Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   CWS unter ME geht nicht weg (https://www.trojaner-board.de/12463-cws-me-geht-weg.html)

Snurfer 20.01.2005 07:49
CWS unter ME geht nicht weg
 
Moin Moin zusammen!

Ein Kollege hat sich da CoolWebSearch eingefangen. CWshreeder findet nichts. Ad-Aware findet CWS und beseitigt ihn auch. Geht aber nicht ganz weg. Nach Aufruf Browser ist er wieder da.

Vielleicht weiß ja jemand Rat. Ich bin mit meinem Latein am Ende.

Logfile of HijackThis v1.99.0
Scan saved at 17:06:38, on 19.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TBPANEL.EXE
C:\PROGRAMME\DRTURBO\DTGCTRL.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\PHOTO IMAGING\HPI_JETSEND.EXE
C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\PHOTO IMAGING\HPI_MONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\T-ONLINE\BSW4\TOADIMON.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\HPOOPM07.EXE
C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\PROGRAMME\CYBERLINK DVD SOLUTION\POWERDVD\PDVDSERV.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPODEV07.EXE
C:\LOTUS\SMARTCTR\SUITEST.EXE
C:\LOTUS\SMARTCTR\SMARTCTR.EXE
C:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\LOTUS\REGISTER\REMIND32.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\CONNMNGMNTBOX.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\ECTASKSCHEDULER.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\ELOGERR.EXE
C:\PROGRAMME\INTUWAVE\SHARED\MROUTERRUNTIME\MROUTERRUNTIME.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOEVM07.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\BROADCASTPROXY.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\SCRFS.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOSTS07.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOFXM07.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\VIRUS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\SYSTEM\SPM1316.DLL
O2 - BHO: (no name) - {E7D37F63-5208-4507-9F3E-07923A5544BE} - C:\WINDOWS\SYSTEM\FLEB.DLL
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\SYSTEM\WER1316.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [DTGCtrl] C:\PROGRA~1\DRTURBO\DTGCTRL.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HPIJetSend] C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\PHOTO IMAGING\HPI_JETSEND.EXE
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SYSTEM\SysUpd.exe
O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp officejet v series\bin\hpodev07.exe
O4 - Startup: Lotus SuiteStart.lnk = C:\lotus\smartctr\suitest.exe
O4 - Startup: Lotus SmartCenter.lnk = C:\lotus\smartctr\smartctr.exe
O4 - Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Lotus SmartSuite 9.6 - Deutscher Registrierung.lnk = C:\lotus\register\remind32.exe
O4 - Startup: PCSuiteForNokia7650 Detect.lnk = C:\Programme\Nokia\PC Suite for Nokia 7650\connmngmntbox.exe
O4 - Startup: PCSuiteForNokia7650 TS.lnk = C:\Programme\Nokia\PC Suite for Nokia 7650\ectaskscheduler.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} - http://www.4netmedia.com/suninfoconnect-hi.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253
O18 - Filter: text/html - {222A04A6-5326-4277-9CFB-22B73D9BE660} - C:\WINDOWS\SYSTEM\FLEB.DLL
O18 - Filter: text/plain - {222A04A6-5326-4277-9CFB-22B73D9BE660} - C:\WINDOWS\SYSTEM\FLEB.DLL

Ich danke dann schonmal!

Gruß, der Snurfer

Snurfer 21.01.2005 05:59
Hat denn keiner eine Idee?

:heulen:

chaosman 21.01.2005 08:56
@Snurfer
speichere diese datei auf eine diskette zwecks beweissicherung(ist ein dialer)
C:\WINDOWS\SYSTEM\SysUpd.exe
danach in den abgesicherten modus booten und manuell entfernen
neu booten, escan downloaden und updaten
system und IE dringenst updaten!
mit escan scannen
escan anleitung
mache es genauso wie beschrieben wird
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert 1 stunde mindestens
chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:19 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28