Trojaner-Board - CoolWWWSearch.Msconfig

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - CoolWWWSearch.Msconfig (https://www.trojaner-board.de/8979-coolwwwsearch-msconfig.html)

CoolWWWSearch.Msconfig

moin ,

mein erster beitrag bei euch , also erst mal hallo alle zusammen . :party:

nun zu meinem problem , CoolWWWSearch.Msconfig , wurde gestern von Spybot gefunden und kann nicht behoben werden .
für mich verdächtige einträge sind mit hijack gefixt , hänge aber den aktuellen hijack log mal an .
wie werde ich das ding wieder los , hoffe jemand kann mir helfen .

gruß ralph

@BURCH

warum postet du dein logfile nicht einfach mit copy and paste?
wäre für uns einfacher zum auswerten
chaosman

moin ,

wird gemacht :)

Logfile of HijackThis v1.98.2
Scan saved at 10:31:46, on 30.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\andere Programme\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\SLEE81.exe
C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\andere Programme\True Image\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\TOOL´s - Internet\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RAMASST.exe
D:\Programme\TOOL´s - Office\Office 2003\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\andere Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mein sein
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\TOOL´s - Grafik\ADOBE\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\andere Programme\Spybot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WinRamTurbo] C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] REM rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] REM "D:\Programme\andere Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SIPPS] REM D:\Programme\TOOL´s - Internet\SIPPS\SIPPS.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\ANDERE~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "D:\Programme\andere Programme\True Image\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Programme\TOOL´s - Internet\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [AutoStart-Manager] REM D:\Programme\andere Programme\Autostartmanager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Mozilla Quick Launch] REM "D:\PROGRA~1\ANDERE~1\MOZILLA.EXE" -turbo
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Allow Popups - D:\Programme\TOOL´s - Internet\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\TOOLS-~2\OFFICE~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\TOOL´s - Internet\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\TOOLS-~2\OFFICE~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\andere Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\andere Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://www.drummerforum.de
O15 - Trusted Zone: *.forum.fo-pa.de
O15 - Trusted Zone: http://www.windows-board.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C314C3D-FAC7-464F-8863-CC05F241B9BB}: NameServer = 192.168.2.1

@BURCH
wechle in den abgesicherten modus
wenn du denn einträge nicht kennst, dann fixen
O15 - Trusted Zone: http://www.drummerforum.de
O15 - Trusted Zone: *.forum.fo-pa.de
O15 - Trusted Zone: http://www.windows-board.de

diese programm kenne ich nicht
D:\Programme\TOOL´s - Internet\Popup Ad Filter\PopFilter.exe

chaosman

@ chaosman ,
erst mal danke für deine mühe , die ersten drei sind mir bekannte foren, in denen ich schon länger aktiv bin .
das andere ist ein popup filter , den habe ich auch schon sehr lange .
CoolWWWSearch.Msconfig , habe ich erst seit ein paar tagen .
ich lasse spybot ca. ein mal die woche laufen .

gruß ralph

@BURCH

update mal dein spybot, laut 26.10 2004 müßte dein CWS auch dabei sein

chaosman

das habe ich gestern und gerade gemacht, aber es tut sich nichts .
was ich komisch finde , spybot findet im abgesicherten modus nix , ich mich schon gefreut .
im normalen modus ist es direkt wieder da .
ich habe temp dateien usw. gelöscht, nix zu machen, sehr hartnäckig das teil .

gruß ralph

Gibts von Spybot denn auch eine genauere Info, wo genau das gefunden wird? Im Log ist eigentlich nichts zu erkennen, du benutzt ja offensichtlich sowieso Mozilla, hast du denn außer durch den Spybot-Scan irgendwas gemerkt von einem Schädling?

hi ,

ja, der hat den pfad in die reg angegeben und den habe ich gestern schon exportiert .
zu mozilla, den habe ich zwar auch, benuzte aber fast immer den IE .
insgesammt gemerkt habe ich von dem teil noch nichts, ich hoffe das bleibt so .

gruß ralph

Vielleicht ist es wieder ein neuer Bug.

Hallo Burch & Kollegen!

Ganz aktuell in diesen Tagen kämpft ein anderer User im Spybot-Forum/Net-Integration gegen den coolwwwsearch.msconfig-Lümmel.

Man sollte mal den Thread http://forums.net-integration.net/in...arch\.msconfig im Auge behalten.

Da sind offenbar die Sypbot-Leute dran, dass Problem zu lösen und scheint ein sehr hartnäckiges zu sein.
Also mal so alle paar Tage reinschauen und hoffen, dass sie bald die Lösung finden.

Viel Erfolg euch dann.l

hi ,

vielen dank für die info, dann warte ich mal ab .

gruß ralph

Hallo zusammen!
Habe das selbe Problem,
glaube was gefunden zu haben.
http://www.safer-networking.org/de/news/2004-01-21.html
Bin heute aber noch nicht zu Hause, konnte noch nicht testen.
Ich hoffe es "Funzt"

Schöne Grüße aus Österreich
*tualatin

07.11.04
Tut mir leid,
war falscher Alarm.
Sitze immer noch beim selben Problem.
Bleibe aber dran.
es ist zum ... :pukeface:
und zum ... :heulen:

Zitat:

Zitat von BURCH

Zitat:

Zitat von BURCH

moin ,
nun zu meinem problem, CoolWWWSearch.Msconfig, wurde gestern von Spybot gefunden und kann nicht behoben werden.

Bei mir werden sogar immer gleich zwei Einträge angezeigt, die ich nicht dauerhaft entfernen kann... grr...

CoolWWWSearch.Googlems
CoolWWWSearch.Msconfig

Außerdem bekomme ich auch den "DSO Exploit" jetzt nicht mehr weg, der sich - alleine - immer entfernen ließ.

System-Log findet sich hier.

hallo zusammen,

bin auch neu hier...und überhaupt auch (noch) kein Superexperte am PC. Jedanfalls hat mich der coolwwwsearch.msconfig ebenfalls erwischt. Tut zwar (im Mom) nichts Schlimmes, öffnet sich aber bei bestimmten Programmen und jetzt auch beim Avant-Browser, der bisher clean war, vorher fand es immer beim MS-Internet-Browser statt. Spybot und Norton-AV umsonst: spybot erkennt, beseitigt aber nicht wirksam. Was ist zu tun, ist von spybot selbst Hilfe zu erwarten????

Gruß
H.