Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Cool Web Search (CWS) sp.dll/se.dll Problem (https://www.trojaner-board.de/17709-cool-web-search-cws-sp-dll-se-dll-problem.html)

Tweety5000 12.05.2005 11:43

Cool Web Search (CWS) sp.dll/se.dll Problem
 
Liebe Experten!

Seit 2 Wochen schlage ich mich nun schon mit dem Hijacker CWS herum. Ich habe alles versucht, alle gängigen Programme eingestzt, aber das sch... Teil kommt immer wieder. Selbst den Internetexplorer hab ich schon gekillt :snyper: und surfe nur noch über Firefox (der eh um Längen besser ist ;-)

Jetzt habe ich mich schon fleissig über dieses Ding informiert und folgende Vorgehensweise als sehr erfolgversprechend gelesen:

>>Öffnet folgenden Pfad: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall]

Dort findet Ihr einen Eintrag wie diesen:

UninstallString=regsvr32 /s /u C:\Windows\System\IBGOK.DLL

Der Name der angegebenen DLL-Datei (bei mir IBGOK.DLL) kann wieder variieren. NOTIERT EUCH AM BESTEN DIESEN DATEINAME.

Löscht dann den Eintrag in REGEDIT.<<

Leider gibts bei mir in der Registrierung den Pfad gar nicht :heulen:
Bis Uninstall ist noch alles identisch, aber den weiteren Pfad "SearchAssistant Uninstall" gibt es bei mir nicht. Ich bin ratlos.

Kann mir eventuell einer helfen?? Als Info, ich hab Windows 98...

Wäre super froh wenn mir jemand helfen könnte - möcht den Rechner ungern wieder platt machen.

Danke Danke !

Rene-gad 12.05.2005 12:47

@Tweety5000
Zitat:

Bis Uninstall ist noch alles identisch, aber den weiteren Pfad "SearchAssistant Uninstall" gibt es bei mir nicht.
Hast du ..\SearchAssistant - ohne Uninstall?
Hast du auch diese IBGOK.DLL gelöscht?

Tweety5000 12.05.2005 14:02

Nein - die SearchAssistant habe ich auch nicht. In dem Verzeichnis uninstall finden sich diverse Unterordner von Programmen wieder, die ich auf meinem Rechner installiert habe. Eine Verzeichnis SearchAssistant oder ähnlich gibt es da nicht. Die Datei IBGOK.DLL kann ich ja leider nicht löschen, da sie jedes mal anders heisst. In der von mir geposteten Beschreibung heisst die DLL nur zufällig so - deswegen möchte ich ja in der Registrierung nachsehen, welchen Namen die DLL bei mir hat :balla:



Hiiiiilfe

Rene-gad 12.05.2005 15:51

@Tweety5000
Zitat:

Die Datei IBGOK.DLL kann ich ja leider nicht löschen, da sie jedes mal anders heisst. In der von mir geposteten Beschreibung heisst die DLL nur zufällig so - deswegen möchte ich ja in der Registrierung nachsehen, welchen Namen die DLL bei mir hat
Guck mal hier: http://www.trojaner-board.de/showpos...39&postcount=1

Tweety5000 12.05.2005 16:19

Danke für den Lionk. Das Tool ist zweifelsohne sehr praktisch - Nutzt mir nur leider grad nichts, weil ich ja wie gesagt nicht weiß wie die verdammte DLL heisst. Um das rauszufinden wollte ich in der Registrierung nachsehen, nur leider existiert ja bei mir ja in der Registrierung der Pfad nicht...

Rene-gad 12.05.2005 16:29

@Tweety5000
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.

Lutz 12.05.2005 19:24

Auch hier empfehle ich mal auf Verdacht unseren Cleaner -> http://derbilk.de/404.html ;)

Tweety5000 13.05.2005 17:06

Hier nun mein Log, mal sehen ob da jemand schlau draus wird ;-)

Logfile of HijackThis v1.99.1
Scan saved at 18:04:08, on 13.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\COMMON\FSMA32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\COMMON\FSMB32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\COMMON\FCH32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\BACKWEB\154149\PROGRAM\FSBWSYS.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\BACKWEB\154149\PROGRAM\FSPEX.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\COMMON\FAMEH32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\ANTI-VIRUS\FSGK32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\FWES\PROGRAM\FSDFWD.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\ANTI-VIRUS\FSSM32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\APOINT\APOINT.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\BATTERYSCOPE\BATMGR.EXE
C:\PROGRAMME\802.11 WIRELESS LAN\802.11G WIRELESS CARDBUS & PCI ADAPTER HW.21 V1.10\WLANCU.EXE
C:\PROGRAMME\APOINT\APWHEEL.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {C888D681-BFE4-11D9-B707-004011E369B6} - C:\WINDOWS\SYSTEM\DEJ.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [LVComs] c:\windows\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Manager] REM "C:\PROGRAMME\F-SECURE ANTI-VIRUS\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] REM "C:\PROGRAMME\F-SECURE ANTI-VIRUS\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] REM "C:\PROGRAMME\F-SECURE ANTI-VIRUS\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\PROGRAMME\F-SECURE ANTI-VIRUS\Common\FSMA32.EXE
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\PROGRAMME\T-ONLINE\WLAN-ACCESS FINDER\TOWLAACF.EXE /StartMinimized
O4 - Startup: BatteryScope.lnk = C:\Programme\BatteryScope\Batmgr.exe
O4 - Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O4 - Global Startup: F-Secure Anti-Virus 2005 - WEB.DE Edition.lnk = C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE

Rene-gad 13.05.2005 18:28

@Tweety5000
BITTE ALLE LINKS IN DEINEM BEITRAG INAKTIV MACHEN. DANKE!
Zitat:

Hier nun mein Log, mal sehen ob da jemand schlau draus wird
Wills du in solchem Wege hier den Idiotentest hier durchführen? :confused:
Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {C888D681-BFE4-11D9-B707-004011E369B6} - C:\WINDOWS\SYSTEM\DEJ.DLL (file missing)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Bitte diese alle fixen.
BTW: Hast du noch IE4 drauf?
Zitat:

MSIE: Unable to get Internet Explorer version!

Tweety5000 14.05.2005 09:09

Den Internetexplorer hab ich mehr oder weniger gar nicht mehr drauf. Da sich dieser ja leider als Systembestandteil nicht deinstallieren lässt - ich aber immer wieder nervige PopUps bekam, trotz Nutzung von FDirefox (Ich vermute der IE öffnet sich im Hintergrund, was das System sehr langsam machte!), habe ich die *.exe Datei des Internetexplorers kurzerhand gelscöht. Eine sehr rabiate Art, ich weiß, aber seither sind wenigstens die PopUps verschwunden ;-)

Chris14 14.05.2005 09:23

nicht umbedingt. mit tools wie 98lite lässt sich der IE aus w98 komplett entfernen. bei me weiß ich es nicht genau, aber bei 2000 und xp ist er richtig integriert.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:59 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129