Trojaner-Board - Coolsearch biz Trojaner entfernen???

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Coolsearch biz Trojaner entfernen??? (https://www.trojaner-board.de/9644-coolsearch-biz-trojaner-entfernen.html)

Sicherer wäre...SP2 ist nicht so schlimm wie sein Ruf, ich habe es bei mir auch laufen und es nervt mich gar nicht mit irgendwelchen Meldungen.

Mit dennen wirft es nur um sich wenn man keine weiteren Windowsupdates installiert, sowie wenn die Datenbanken des Virenscanners veraltet sind, was ja ganz nützliche Dinge sind. Aber man kann diese meldungen auch abschalten.

Und ohne SP2 kann man die Viren nicht entfernen?

Entfernen kann man Sie schon natürlich...aber dann bist du in kürze wieder hier mit neuen Problemen

Also,
als ich mir vor 2 1/2 Jahren den PC gekauft hab war winXP home edition drau und nach dem ersten formatieren hatte ich keine seriennummer gefunden. dann hab ich vom kumpel winXP Professional bekommen mit ner serial und hab das nun. das sich aber schon mit der serial registriert hat kann ich nun nicht mehr updaten weils mir verweigert wird...
und was mach ich nun?

Du müsstest zumindest alle Updates ausser den Service Packs für WinXP runterladen können, das würde helfen.

Da gehts schon los ... :schrei:

Es ist ein Fehler aufgetreten. Windows Update kann die gewünschte Seite nicht anzeigen. Die folgenden Ressourcen können beim Beheben des Problems hilfreich sein:
Optionen zur Selbsthilfe:

Windows Update-Antwortcenter

Windows Update-Problembehandlung

Windows Update-Newsgroups

@ VW-Pilot

Zitat:

Tue Nov 16 00:30:52 2004 => Total Virus(es) Found: 4

--> Name der Malware?

Zitat:

Zwei hat er unter infected gefunden aber 4 viren hat er insgesamt gefunden.

Und wie werd ich die nun los?

1. --> Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren

2. --> Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!

3. --> Downloade bitte LSP-Fix LSP-Fix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen: die Internetverbindung trennen und LSP-Fix ausführen. Den Rechner neu booten. Entferne mit LSP-Fix die Einträge:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

4.--> Logfile-Auswertung:

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - Dein Betriebssystem und Dein IE sind nicht up to date, besuche www.windowsupdate.com.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

F3 - REG:win.ini: run=C:\WINDOWS\system32\services\msxmidi.exe
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

wenn Du diese Seite nicht kennst/brauchst, bitte fixen:

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - h**p://download.abacast.com/downloa...abasetup152.cab

boote in den normalen Modus.

Beende:
msnappau.exe
msxmidi.exe

Lösche:
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\system32\services\msxmidi.exe
C:\Programme\NewDotNet\newdotnet6_38.dll
C:\Programme\QuickSearch\QuickSearchBar1_27.dll
C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
C:\WINDOWS\System32\CustIE32.dll
C:\Programme\QuickSearch\QuickSearchBar1_27.dll
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

Aktiviere die Systemwiederherstellung.

Überprüfe mit virusscan.jotti.dhs.org:

C:\HP\KBD\KBD.EXE
C:\Programme\HomeKeyLogger\KeyLogger.exe
C:\WINDOWS\system32\ps2.exe
C:\HP\KBD\KBD.EXE

Ergebnis?

Erstelle ein neues Hijack This Logfile und poste es.

SD

Und ich hänge mal die Empfehlung dran dich auf die Suche nach deinem richtigen CD-Key für XP zu machen.

Beim Booten sagt der PC mir dass die folgenden Dateien die ich ja fixen soll fehlen:

msnappau.exe
msxmidi.exe

so hab grad sämtliche dateien gelöscht. Nun soll ich die Systemwiederherstellung aktivieren ... ähm ... wie mach ich das?

HI,
rechter Mausclick auf Arbeitsplatz, eigenschaften, Registerkarte Systemwiederherstellung, aktivieren
Und dann neues Logfile posten.

Logfile of HijackThis v1.98.2
Scan saved at 23:06:03, on 16.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HomeKeyLogger\KeyLogger.exe
C:\Dokumente und Einstellungen\Baxxter\Startmenü\Programme\Viren entfernen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Home Key Logger (2).lnk = C:\Programme\HomeKeyLogger\KeyLogger.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094418799077
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1119.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{201AD715-A9FC-4C92-9C36-CE8259E6C09A}: NameServer = 192.168.122.252,192.168.122.253

Übrigens, Die Keylogger sind okay. Die hab ich extra Installiert um zu sehen was hier so geschrieben wird am PC aufgrund des Verdachts dass mein mitbewohner sich im chat als mich ausgibt

Hast Du einen HP-Computer?
Wenn ja, ist alles o.k. jetzt.
Hast du gut gemacht!
cacatoa

Ja ist n HP Pavillon... :balla:

Ich weiß garnicht was ich sagen soll - ich bin euch echt super dankbar für eure Hilfe und habe riesen Respekt vor Euch :daumenhoch:

Also nochmal herzlichen Dank für die Mühe an:

Cacatoa, Shadowdance & Lidius

:party:

Hi. Ich habe leider genau das gleiche "coolsearch" Problem. Jetzt wollte ich fragen, ob ich um das loszuwerden genau das gleiche tun muss,was hier schon steht oder ob ich euch erst so ein Profil senden muss... !?!

im moment ist es so, dass nichtnur die Startseite von meinem IE geändert ist,sondern seit gestern kann ich auch keine andere Seite mehr aufrufen...würde mich ja nicht stöhren,da ich Opera benutze aber wenn ich mein MSN Messanger starten will, steht da immer dass durch einen Fehler in meinem IE der Messanger keine Verbindung zum Internet findet..!?????und muss ja auch nicht sein,würde mein IE auch gerne mal wieder benutzen..

Ich erstelle mir jetzt auch so ein Profil,vielen Dank schonmal
:aplaus:

Gruß Max