Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: coolweb search

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.10.2004, 19:32   #1
GRETE
 
coolweb search - Standard

coolweb search



Hallo!

Habe so wie viele andere das "coolweb search"-Problem. Folgende Prüfungen habe ich leider erfolglos durchgeführt:
ad aware und cwshredder.

Danach habe ich eine HiJack-log-Datei erstellt, automatisch überprüfen lassen und alle mit "böse" gekennzeichneten Einträge gefixt.
Nach dem Neustart war alles so wie vorher, auch die gefixten Einträge waren wieder da.

Da ich so wie manch' andere kein PC-Profi bin, wäre ich für Hilfe und Anleitung sehr, sehr dankbar!

Nachstehend die aktuelle log-Fiile:

Logfile of HijackThis v1.98.2
Scan saved at 19:18:13, on 14.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\hh.exe:coqbj
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\mfcui32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\GAZO\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {44CE9ED6-6E2E-D4BF-75E4-9B77C07B8762} - C:\WINDOWS\addld32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mfcui32.exe] C:\WINDOWS\mfcui32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\Realdownload.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/regi...a/SymAData.dll
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab

Kann man Einträge, die gefixt wurden, notfalls wieder herstellen?
Kann eine Firewall vor "coolweb search"-Problemen schützen? Oder wäre überhaupt die Verwendung eines anderen Browsers sicherer?

VIELEN, VIELEN DANK!!!!

Alt 14.10.2004, 19:39   #2
Cidre
Administrator, a.D.
 
coolweb search - Standard

coolweb search



Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Dein System ist null gepatcht. Hole dies nach und poste dann ein neues Log.

Zitat:
Kann man Einträge, die gefixt wurden, notfalls wieder herstellen?
Ja.
Zitat:
Kann eine Firewall vor "coolweb search"-Problemen schützen?
Nein.
Zitat:
Oder wäre überhaupt die Verwendung eines anderen Browsers sicherer?
Ja.
__________________

__________________

Alt 14.10.2004, 19:44   #3
Wattewuschel
 
coolweb search - Standard

coolweb search



installiere das service pack 2 und ggf. andere updates:

gehe dazu auf start - windows update

ich empfehle als alternativen browser mozilla firefox - sehr komfortabel in der anwendung und es gibt eine menge mehr oder weniger nützliche erweiterungen.

http://www.firefox-browser.de
__________________

Alt 14.10.2004, 20:32   #4
GRETE
 
coolweb search - Standard

coolweb search



Vorerst vielen Dank für die ersten Reaktionen!

Ist die Installation des SP2 unbedingt erforderlich? Oder könnte man versuchen, das Problem auch so zu lösen?
Ich bin bezüglich SP2 etwas skeptisch. Mein PC läuft bis auf das "coolweb search"-Problem tadellos, ich möchte halt nicht, dass nach der SP2-Installation manches nicht mehr so gut funktioniert.

Alt 14.10.2004, 20:34   #5
GRETE
 
coolweb search - Standard

coolweb search



Hätt' ich bald vergessen:
Als Browser verwende ich nun Mozilla Firefox, bin sehr zufrieden! Das "coolweb search" Problem würde ich trotzdem gerne beseitgien!

DANKE!


Alt 14.10.2004, 20:55   #6
Wattewuschel
 
coolweb search - Standard

coolweb search



also das sp2 habe ich auch nicht - ich halte nicht viel davon, aber installiere unbedingt die anderen updates von mcrosoft, denn damit fixen die diverse sicherheitslücken, von denen windows leider ne menge hat. ich habe das sp1 und alle updates außer dem sp2 (bin auch sehr skeptisch).

hast du schon mal probiert, die probleme im abgesicherten modus zu fixen? dazu den compi neu starten und bevor das windows-logo kommt mehrmals F8 drücken, dort im menü den abgesicherten modus auswählen.

mach das meld und meld dich wieder.

Alt 15.10.2004, 01:26   #7
Shadowdance
 
coolweb search - Standard

coolweb search



Hallo GRETE,

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein Betriebssystem und Dein IE sind nicht auf dem aktuellen Stand: www.windowsupdate.com Ungepatchte Systeme sind anfällig für Malware. Wenn Du Deine Software auf Deinem Computer nicht auf dem aktuellen Stand hältst, ist es unmöglich und sinnlos, Dir zu helfen. Was Du heute löscht, hast Du morgen wieder drauf.

Überprüfe mit dem online-scan von Kaspersky folgende Datei:

C:\WINDOWS\hh.exe:coqbj

Teile uns das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert ist, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R3 - Default URLSearchHook is missing

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Überprüfe Dein System mit dem eScan - laut Anleitung. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Alt 15.10.2004, 03:42   #8
warhawk
 
coolweb search - Reden

coolweb search



Zitat:
Zitat von GRETE
Hallo!
C:\WINDOWS\hh.exe:coqbj
C:\WINDOWS\mfcui32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gkhkb.dll/sp.html#28129

O2 - BHO: (no name) - {44CE9ED6-6E2E-D4BF-75E4-9B77C07B8762} - C:\WINDOWS\addld32.dll
O4 - HKLM\..\Run: [mfcui32.exe] C:\WINDOWS\mfcui32.exe

Kann man Einträge, die gefixt wurden, notfalls wieder herstellen?
Kann eine Firewall vor "coolweb search"-Problemen schützen? Oder wäre überhaupt die Verwendung eines anderen Browsers sicherer?

VIELEN, VIELEN DANK!!!!
Leider kann ich die Groesse nicht sehe (ein Spybot report waere nuetzlich)...
deswegen tipp ich mal
C:\WINDOWS\hh.exe:coqbj
C:\WINDOWS\mfcui32.exe
\WINDOWS\addld32.dll
C:\WINDOWS\system32\gkhkb.dll

Riskier im uebrigen mal einen Blick in deine "DIENSTE", da koenntest Du auch noch fuendig werden...

Und bevor Du irgendwas loeschst, solltest Du den Rechner vom Internet abklemmen, der greift unter Umstaenden nicht nur auf seine ADS-Dateibackups zurueck sondern zieht mal eben neue CWS Updates aus dem Internet !!!

Gruss
Michael

Alt 16.10.2004, 22:20   #9
GRETE
 
coolweb search - Standard

coolweb search



Hallo!

1) Habe "C\WINDOWS\hh.exe:coqbj" nicht gefunden, nur eine Datei "hh.exe" mit einem Fragezeigen. Diese ist laut Kaspersky o.k.

2) Habe im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie empfohlen gefixt.

3) eScan hat Infektionen festgestellt, leider habe ich das Ergebnis irrtümlich nicht abgespeichert. Werde eScan nochmals durchführen (gibt es eine Möglichkeit, festgestellte Infektionen zu beseitigen?).
Inzwischen poste ich das neue erstellte HiJack-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 09:53:06, on 16.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\hh.exe:coqbj
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\mfcui32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\Electric.scr
C:\Dokumente und Einstellungen\GAZO\Eigene Dateien\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {44CE9ED6-6E2E-D4BF-75E4-9B77C07B8762} - C:\WINDOWS\addld32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mfcui32.exe] C:\WINDOWS\mfcui32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\Realdownload.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/regi...a/SymAData.dll
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab

Muss noch dazu sagen, dass ich den Internet Explorer nicht mehr gestartet habe (verwende Mozialla Firefox), d. h. ich habe noch nicht überprüft, ob das Problem schon beseitigt ist.

Sollte man versuchen, das "coolweb search"-Problem auf alle Fälle zu beseitigen oder reicht es, den IE nie mehr zu verwenden?

DANKE!

Alt 16.10.2004, 22:45   #10
Shadowdance
 
coolweb search - Standard

coolweb search



Hallo Grete,

führe bitte den eScan durch, auf Deinem Rechner.

Es nützt Dir nichts, wenn Du Einträge löscht, es nützt Dir auch nichts, wenn Du die Einträge nicht löscht. Du hast eine grössere Anzahl Viren auf dem System, und ich möchte gerne wissen, welche Viren Du auf dem System hast. Möglicherweise hat warhawk nämlich recht. Auch ich bin der Ansicht, dass Dein System total verseucht ist. Und mit einem verseuchten System im Netz zu surfen ...

Würdest Du mit einem Auto fahren wollen, dessen Kupplung abgebrochen ist, dessen Bremspedal sich nicht mehr bewegen läßt, dessen Steuer klemmt und einem Radio, das sich nicht leiser stellen läßt?

Vergleich hinkt, aber es ist ungefähr das Gleiche.

SD

Alt 17.10.2004, 04:57   #11
warhawk
 
coolweb search - Standard

coolweb search



Zitat:
Zitat von GRETE
Hallo!

1) Habe "C\WINDOWS\hh.exe:coqbj" nicht gefunden, nur eine Datei "hh.exe" mit einem Fragezeigen. Diese ist laut Kaspersky o.k.
[...]
DANKE!
hh.exe:cooqbj = hh.exe (siehst du) : cooqbj ist im ADS Stream versteckt
siehe http://www.heise.de/security/artikel/52139

Schau mal was diese Tools sagen
http://www.safer-networking.org/de/tools/tools_ads.html

Gruss
Michael

Alt 18.10.2004, 19:36   #12
GRETE
 
coolweb search - Standard

coolweb search



Habe eScan durchgeführt mit folgendem Ergebnis:

File C:\WINDOWS\mfcui32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addld32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mfcui32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addld32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlqx.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\netce32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sdkpo32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\gkhkb.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\iews32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mfcsz.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sdknf32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sdknf32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysew.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\MORTE\Anwendungsdaten\soht.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\MORTE\Eigene Dateien\Download\DivX5Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\MORTE\Eigene Dateien\The PROGRAM-Galleries\CODECS-04-DivX505Bundle.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\addld32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlqx.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\netce32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sdkpo32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\gkhkb.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iews32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mfcsz.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdknf32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdknf32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysew.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Adware\DelFinMediaViewer29j.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Welche Vorgangsweise wäre am Besten?

DANKE!!

Alt 18.10.2004, 22:07   #13
Shadowdance
 
coolweb search - Standard

coolweb search



@ GRETE,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Zitat Cidre)

Wenn Du alle Einträge ...

bis auf -------------

File C:\Dokumente und Einstellungen\MORTE\Eigene Dateien\Download\DivX5Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\MORTE\Eigene Dateien\The PROGRAM-Galleries\CODECS-04-DivX505Bundle.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

------------- ... auf diese Weise gelöscht hast, aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Lade Dir bitte hier Ad-Aware 6 Personal und Spybot-Search &Destroy 1.3 runter, update beide Programme online, scanne damit Deinen Rechner und lass eventuell noch vorhandene Probleme beheben. Lade Dir am besten auch gleich das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Erstelle dann bitte ein neues Hijack This Logfile und poste es.

SD

Geändert von Shadowdance (18.10.2004 um 22:16 Uhr)

Alt 19.10.2004, 22:56   #14
GRETE
 
coolweb search - Standard

coolweb search



Hallo, bin wie empfohlen vorgegangen.

Folgende Dateien habe ich nicht gefunden und somit auch nicht löschen können:

File C:\WINDOWS\mfcui32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addld32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlqx.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken
File C:\WINDOWS\System32\gkhkb.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\iews32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sdknf32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysew.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\MORTE\Anwendungsdaten\soht.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addld32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlqx.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\netce32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sdkpo32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\gkhkb.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iews32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mfcsz.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdknf32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdknf32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysew.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Die aktuelle log-File:

Logfile of HijackThis v1.98.2
Scan saved at 22:48:01, on 19.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\GAZO\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4D567ABA-C061-F0F9-6007-B9B4A96FB412} - C:\WINDOWS\appwe32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [appwe32.exe] C:\WINDOWS\appwe32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\Realdownload.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/regi...a/SymAData.dll
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab

Soll ich als "Test" den IE starten?
Was passiert, wenn man das ganze "Zeug" nicht entfernt und nur mehr einen alternativen Browser verwendet?

Entschuldigt meine naiven Fragen, aber ich bin kein Profi.

DANKE!!

Alt 19.10.2004, 23:06   #15
GRETE
 
coolweb search - Standard

coolweb search



Nachtrag:

Habe noch einmal eScan laufen lassen:

File C:\WINDOWS\appwe32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appwe32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appwe32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appwe32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appwe32.exe.bak infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\d3zy.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\gkhkb.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\iews32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysew.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appwe32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appwe32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appwe32.exe.bak infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.

Soll ich alle Files löschen? (Vorausgesetzt ich finde sie)

Antwort

Themen zu coolweb search
adobe, antivirus, bho, dateien, einstellungen, explorer, firewall, hijackthis, hilfe, internet, internet explorer, messenger, microsoft, monitor, neustart, programme, realplayer, registry, rundll, software, symantec, system, system32, träge, urlsearchhook, vielen dank, windows, windows xp



Ähnliche Themen: coolweb search


  1. Ungültiges Bild, C:\PROGRA~1\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL .... egal welche Anwendung geöffnet wird.
    Log-Analyse und Auswertung - 10.04.2015 (15)
  2. Windwos 7: ungültiges Bild (C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC64LO~1.DLL)
    Log-Analyse und Auswertung - 31.03.2015 (13)
  3. Windwos 7: ungültiges Bild (C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL)
    Log-Analyse und Auswertung - 18.03.2015 (9)
  4. Fehlermeldung: ungültiges Bild (C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL)
    Log-Analyse und Auswertung - 18.03.2015 (11)
  5. C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL ist entweder nicht für die Ausführung unter Windows vorgesehen...
    Plagegeister aller Art und deren Bekämpfung - 16.03.2015 (17)
  6. Windows 7 : Fehlermeldung : Bad Image C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL
    Plagegeister aller Art und deren Bekämpfung - 15.03.2015 (11)
  7. : ungültiges Bild (C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL) Windows 7
    Log-Analyse und Auswertung - 15.03.2015 (19)
  8. C:\PROGRA~2\SEARCH~1\SEARCH~1\bin\VC32LO~1.DLL ist entweder nicht für die Ausführung unter Windows vorgesehe
    Plagegeister aller Art und deren Bekämpfung - 06.02.2015 (5)
  9. Search d.p Engine. Ist das Delta-Search? Wenn nein, egal ich werde es nicht mehr los
    Log-Analyse und Auswertung - 27.01.2014 (11)
  10. Delta Search und Babylon search - Malware durch Freeware, Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 16.07.2013 (37)
  11. virus auf dem pc search.chatzum.com bei Mozilla Firefox und search.claro.com bei IE
    Plagegeister aller Art und deren Bekämpfung - 02.11.2012 (1)
  12. CoolWeb Search... schon alles probiert :(
    Log-Analyse und Auswertung - 19.07.2005 (1)
  13. Home Search Assistent - Search Extender - Shopping Wizard
    Log-Analyse und Auswertung - 06.05.2005 (1)
  14. Shopping Wizard, Search Extender und Home Search Assistant
    Plagegeister aller Art und deren Bekämpfung - 24.02.2005 (3)
  15. Home search assistent, search extender, shopping wizard
    Plagegeister aller Art und deren Bekämpfung - 04.01.2005 (21)
  16. total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.
    Log-Analyse und Auswertung - 11.11.2004 (2)
  17. Home Search Assistent, Shopping Wizard, Search Extender,
    Plagegeister aller Art und deren Bekämpfung - 23.10.2004 (22)

Zum Thema coolweb search - Hallo! Habe so wie viele andere das "coolweb search"-Problem. Folgende Prüfungen habe ich leider erfolglos durchgeführt: ad aware und cwshredder. Danach habe ich eine HiJack-log-Datei erstellt, automatisch überprüfen lassen und - coolweb search...
Archiv
Du betrachtest: coolweb search auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.