Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   coolwwwsearch probleme (https://www.trojaner-board.de/24411-coolwwwsearch-probleme.html)

gummikuh 10.12.2005 22:38
coolwwwsearch probleme
 
Hallo alle zusammen,
bin neu hier und habe ein prob mit dem coolwwwsearch in sämtlichen versionen und dem trek blue error nuker.....habs jetzt schon mit dem spybot 1.4 versucht bekomme die zwar gelöscht aber beim nächsten überprüfen sind die dinger wieder da, und jedesmal mit anderer anzahl an einträgen....weis mir jetzt keinen rat mehr und hab hier mal ein HJT log sowie ein log vom SD. Wäre nett wenn mir jemand helfen könnte. vielen dank im vorraus



CoolWWWSearch.SearchKlick: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA\DisplayName

CoolWWWSearch.SearchKlick: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA\UninstallString

CoolWWWSearch: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I

CoolWWWSearch: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I

Trek Blue Error Nuker: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA

Trek Blue Error Nuker: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE

Trek Blue Error Nuker: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-12-06 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-12-02 Includes\Cookies.sbi (*)
2005-12-02 Includes\Dialer.sbi (*)
2005-12-02 Includes\Hijackers.sbi (*)
2005-12-02 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2005-12-02 Includes\Malware.sbi (*)
2005-12-02 Includes\PUPS.sbi (*)
2005-12-02 Includes\Revision.sbi (*)
2005-12-02 Includes\Security.sbi (*)
2005-12-02 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2005-12-02 Includes\Trojans.sbi (*)




Logfile of HijackThis v1.99.1
Scan saved at 20:03:39, on 10.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\javajm.exe
C:\Programme\Corel\Custom Photo\Register\Remind32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\crwu.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {153707B5-D0ED-A171-CBB3-87B9E1296513} - (no file)
O2 - BHO: Class - {4FC7118F-CEC2-4822-4FA2-BD496C690A0C} - C:\WINDOWS\ielm32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {7DCC266E-FC5E-B80B-3136-C2117FEFEC81} - C:\WINDOWS\system32\sdkvt32.dll
O2 - BHO: Class - {EC15436C-2D60-3C5B-5647-2F041E89CB49} - C:\WINDOWS\msxn32.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ipqr.exe] C:\WINDOWS\ipqr.exe
O4 - HKLM\..\Run: [javajm.exe] C:\WINDOWS\javajm.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Corel® elektronische Registrierung - Corel® Custom Photo.lnk = C:\Programme\Corel\Custom Photo\Register\Remind32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123857545328
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123857531546
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crwu.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

dartus 11.12.2005 02:18
Hallo gummikuh,

deinstalliere über Systemsteuerung/Software --> MessengerPlus! 3

Lade Dir Adaware .
Installieren und updaten.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

alle "R"-Einträge
O2 - BHO: (no name) - {153707B5-D0ED-A171-CBB3-87B9E1296513} - (no file)
O2 - BHO: Class - {4FC7118F-CEC2-4822-4FA2-BD496C690A0C} - C:\WINDOWS\ielm32.dl
O2 - BHO: Class - {7DCC266E-FC5E-B80B-3136-C2117FEFEC81} - C:\WINDOWS\system32\sdkvt32.dll
O2 - BHO: Class - {EC15436C-2D60-3C5B-5647-2F041E89CB49} - C:\WINDOWS\msxn32.dll
O4 - HKLM\..\Run: [ipqr.exe] C:\WINDOWS\ipqr.exe
O4 - HKLM\..\Run: [javajm.exe] C:\WINDOWS\javajm.exe

Lösche manuell:
C:\WINDOWS\ielm32.dl
C:\WINDOWS\system32\sdkvt32.dll
C:\WINDOWS\msxn32.dll
C:\WINDOWS\ipqr.exe
C:\WINDOWS\javajm.exe

Mit Spybot und Adaware scannen und alle Funde löschen.

Papierkorb leeren

Neustart --> Systemwiederherstellung aknn wieder aktiviert werden

Neues Logfile und berichten

dartus

MightyMarc 11.12.2005 02:24
€dit:

Hinfällig, da zu langsam...

gummikuh 11.12.2005 15:36
so hab jetzt die dateien gefixt....hier das neue logfile....
spybot hat nix mehr gefunden
und ad-aware auch nicht


Logfile of HijackThis v1.99.1
Scan saved at 15:32:27, on 11.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Corel\Custom Photo\Register\Remind32.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor]

"C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame

Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft

ActiveSync\wcescomm.exe"
O4 - Startup: Corel® elektronische Registrierung - Corel® Custom Photo.lnk =

C:\Programme\Corel\Custom Photo\Register\Remind32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft

Office\Office10\OSA.EXE
O9 - Extra button: Create Mobile Favorite -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage

Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://h**p://update.microsoft.com/m...6/client/wuweb

_site.cab?1123857545328
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://h**p://update.microsoft.com/m...6/client/muweb

_site.cab?1123857531546
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis -

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp

Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe





jetzt aber nochmal ne frage warum sollte ich den messanger plus deinstallen....was genau macht der denn??? hab den nämlich auch auf nem anderen rechner.

mit freundlichem Gruß
Gummikuh

Haui45 11.12.2005 15:42
Zitat:
Zitat von gummikuh
jetzt aber nochmal ne frage warum sollte ich den messanger plus deinstallen....was genau macht der denn??? h
Deshalb...
Zitat:
Messenger Plus! comes with an optional sponsor program that you can decide to install or not during the setup (which is the same whether it's a new installation or an update. The question is always asked and nothing is ever selected by default). This program will show ads from time to time on your computer, will add a search bar in Internet Explorer and may also change your start page. In NO case this sponsor is mandatory or dangerous. If you don't want it, simply refuse the sponsor agreement during the setup and you will never hear about it again. If you installed the sponsor by error, just launch the uninstallation program of Messenger Plus!, choose if you want to uninstall the sponsor only or Messenger Plus! and the sponsor, follow the instructions and reboot your computer.

Important: if you wish to get rid of the sponsor program, you must uninstall Messenger Plus! from the Add/Remove Programs window. If you start deleting files on your own you will prevent a full system restore as some of the files copied by the sponsor are backups of your original configuration files. Also, never attempt to use programs such as Microsoft Anti-Spyware to remove the sponsor. Doing so would permanently damage the sponsor's restore data and would make the uninstallation much harder than it should be. You don't use third party programs to remove your other programs, the sponsor is no different. For detailed instructions, check out this special post on the forum
Quelle: http://www.msgplus.net/help_faq.php?expand=2#spam

gummikuh 11.12.2005 15:51
hallo haui45,
hab den plus installiert aber die sponsor software nicht mit installt. dann kann ich den doch drauf lassen, oder etwa nicht????

Haui45 11.12.2005 15:59
Es ist dein System und du kannst damit machen was du willst, d.h. auch den MsgPlus! verwenden...
Ich würde einer solchen Software allerdings kein Vertrauen schenken. Ein Impressum konnte ich auf der Website ebenfalls nicht finden...

gummikuh 11.12.2005 16:18
allerbesten dank.....jetzt is das sys wieder sauber...hoffe auch mal mal meine hilfe anbieten zu können.

bis dahin verbleibe ich

mit freundlichem gruß
Gummikuh


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:26 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129