| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: coolwwwsearch.leftoversWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.01.2007, 20:01
| #1 |
| |  coolwwwsearch.leftovers gut dann hier mein eigens thread dafür... also ich hab seit einiger zeit das problem, dass sich in unregelmäßigen abständen ein sog. "nachrichtenfenster" mit verschiedenartigen meldungen öffnet (meist werbung für ein programm, welches dieses problem beheben soll). ich habe nun mit spybot s&d scannen lassen und einen eintrag names "coolwwwsearch.leftovers" gefunden, der aber leider nicht zu entfernen ist und die ausführende datei winlogon.exe heißt. ich habe mich auch etwas schlau gemacht und einige andere foren zu diesem problem durchsucht. dort wurde immer ein HijackThis log gepostet. also hab ich mir auch dieses programm besorgt und einen log erstellt, zusätzlich habe ich noch meine winlogon.exe bei VirusTotal durchlaufen lassen. da ich leider nicht besonders bewandert bin in solchen sachen, wie einträge aus der registry löschen etc. und ich das gefuehl habe, dass es sich bei den HijackThis logs immer um individuelle logs handelt wollte ich mal hier jemanden um hilfe bitten... hier mein HijackThis log: Logfile of HijackThis v1.99.1 Scan saved at 18:03:55, on 19.01.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\WINDOWS\System32\TrayIcon.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\ANWEND~1\AVGANT~1\avgcc.exe C:\WINDOWS\System32\RUNDLL32.EXE E:\Anwendungen\Common\Bin\WinCinemaMgr.exe E:\ANWEND~1\AVGANT~1\avgamsvr.exe E:\ANWEND~1\AVGANT~1\avgupsvc.exe E:\ANWEND~1\AVGANT~1\avgemc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\ArcorOnline\Arcor.exe E:\Anwendungen\Spybot - Search & Destroy\SpybotSD.exe E:\Anwendungen\Firefox 1.5\firefox.exe C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\anwendungen\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AVG7_CC] E:\ANWEND~1\AVGANT~1\avgcc.exe /STARTUP O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Anwendungen\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Anwendungen\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{035B18CD-1907-407A-BC15-44E56E226736}: NameServer = 195.50.140.114 195.50.140.252 O17 - HKLM\System\CS1\Services\Tcpip\..\{035B18CD-1907-407A-BC15-44E56E226736}: NameServer = 195.50.140.114 195.50.140.252 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgemc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Unknown owner - E:\Anwendungen\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe außerdem der befund von VirusTotal (sieht, denk ich mal, nicht besonders gut aus): Complete scanning result of "winlogon.exe", received in VirusTotal at 01.19.2007, 18:07:19 (CET). Antivirus Version Update Result AntiVir 7.3.0.26 01.19.2007 TR/Small.Click.M.2 Authentium 4.93.8 01.19.2007 W32/Mdmhpv.D@bd Avast 4.7.936.0 01.18.2007 Win32:Trojan-gen. {UPX!} AVG 386 01.18.2007 no virus found BitDefender 7.2 01.19.2007 Trojan.Clicker.Small.B CAT-QuickHeal 9.00 01.19.2007 W32.XMedia.G ClamAV devel-20060426 01.19.2007 Trojan.Clicker.XMedia-1 DrWeb 4.33 01.19.2007 Trojan.Xmedia eSafe 7.0.14.0 01.19.2007 Win32.TrojanHorse eTrust-InoculateIT 23.73.117 01.19.2007 Win32/XMedia!Trojan eTrust-Vet 30.3.3336 01.19.2007 Win32/Rslocal.B Ewido 4.0 01.19.2007 Hijacker.XMedia.g Fortinet 2.82.0.0 01.19.2007 W32/Adclick.AE!tr F-Prot 3.16f 01.19.2007 security risk named W32/Mdmhpv.D@bd F-Prot4 4.2.1.29 01.19.2007 W32/Mdmhpv.D@bd Ikarus T3.1.0.27 01.09.2007 Trojan-Clicker.Win32.XMedia.G Kaspersky 4.0.2.24 01.19.2007 Trojan-Clicker.Win32.XMedia.g McAfee 4942 01.18.2007 potentially unwanted program PosX Microsoft 1.1904 01.19.2007 TrojanClicker:Win32/XMedia.G NOD32v2 1990 01.19.2007 Win32/TrojanClicker.XMedia.G Norman 5.80.02 01.19.2007 W32/XMedia.G Panda 9.0.0.4 01.19.2007 Trj/Rslocal.D Prevx1 V2 01.19.2007 Trojan.Clicker.Small.B Sophos 4.13.0 01.19.2007 Troj/AdClick-AE Sunbelt 2.2.907.0 01.12.2007 no virus found TheHacker 6.0.3.151 01.19.2007 Trojan/AdClickerAE UNA 1.83 01.18.2007 no virus found VBA32 3.11.2 01.19.2007 suspected of Trojan-Downloader.Agent.122 VirusBuster 4.3.19:9 01.19.2007 TrojanClicker.XMedia.B Aditional Information File size: 116736 bytes MD5: 5ea1f281a77a527e594a9414e33b0b20 SHA1: 6a5004b7b7b972b6fde64f99a0d1248567437338 packers: UPX Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=957b19885 ich würde mich freuen, wenn mit jemand helfen könnte gruss maxxo |
|
19.01.2007, 22:08
| #2 |
 | coolwwwsearch.leftovers Schonmal mit Ad-Aware versucht?
__________________CHIP Online - Download - Ad-aware SE Personal 1.0.6 Englisch edit: Dein HijackThis Log sagt eigentlich nur, dass Du deinen Internet Explorer updaten solltest und folgendes fixen solltest: O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) |
|
19.01.2007, 22:42
| #3 | |
| /// Helfer-Team    | coolwwwsearch.leftoversZitat:
Wenn Du schon Ratschläge erteilst, dann bitte richtig. Der IE ist das kleinste Übel. @maxxo Dein Problem liegt tiefer. Es liegt darin, dass der PC noch niemals richtige Updates und Patches gesehen hat. Platform: Windows XP (WinNT 5.01.2600) Um allen problemen aus dem Wege zu gehen: http://www.trojaner-board.de/12154-a...sicherung.html
__________________ |
|
20.01.2007, 01:55
| #4 | |
| | coolwwwsearch.leftoversZitat:
 jap Neuaufsetzen und dann SP2 drauf packen ist das beste. |
|
20.01.2007, 11:05
| #5 |
| | coolwwwsearch.leftovers ja stimmt wohl, dass ich nie gepatchet oder ähnliches gemacht. ich hab mir die anleitung zum Neuaufsetzen des systems durchgelesen. dort konnte ich lesen, dass es sicherer ist alle partitionen zu löschen und die festplatte neu zu partitionieren. wäre das is meinem fall auch zwingend oder könnte ich auch eine von drei partitionen belassen? |
|
| Themen zu coolwwwsearch.leftovers |
| alert, bho, e-mail, einstellungen, entfernen, explorer, firefox, handel, helfen, hijack, hijackthis, hijackthis log, home, internet, internet explorer, logon.exe, problem, programm, registry, rundll, scan, software, system, temp, träge, virus, werbung, windows, windows xp |
