|
CoolWebSearch nicht zu entfernen Hi. Seid 3 Tagen geht mir regelmäßig der Browser durch. Zuerst war s IE - jetzt ists Firefox, der immerhin nicht ganz so anfällig gegen Hijacking scheint. (Ich nutz Windows ME, falls das was nützt.) Alle mir bekannten Tools genutzt, also Spyboot, AdAware, dazu Spysubstract inclusive CoolWeb-Shredder. Der CW-Shredder schafft es nicht, CoolWebSearch restlos zu entfernen. Nach Scan mit AdAware zeigen sich immer wieder resistente Dateien. :pfui: Direktes Löschen oder auch nur umbenennen führt zum Systemabsturz -> run-time Error Habe zwar schon mit HiJack This verschiedenes zu fixen versucht, leider ohne nennenswerten Erfolg. :sleepy: Kann mir jemand helfen, bevor dieses CoolWebSearch mir restlos alle Spyware und Dialer des gesamten Netzwerkes runterlädt ? Es ist zum Auswachsen... (Übrigens, gibt es irgendeinen signifikanten Zusammennhang zwischen DMVlite und diesem CoolWeb-Quatsch ?) |
Hallo, Zitat:
Poste mal HJT Log-File damit wir nähere Infos zu deinem System bekommen und führe auch dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
|
Hallo, das selbe Problem habe ich auch: http://www.trojaner-board.de/showthread.php?t=12723 Das Tollste ist ja, dass ich escan bei deaktivierter systemwiederhertsellung im abgesicherten modus hab durchlaufen lassen, dann hat er alles gelöscht und es schien weg. Nach ein paar Minten war alles wieder da!! Ich hab das auch mit Hijackthis, Spybot, CWShredder, Ad-Aware etc.... gemacht, aber kein Erfolg!! Hat jemand irgend einen Rat für uns, die die Nase von Coolwwwsearch voll haben??? |
Logfile of HijackThis v1.99.0 Scan saved at 22:31:23, on 25.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FSMA32.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FSMB32.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FCH32.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\BACKWEB\154149\PROGRAM\FSBWSYS.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\BACKWEB\154149\PROGRAM\BACKWEB-154149.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FAMEH32.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\ANTI-VIRUS\FSGK32.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\FWES\PROGRAM\FSDFWD.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\ANTI-VIRUS\FSSM32.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\ANTI-VIRUS\FSAV32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FSM32.EXE C:\WINDOWS\SYSTEM\WSXSVC\WSXSVC.EXE C:\WINDOWS\SYSTEM\VMSS\VMSS.EXE C:\PROGRAMME\SED\SED.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\EIGENE DATEIEN\INTERNET SECURITY\HIJACKTHISFOLDER\HIJACKTHIS.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - Default URLSearchHook is missing F1 - win.ini: run=C:\WINDOWS\hpfsched.exe O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [F-Secure Manager] "C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\SYSTEM\wsxsvc\wsxsvc.exe O4 - HKLM\..\Run: [vmss] C:\WINDOWS\SYSTEM\VMSS\VMSS.EXE O4 - HKLM\..\Run: [SESync] "C:\PROGRAMME\SED\SED.EXE" O4 - HKLM\..\Run: [VBouncerDL] C:\Programme\VBouncer\VBouncerInner.exe /S O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\Common\FSMA32.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe O4 - Global Startup: F-Secure Anti-Virus 2004 - WEB.DE Edition.lnk = C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\BACKWEB\154149\Program\backweb-154149.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmbacklinks.html O8 - Extra context menu item: Translate Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmtrans.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0411.DLL O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0411.DLL O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll O15 - Trusted IP range: 213.159.117.202 O15 - Trusted IP range: (HKLM) |
Leiste nochmal etwas Vorarbeit, wie ich es dir schon beschrieben hatte, und führe dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Ja, danke für die zahlreichen Antworten. Nach eScan zeigt sich eine schier rettungslose Durchseuchung meines PC mit zahlreichen Trojanern und anderem. Hier die Funde !!!! Tue Jan 25 23:09:06 2005 => File C:\WINDOWS\SYSTEM\wsxsvc\wsxsvc.exe infected by "not-a-virus:AdWare.DelphinMediaViewer.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\VMSS\VMSS.EXE infected by "not-a-virus:AdWare.DelphinMediaViewer.c" Virus File C:\PROGRAMME\SED\SED.EXE infected by "not-a-virus:AdWare.Cres" Virus. Action Taken: No Action Taken. File C:\Programme\VBouncer\VBouncerInner.exe infected by "not-a-virus:AdWare.VirtualBouncer" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SSK_B5.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\appsetup.exe infected by "Trojan-Downloader.Win32.Small.aco" Virus. Action Taken: No Action Taken. File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. File C:\WINDOWS\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\n20050308.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken. File C:\WINDOWS\winsx.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\kapbwq.dat infected by "Trojan-Downloader.Win32.Qoologic.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\webdlg32.cab infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\winsx.cab infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\noebiz.dll infected by "Trojan-Downloader.Win32.Qoologic.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\giwrvy.exe infected by "Trojan-Downloader.Win32.Qoologic.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\qycolg.dll infected by "Trojan-Downloader.Win32.Qoologic.d" Virus. Action Taken: No Action Taken. File C:\WINDOWS\WrapperOuter.exe infected by "not-a-virus:AdWare.VirtualBouncer.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\dsmanager.dll infected by "not-a-virus:AdWare.ToolBar.BHO.j" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\akupd.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\akrules.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\aklsp.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken. :aplaus: Ich glaub, ich muss mich erst mal erholen von dem Schock und hau mich aufs Ohr... Wem aber hierzu noch ein Tip einfällt außer System platt machen und alles neu installieren, bitte sagen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:01 Uhr. |
Copyright ©2000-2024, Trojaner-Board