Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Coolwebsearch

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.10.2004, 22:32   #1
porto1
 
Coolwebsearch - Standard

Coolwebsearch



Hallo!
Mein Prob. ist:
IE geht in Internet mit geändertes Startseite, er wird umgeleitet auf ein dowloadsseite von Antispyware, ein Popfenster einladet angeblich auf ein Onlinescan. Alle Systemwiederherstellungspunkte wurden von mein System gelöscht, die Seite auf MicrosoftWindowsUpdate wird nicht geladet und so viele ander Seiten, neues Antivirus Progr. lassen nicht installieren, ein on-line-Scan arbeite nicht, es geht nur mit Symantec aber ohne Resultat. Der Inhalt von Datei "_start.htm" und "start.htm" habe ich mit Editor gelöscht aber ohne was an der Prob zu ändern. CWShedder hat nichts gefunden , Ad-Aware, hat 6 Objekt alle "Cool/Web/Search" gefunden und auch entfernt, aber einmal wieder IE gestartet, auch in Offline, werden alle "Cool/Web/Search" wieder istalliert. hier die log datei von Ad-Aware:

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : clsid\{467faeb2-5f5b-4c81-bae0-2a4752ca7f4e}
obj[1]=Regkey : interface\{0d721150-aef3-457b-b03a-5097b623ce45}
obj[2]=Regkey : plugin6.dnserrobj
obj[3]=Regkey : plugin6.dnserrobj.1
obj[4]=Regkey : typelib\{444a5674-ff85-45d4-9ae2-4199d8d70c85}
obj[5]=Regkey : software\microsoft\windows\currentversion\explorer\browser helper objects\{467faeb2-5f5b-4c81-bae0-2a4752ca7f4e}
------------------------------------
Hier die Logdatei von HijackThis in Normalmdus gescannt :

Logfile of HijackThis v1.98.2
Scan saved at 18:10:26, on 24.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Eddie\Eigene Dateien\Eddie\Exe-Dateien\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TelekomatXP] C:\Programme\UtilKit\DLULMeterFree\UKDUMFree.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O20 - AppInit_DLLs: b33hmsewzdp.dll

über eine Auskunft freut sich
ANTon

Danke!

Alt 24.10.2004, 23:33   #2
cronos
 
Coolwebsearch - Standard

Coolwebsearch



Schau zuerst mal da:

http://www.trojaner-board.de/showthread.php?t=8783

´Weiterhin solltest du mal dein System updatem- www.windowsupdate.com (dies hat mit dem IE zu erfolgen)

Poste bitte danach nochmal deinen HijackThis Log
__________________


Alt 25.10.2004, 02:06   #3
Shadowdance
 
Coolwebsearch - Standard

Coolwebsearch



Hallo porto1,

ich habe Dein Problem gelesen und möchte Dich bitten, eine Anzahl Schritte durchzuführen. Ob es funktioniert, weiss ich nicht. Das werden wir nun austesten.. Gib uns bitte Bericht dazu.

Es ist wichtig, dass Du die Reihenfolge der einzelnen Schritte beachtest!

===>1<===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit täglich - bevor Du ins Netz gehst - den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===>2<===

Lade Dir einen anderen Browser runter: www.trojaner-info.de

===>3<===

Arbeite nun zuerst (!) das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "CWS-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===>4<===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

===>5<===

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade bitte das aktuelle Service Pack runter www.windowsupdate.com (siehe Empfehlung von cronos)

===>6<===

Überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\Downloaded Program Files\eBayBand.dll
C:\Programme\UtilKit\DLULMeterFree\UKDUMFree.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===>7<===

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R3 - Default URLSearchHook is missing
O4 - Global Startup: eBay Toolbar.LNK = ?

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://win-eto.com/hp.htm?id=9
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll

es ist anzuraten diesen Eintrag zu fixen, da er zu CWS gehört:

O20 - AppInit_DLLs: b33hmsewzdp.dll

===>8<===

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

===>9<===

Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat. Lass uns das Ergebnis der Online-Scan-Überprüfung und des eScans wissen. (Vergiss nicht die Daten/Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es.

SD

-->Anmerkung an cronos:
Du hast den Link zum Spybot-Tutorial verwechselt ;-)
__________________

Geändert von Shadowdance (25.10.2004 um 02:31 Uhr) Grund: die Reihenfolge an das Problem angepasst.

Antwort

Themen zu Coolwebsearch
ad-aware, antispyware, antivirus, antivirus scan, appinit_dlls, browser, dateien, ebay, einstellungen, exe-dateien, explorer, f-secure, gelöscht, helper, hijack, hijackthis, icq, internet, internet explorer, internet security, log, log datei, messenger, programme, security, seiten, software, symantec, urlsearchhook, usb, windows xp



Ähnliche Themen: Coolwebsearch


  1. Adware.Coolwebsearch
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (10)
  2. wie entferne ich CoolWebSearch
    Mülltonne - 03.06.2012 (1)
  3. Adware.Coolwebsearch
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (11)
  4. CoolWebSearch Nachwirkungen
    Log-Analyse und Auswertung - 19.11.2007 (15)
  5. ich brauch hilfe (coolwebsearch)
    Log-Analyse und Auswertung - 03.03.2006 (4)
  6. coolwebsearch
    Plagegeister aller Art und deren Bekämpfung - 30.01.2006 (33)
  7. Hilfe! CoolWebSearch, AZESearch...
    Log-Analyse und Auswertung - 25.07.2005 (3)
  8. Hilfe! CoolWebSearch, AZESearch...
    Mülltonne - 25.07.2005 (1)
  9. CoolWebSearch, die nächste
    Log-Analyse und Auswertung - 10.06.2005 (17)
  10. CoolWebSearch
    Log-Analyse und Auswertung - 07.06.2005 (5)
  11. CoolWebSearch
    Log-Analyse und Auswertung - 14.03.2005 (2)
  12. Mein Problem: Coolwebsearch und se.dll
    Log-Analyse und Auswertung - 19.02.2005 (6)
  13. coolwebsearch probleme
    Log-Analyse und Auswertung - 15.02.2005 (4)
  14. CoolWebSearch nicht zu entfernen
    Log-Analyse und Auswertung - 25.01.2005 (6)
  15. Coolwebsearch about:blank
    Log-Analyse und Auswertung - 12.01.2005 (4)
  16. CoolWebSearch
    Plagegeister aller Art und deren Bekämpfung - 16.04.2004 (29)
  17. Coolwebsearch Trojan
    Plagegeister aller Art und deren Bekämpfung - 25.01.2004 (8)

Zum Thema Coolwebsearch - Hallo! Mein Prob. ist: IE geht in Internet mit geändertes Startseite, er wird umgeleitet auf ein dowloadsseite von Antispyware, ein Popfenster einladet angeblich auf ein Onlinescan. Alle Systemwiederherstellungspunkte wurden von - Coolwebsearch...
Archiv
Du betrachtest: Coolwebsearch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.