CoolwwwSearch nicht wegzukriegen bei IE
Hallo,
habe auf einem Samsung-Noti mit Xp pro Sp2 den lastigen Trojaner CoolwwSearch drauf in folgenden Varianten:
CoolwwSearch.aff.Winshow
CoolwwSearch.HomeSearch
CoolwwSearch.Searchlink
CoolwwSearch
Habe alles erdenkliche versucht:
Systemwiederherstellung ausgeschaltet
- im abgesichertem Modus laufen lassen: spybot 4, cwshredder 2.19, hijackthis.
Die Dinger werden aufgespürt, lassen sich fixen, bzw. beheben, sind dann trotz abgesichertem und ausgesch.Systemwiederherstellung wieder da, sobald IE6 gestartet wird. Bei vorhandenem firefox offenbar o.k. aber es läßt sich nicht vermeiden, daß mal der IE nötig ist, z.B. windows-update.
Der "R3 - Default URLSearchHook is missing" Eintrag läßt sich zwar fixen, bleibt aber immer bestehen, trotz abgesichertem modus. Auch ein leere des papierkorbs sofort danach bringt nichts.
CWshredder 2.19 findet nun nichts mehr (allerdings stürzt vereinzelt Xp pro mit bluescreen ab ganz am Ende von cwshredder).
"A squarded 2" findet auch nichts mehr.
Wie krieg ich diese trojaner raus, hab jetzt m.E doch alle Maßnahmen durchgeführt.
Auch SpSeHjfix112.exe hat nichts gebracht, auch miniremoval_coolwebsearch_smartkiller.exe brachte keinen Erfolg. Die Dinger scheinen weg, doch nach Neustart und IE6 sind sie wieder da.
Auch der Norton antivir 2005 findet nichts mehr, wurde dann aber testweise ganz entfernt.
Wer hat noch eine Idee?
Hier das logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:19:55, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {F951E714-E5B7-E654-6008-4A7363F486C8} - C:\WINDOWS\system32\javaog32.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LiveState Recovery 3.0] C:\Programme\Symantec\LiveState Recovery\Desktop 3.0\Agent\VProTray.exe
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\dgprpsetup.exe" /m
O4 - HKLM\..\Run: [ssweeper] prcmon.exe
O4 - HKLM\..\Run: [vxdman] qwe.exe
O4 - HKLM\..\Run: [dmtwb.exe] C:\WINDOWS\system32\dmtwb.exe
O4 - HKLM\..\Run: [netth32.exe] C:\WINDOWS\system32\netth32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [init32] TForm1.exe
O4 - HKCU\..\Run: [slamm] SetupExeDll.exe
O4 - HKCU\..\Run: [WhatsNewBot] sysmon12.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136238561527
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A04E459-C38E-4403-9BD3-45B005B36DBC}: NameServer = 217.237.150.141,217.237.150.97
O20 - Winlogon Notify: SymcEventMonitors - C:\WINDOWS\SYSTEM32\EventMonitors.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä�#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcyv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Lexmark Network Plug and Print (LexPnPAgent) - Lexmark International, Inc. - C:\Programme\Lexmark\NetPnP\lexpnpagent.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec LiveState Recovery - Symantec Corporation - C:\Programme\Symantec\LiveState Recovery\Desktop 3.0\Agent\VProSvc.exe
Gruß
Peter | 