Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wie den Dialer CoolWebSearch wieder loswerden ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.11.2004, 17:56   #1
htw9998
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Hallo Leute,

ich habe mir den extrem nervigen Dialer Coolwebsearch eingefangen.
Wie werde ich ihn wieder los?
Ich habe meinen pc mit ad-aware und hijekthis gecheckt.
Die Ergebnisse sind in diesen Threat sichtbar:
http://www.chip.de/forum/thread.html?bwthreadid=739727

Er hat sich als Startseite im IE eingenistet.
Es hat sich unter extras/internetoptionen/startseite mit der Adresse:http://213.159.117.134/index.php
eingetragen.

Die startseite vom IE lässt sich nicht mehr ändern. Andere Adresse wie z.b. www.heise.de lassen sich nicht mehr eintragen. die eintragunge werden nicht gespeichert. Ich habe versucht den dialer per hand zu löschen. Es hatte sich das programm: c:\programme\websiteview auf meinen rechner installiert. das habe ich manuel gelöscht. den dialer bin ich immer noch nicht los..

Ich habe es mit den verschiedenen anti-dialer programmen: spybot search&destroy, spywareBlaster, a-squared versucht den dialer loszuwerden. das hat bisher nicht geklappt. Der Dialer wird von den anti-dailer programmen nicht erkannt.

bevor der dialer hat sich eingenistet hatte ich die firewall:zonealarm auf mittlerer sicherheitsstufe zu laufen gehabt und benutze: AntiVir als anti-viren programm.

........................................................................................................


Meine Ergebnisse mit hijekthis

Hallo,

ich habe jetzt den computer mit hijekthis gecheckt.
Es kamen ähnliche Ergebnisse:

Logfile of HijackThis v1.98.2
Scan saved at 17:55:00, on 12.11.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Picasa\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\internat.exe
C:\Programme\a2\a2guard.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: C:\WINNT\lbbho.dll - {095DB703-C8DD-4ABD-97F9-75281B965B72} - C:\WINNT\lbbho.dll
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINNT\System32\deuaba.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {4D1EF412-1144-013E-59E8-A58D646974CF} - C:\WINNT\System32\ludanax.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINNT\questmod.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LifeScape Media Detector] C:\Programme\Picasa\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - w*w.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {0C4A9D28-66B5-4A70-B915-B6AEA5112472} (Icon02 Control) - webschool.netian.com/icon02.cab
O16 - DPF: {469079B2-974B-3DDA-F760-16CD3D6A19DF} - 213.159.117.150/1/gdnDE10.exe
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - w*w.browserplugin.com/plugin/exe/access_special.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4379/mcfscan.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - install.power-url.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D42EE59-0F28-45B1-ACAA-53A564C94826}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F92EB7CB-7374-4606-B166-F766A16648A1}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D42EE59-0F28-45B1-ACAA-53A564C94826}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D42EE59-0F28-45B1-ACAA-53A564C94826}: NameServer = 192.168.122.252,192.168.122.253

[edit]
links entfernt
[/edit]

Geändert von GUA (03.12.2005 um 10:08 Uhr)

Alt 13.11.2004, 18:11   #2
*Christian*
Gast
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Lasse zunächst mal eScan im abg. Modus scannen: http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche die gefundenen Dateien manuell.

Sollten Probleme mit der Internet-Verbindung auftreten, benutze dieses Tool:

http://www.cexx.org/lspfix.htm LSP reparieren
__________________


Alt 01.03.2005, 17:21   #3
Holgi74
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Hallo. Hatte bis gestern auch mit dem Cool WEB SEarch zu kämpfen.
Unter Trojaner-info.de gibts einen Download link für eine Schredderer Maschine. Diese ist kostenlos und hat in Null Komma Nix Diesen Mist gekillt...
Gruß Holgi 74
__________________

Alt 01.12.2005, 10:09   #4
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Leider ist der auch bei mir aufen Rechner gelandet.

Wie heisst dieser Schredder oder besser noch wie ist der Link zu diesem?

Am besten bitte per mail antworten.

Hier geht naturlich auch. Bin kein Computerexperte

Alt 01.12.2005, 10:15   #5
stupormundi
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Servus, morano!
Gratuliere - Du hast einen thread aus dem Jahre Schnee hervorgekramt!
Ich gehe davon aus, dass der Highjacker, welcher Dich jetzt plagt, mit dem damals geschilderten nur noch verwandt ist. Also zur Problemsuche bei Dir:
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 01.12.2005, 12:15   #6
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Ich glaub nicht das ich das so hin bekomme.

Aber das Program heisst genau so vielleicht kann mir wer einfach doch den schredder nennen dann versuche ich das damit einfach mal.

Alt 01.12.2005, 12:22   #7
hoerni26
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Hallo,

poste doch mal ein HJT file wie beschrieben.
dann sehen wir weiter...
vielleicht hast du ja noch mehr ungereimtheiten im system.

gruß
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 01.12.2005, 13:38   #8
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Ok habs mal gemacht und poste es mal so rein hoffe das darf ich so hier.

Die Leiste im Browser habe ich weg bekommen aber die 5 Bilde aufen Desktop nicht. Kurzzeitig gehen sie weg durch regcleaner oder so und nach Neu start auch nicht mehr da aber wenn ich Rechner ganz runter fahre und neu starte ist es wieder da. Muss sich jedes mal selber neu installieren wohl wieder.

Logfile of HijackThis v1.99.1
Scan saved at 14:33:17, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiM

on.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
E:\waermebildkamera\WCESCOMM.EXE
E:\Spyware Doctor\swdoctor.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.e

xe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_wat

ch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROW

SER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\DOKUME~1\Block\LOKALE~1\Temp\Temporäres Verzeichnis 1 für

hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

http://www.sexsearch.cc/exitcon/get_link.php?WMID=5711&PID=1&WMEC

=5&nid=3
R3 - URLSearchHook: (no name) -

{DB821255-5E9A-DD47-90F4-13C11620C218} - (no file)
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

e:\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard -

{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -

E:\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor -

{B56A7D7D-6927-48C8-A975-17DF180C71AC} -

E:\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe]

C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiM

on.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE"

/min
O4 - HKLM\..\Run: [TemplateDongle] WinInitDll.exe
O4 - HKLM\..\Run: [nmdllw] pizda.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"

/background
O4 - HKCU\..\Run: [H/PC Connection Agent]

"E:\waermebildkamera\WCESCOMM.EXE"
O4 - HKCU\..\Run: [dePloy] xsetup.exe
O4 - HKCU\..\Run: [TemplateDongle] keybdll.exe
O4 - HKCU\..\Run: [MONITER] ssweeper.exe
O4 - HKCU\..\Run: [Spyware Doctor] "E:\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Handicraft-Freigabe.LNK = C:\HANDI\HANDIWIN.exe
O4 - Global Startup: Microsoft Office.lnk =

E:\Outlook2002\Office10\OSA.EXE
O9 - Extra button: Spyware Doctor -

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -

E:\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Mobilen Favoriten erstellen -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} -

e:\waermebildkamera\INETREPL.DLL
O9 - Extra button: (no name) -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

e:\waermebildkamera\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

e:\waermebildkamera\INETREPL.DLL
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC -

{BF69DF00-4734-477F-8257-27CD04F88779} -

C:\WINDOWS\system32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC -

{BF69DF00-4734-477F-8257-27CD04F88779} -

C:\WINDOWS\system32\shdocvw.dll (HKCU)
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia

Player) - http://stream.pussyharem.com/stream/mmp.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{09854537-5AE1-4B15-9A6E-AFA80F

8A2769}: NameServer = 85.255.113.132,85.255.112.88
O17 -

HKLM\System\CCS\Services\Tcpip\..\{0D44C761-A7C9-42B3-8C44-F618ED

7C4BEB}: NameServer = 85.255.113.132,85.255.112.88
O17 -

HKLM\System\CCS\Services\Tcpip\..\{0EFCCC4D-E3B0-4A05-B253-E0CE8

B64AB3D}: NameServer = 85.255.113.132,85.255.112.88
O17 -

HKLM\System\CCS\Services\Tcpip\..\{BF69444B-A3A2-46BC-95FF-757CD6

FCED7C}: NameServer = 217.237.149.161 217.237.151.225
O17 -

HKLM\System\CS1\Services\Tcpip\..\{09854537-5AE1-4B15-9A6E-AFA80F8

A2769}: NameServer = 85.255.113.132,85.255.112.88
O17 -

HKLM\System\CS2\Services\Tcpip\..\{09854537-5AE1-4B15-9A6E-AFA80F8

A2769}: NameServer = 85.255.113.132,85.255.112.88
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik

GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,

Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - E:\Spyware

Doctor\sdhelp.exe

Alt 03.12.2005, 09:16   #9
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Kann ma da wirklich niemand helfen?

Das dingt nervt sobald man ueber son pick kommt versucht der gleich Internet-Seiten zu laden usw.

Alt 06.12.2005, 08:12   #10
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Es waere immer noch aktuell

Alt 06.12.2005, 09:58   #11
stupormundi
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Servus!
Lass mal den CWS-Shredder http://www.intermute.com/spysubtract..._download.html laufen und melde Dich anschließend mit neuem HJT Logfile und Ergebnisbericht wieder!
Und - Geduld bringt Rosen!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 06.12.2005, 22:47   #12
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



K werde ich morgen mal machen muss ich erst hinfahren ist der Rechner von meinen Eltern

Alt 12.12.2005, 11:39   #13
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



RUN: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
RUN: [SoundMan] SOUNDMAN.EXE
RUN: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
RUN: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
RUN: [TemplateDongle] WinInitDll.exe
RUN: [nmdllw] pizda.exe
RUN: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
RUN: [H/PC Connection Agent] "E:\waermebildkamera\WCESCOMM.EXE"
RUN: [dePloy] xsetup.exe
RUN: [TemplateDongle] keybdll.exe
RUN: [MONITER] ssweeper.exe
RUN: [Spyware Doctor] "E:\Spyware Doctor\swdoctor.exe" /Q


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] e:\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
BHO: [PCTools Site Guard] E:\SPYWAR~1\tools\iesdsg.dll
BHO: [PCTools Browser Monitor] E:\SPYWAR~1\tools\iesdpb.dll


**** IE Toolbars ****



**** IE Extensions ****

IEExt: [Spyware Doctor]
IEExt: [Mobilen Favoriten erstellen]
IEExt: [Mobilen Favoriten erstellen]
IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe


**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0EFCCC4D-E3B0-4A05-B253-E0CE8B64AB3D}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0EFCCC4D-E3B0-4A05-B253-E0CE8B64AB3D}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0D44C761-A7C9-42B3-8C44-F618ED7C4BEB}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0D44C761-A7C9-42B3-8C44-F618ED7C4BEB}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{09854537-5AE1-4B15-9A6E-AFA80F8A2769}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{09854537-5AE1-4B15-9A6E-AFA80F8A2769}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{62F510D2-83D6-4675-A186-9BE01DA23F10}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{62F510D2-83D6-4675-A186-9BE01DA23F10}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E6B3C8E5-E38A-48C1-9ABB-0CD326C63FF7}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E6B3C8E5-E38A-48C1-9ABB-0CD326C63FF7}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4FBB10E1-3476-4E9E-B05A-18F808F0F96B}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4FBB10E1-3476-4E9E-B05A-18F808F0F96B}] DATAGRAM 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{BF69444B-A3A2-46BC-95FF-757CD6FCED7C}] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{BF69444B-A3A2-46BC-95FF-757CD6FCED7C}] DATAGRAM 6


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

Microsoft XML Parser for Java []
{861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} [http://stream.pussyharem.com/stream/mmp.cab] C:\WINDOWS\Downloaded Program Files\ffav.dll C:\WINDOWS\Downloaded Program Files\ax_mjpeg.ocx
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\system32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AntiVirService] "C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[Ati HotKey Poller] %SystemRoot%\system32\Ati2evxx.exe
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE"
[BITS] %SystemRoot%\system32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\system32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch
[Dhcp] %SystemRoot%\system32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\system32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\system32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[ImapiService] C:\WINDOWS\system32\imapi.exe
[lanmanserver] %SystemRoot%\system32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\system32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\system32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\system32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\system32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\system32\msdtc.exe
[MSIServer] C:\WINDOWS\system32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\system32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\system32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\system32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[ose] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\system32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\system32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\system32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\system32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\system32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[SDhelper] E:\Spyware Doctor\sdhelp.exe
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\system32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\system32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\system32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\system32\dllhost.exe /Processid:{69EE4CE4-0E5A-4A40-8475-BA5FB332373D}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost -k DComLaunch
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\system32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\system32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\system32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\system32\wbem\wmiapsrv.exe
[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page]
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [Use FormSuggest] no
IEOPT: [StatusBarOther]
IEOPT: [DisableScriptDebuggerIE] yes
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no

Alt 12.12.2005, 11:45   #14
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Las ich den oben genannten Shredder mit FIX rueberlaufen Rebootet der Rechner von alleine aufmal. Mehr passiert aber nicht.

Alt 29.12.2005, 21:43   #15
morano
 
Wie den Dialer CoolWebSearch wieder loswerden ? - Standard

Wie den Dialer CoolWebSearch wieder loswerden ?



Brauch immer noch hilfe kann mir da wirklich keiner helfen?

Antwort

Themen zu Wie den Dialer CoolWebSearch wieder loswerden ?
.inf, ad-aware, als startseite, antivir, bho, computer, dateien, dll, excel, explorer, file missing, firefox, firewall, google, hijack, hijackthis, internet explorer, loswerden, manuel, microsoft, mozilla, mozilla firefox, my search, mysearch, picasa, programm, programme, rundll, software, system, system32, t-online, tcpip, unter, windows



Ähnliche Themen: Wie den Dialer CoolWebSearch wieder loswerden ?


  1. Rootkit und jede Menge Adware wieder loswerden möglich?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2015 (5)
  2. 2x | Bizcoaching wieder loswerden?
    Mülltonne - 01.07.2013 (1)
  3. gestern mit GUV Trojaner infiziert - wie kann ich den wieder loswerden ?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  4. Startseite.de wieder loswerden
    Log-Analyse und Auswertung - 08.02.2013 (3)
  5. myStart incredibar wieder loswerden
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (7)
  6. Your Protection Fake AntiVirus wieder loswerden?
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (1)
  7. urlzone_2 trojaner schnell wieder loswerden
    Log-Analyse und Auswertung - 10.09.2009 (10)
  8. DNS Changer wieder loswerden
    Log-Analyse und Auswertung - 05.02.2009 (1)
  9. key update tool versehentlich runtergeladen wie wieder loswerden???
    Alles rund um Windows - 10.06.2007 (12)
  10. Coolwebsearch Domains in Registry loswerden ?
    Plagegeister aller Art und deren Bekämpfung - 03.08.2006 (3)
  11. .tmp dateien tauchen ständig wieder auf! - Dialer.DialPlatform -
    Mülltonne - 17.04.2006 (1)
  12. Trojan.Moo wieder loswerden???
    Plagegeister aller Art und deren Bekämpfung - 17.04.2005 (2)
  13. Hilfe kann Dialer nicht loswerden
    Log-Analyse und Auswertung - 14.03.2005 (20)
  14. Dialer kommt immer wieder...
    Log-Analyse und Auswertung - 22.02.2005 (5)
  15. wie bekomme ich den Dialer / Trojaner wieder weg?
    Plagegeister aller Art und deren Bekämpfung - 21.02.2005 (4)
  16. System neu aufgesetzt, Trojaner(Dialer?) wieder da...
    Antiviren-, Firewall- und andere Schutzprogramme - 18.01.2005 (6)
  17. ich kann den dialer nicht loswerden
    Plagegeister aller Art und deren Bekämpfung - 24.04.2004 (3)

Zum Thema Wie den Dialer CoolWebSearch wieder loswerden ? - Hallo Leute, ich habe mir den extrem nervigen Dialer Coolwebsearch eingefangen. Wie werde ich ihn wieder los? Ich habe meinen pc mit ad-aware und hijekthis gecheckt. Die Ergebnisse sind in - Wie den Dialer CoolWebSearch wieder loswerden ?...
Archiv
Du betrachtest: Wie den Dialer CoolWebSearch wieder loswerden ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.