runtergeladen,kann ihn aber net updaten.
hier mal das ergebnis vom escan

File C:\WINNT\SYSTEM32\daqacoxot.exe infected by "Trojan-Proxy.Win32.Ranky.be" Virus. Action Taken: No Action Taken.
File C:\WINNT\SYSTEM32\otebeci.exe infected by "Trojan-Proxy.Win32.Ranky.be" Virus. Action Taken: No Action Taken.
File C:\WINNT\SYSTEM32\daqacoxot.exe infected by "Trojan-Proxy.Win32.Ranky.be" Virus. Action Taken: No Action Taken.
File C:\WINNT\SYSTEM32\otebeci.exe infected by "Trojan-Proxy.Win32.Ranky.be" Virus. Action Taken: No Action Taken.
File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\veyegubi.exe infected by "Trojan-Proxy.Win32.Ranky.be" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\veyegubi.exe infected by "Trojan-Proxy.Win32.Ranky.be" Virus. Action Taken: No Action Taken.

wer kann mir arme frau helfen??
__________________
Elvis grant me Serenity
Born to be mild

Alt 06.05.2005, 20:50   #2
Cidre
Administrator, a.D.
 
cws.therealsearch - Standard

cws.therealsearch



Hallo,

Erstelle mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es.
Beachte die Hinweise!

Poste ebenso die Virus Log Information von eScan:
Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt der automatisch erstellten C:\eScan_neu.txt hier posten.
__________________

__________________

Alt 06.05.2005, 20:58   #3
sonne98
 
cws.therealsearch - Standard

cws.therealsearch



hab schon hijack logfile

Logfile of HijackThis v1.99.1
Scan saved at 20:08:32, on 06.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\neue programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos DSL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINNT\System\SmWizard.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINNT\system32\TTTimer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [****] C:\Programme\SlySoft\****\****.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\****\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\****\CloneCDTray.exe"
O4 - HKLM\..\Run: [Jufualt] mshosts.exe
O4 - HKLM\..\Run: [Evxteas] xyqotywot.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Caesvrn] C:\WINNT\SYSTEM32\edetoyasy.exe
O4 - HKLM\..\Run: [Aqujyjax] aqujyjax.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ipidi] veyegu.exe
O4 - HKLM\..\RunServices: [Evxteas] xyqotywot.exe
O4 - HKLM\..\RunServices: [Aqujyjax] aqujyjax.exe
O4 - HKLM\..\RunServices: [ipidi] veyegu.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Jufualt] mshosts.exe
O4 - HKCU\..\Run: [Evxteas] xyqotywot.exe
O4 - HKCU\..\Run: [Aqujyjax] aqujyjax.exe
O4 - HKCU\..\Run: [ipidi] veyegu.exe
O4 - HKCU\..\Run: [supervisor.exe] C:\WINNT\supervisor.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex...amesplayer.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
__________________
__________________

Alt 06.05.2005, 21:01   #4
sonne98
 
cws.therealsearch - Standard

cws.therealsearch



hier das ergebnis von escan

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri May 06 20:06:13 2005 => Total Objects Scanned: 30960
Fri May 06 20:06:13 2005 => Total Virus(es) Found: 2
Fri May 06 20:06:13 2005 => Total Disinfected Files: 0
Fri May 06 20:06:13 2005 => Total Files Renamed: 0
Fri May 06 20:06:13 2005 => Total Deleted Objects: 0
Fri May 06 20:06:13 2005 => Total Errors: 17
Fri May 06 20:06:13 2005 => Time Elapsed: 01:07:36
Fri May 06 20:06:13 2005 => Virus Database Date: 2005/05/02
Fri May 06 20:06:13 2005 => Virus Database Count: 127997

Fri May 06 20:06:13 2005 => Scan Completed.
__________________
Elvis grant me Serenity
Born to be mild

Alt 06.05.2005, 21:07   #5
Cidre
Administrator, a.D.
 
cws.therealsearch - Standard

cws.therealsearch



Lösche die mwav.log.
Konfiguriere eScan wie hier beschrieben und scanne nochmals im abgesicherten Modus.

__________________
Gruß, Cidre


Alt 06.05.2005, 23:11   #6
sonne98
 
cws.therealsearch - Standard

cws.therealsearch



habe wie beschrieben alles gemacht.
ziemlich zum schluß kam folgende meldung:
Die Datei oder das verzeichnis C:\WINNT\System32\mmsystem.dll ist bschädigt und nicht lesbar.Führen sie CHKDSK aus.

das gleiche kam dann nochmal mit mmtask.tsk


beim neustart wurde dann auch das o.g. ausgeführt.
der typ des Dateisystems ist NTFS
mehr konnte ich nicht aufschreiben.
seit dem komm ich mit dem rechner nicht mehr ins internet :-(

schreib jetzt vom 2. rechner aus.soll ich jetzt die log datei auf cd brennen und hier auf den rechner ziehen und posten???die ist aber riiiiesig
__________________
--> cws.therealsearch

Alt 06.05.2005, 23:18   #7
Cidre
Administrator, a.D.
 
cws.therealsearch - Standard

cws.therealsearch



Erspar dir diese unnötige Arbeit und setze dein System neu auf. Alles andere hat imho keinen Sinn, denn dein System ist zu stark durchseucht worden.
Eine Anleitung findest du in meiner Signatur.
__________________
Gruß, Cidre


Alt 06.05.2005, 23:22   #8
sonne98
 
cws.therealsearch - Standard

cws.therealsearch



vielen dank cidre :-)
hab mir sowas gedacht
werd mir das morgen mal durchlesen und versuchen....oje...hoffentlich schaffe ich das als mädel


jetzt hab ich erst mal viereckige augen und brummschädel

aber vielen lieben dank für deine hilfe
__________________
Elvis grant me Serenity
Born to be mild

Antwort

Themen zu cws.therealsearch
abgesicherte, abgesicherten, abgesicherten modus, action, alexa, andere, cwshredder, ergebnis, found, immer wieder, infected, krieg, modus, runtergeladen, system, system32, taken, troja, trojaner, update, win, winnt



Ähnliche Themen: cws.therealsearch


  1. CWS.therealsearch - Bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 08.01.2006 (4)
  2. CWS therealsearch
    Plagegeister aller Art und deren Bekämpfung - 22.09.2005 (1)
  3. "CWS.therealsearch" auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.09.2005 (5)
  4. isearch, bearshare und cws.therealsearch gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.08.2005 (4)
  5. cws.therealsearch Spyware/Adware
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (7)
  6. CWS.therealsearch
    Log-Analyse und Auswertung - 09.05.2005 (1)

Zum Thema cws.therealsearch - hallo, verzweifel schon :-( hab irgendwie den trojaner cws.therealsearch und alexa auf meinen pc geladen.ich werde sie net mehr los.escan zeigt sie mir an im system,aber net wo.dadurch krieg ich - cws.therealsearch...
Archiv
Du betrachtest: cws.therealsearch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.