|
Log-Analyse und Auswertung: CWS unter ME geht nicht wegWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.01.2005, 07:49 | #1 |
| CWS unter ME geht nicht weg Moin Moin zusammen! Ein Kollege hat sich da CoolWebSearch eingefangen. CWshreeder findet nichts. Ad-Aware findet CWS und beseitigt ihn auch. Geht aber nicht ganz weg. Nach Aufruf Browser ist er wieder da. Vielleicht weiß ja jemand Rat. Ich bin mit meinem Latein am Ende. Logfile of HijackThis v1.99.0 Scan saved at 17:06:38, on 19.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\TBPANEL.EXE C:\PROGRAMME\DRTURBO\DTGCTRL.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\PHOTO IMAGING\HPI_JETSEND.EXE C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\PHOTO IMAGING\HPI_MONITOR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\T-ONLINE\BSW4\TOADIMON.EXE C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE C:\WINDOWS\SYSTEM\IRMON.EXE C:\WINDOWS\SYSTEM\HPOOPM07.EXE C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE C:\PROGRAMME\CYBERLINK DVD SOLUTION\POWERDVD\PDVDSERV.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPODEV07.EXE C:\LOTUS\SMARTCTR\SUITEST.EXE C:\LOTUS\SMARTCTR\SMARTCTR.EXE C:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE C:\LOTUS\REGISTER\REMIND32.EXE C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\CONNMNGMNTBOX.EXE C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\ECTASKSCHEDULER.EXE C:\PROGRAMME\TELEDAT\IWATCH.EXE C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\ELOGERR.EXE C:\PROGRAMME\INTUWAVE\SHARED\MROUTERRUNTIME\MROUTERRUNTIME.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOEVM07.EXE C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\BROADCASTPROXY.EXE C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 7650\SCRFS.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOSTS07.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOFXM07.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\VIRUS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\SYSTEM\SPM1316.DLL O2 - BHO: (no name) - {E7D37F63-5208-4507-9F3E-07923A5544BE} - C:\WINDOWS\SYSTEM\FLEB.DLL O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\SYSTEM\WER1316.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [DTGCtrl] C:\PROGRA~1\DRTURBO\DTGCTRL.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HPIJetSend] C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\PHOTO IMAGING\HPI_JETSEND.EXE O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe" O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SYSTEM\SysUpd.exe O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [IrMon] irmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE" O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp officejet v series\bin\hpodev07.exe O4 - Startup: Lotus SuiteStart.lnk = C:\lotus\smartctr\suitest.exe O4 - Startup: Lotus SmartCenter.lnk = C:\lotus\smartctr\smartctr.exe O4 - Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe O4 - Startup: Lotus SmartSuite 9.6 - Deutscher Registrierung.lnk = C:\lotus\register\remind32.exe O4 - Startup: PCSuiteForNokia7650 Detect.lnk = C:\Programme\Nokia\PC Suite for Nokia 7650\connmngmntbox.exe O4 - Startup: PCSuiteForNokia7650 TS.lnk = C:\Programme\Nokia\PC Suite for Nokia 7650\ectaskscheduler.exe O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} - http://www.4netmedia.com/suninfoconnect-hi.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253 O18 - Filter: text/html - {222A04A6-5326-4277-9CFB-22B73D9BE660} - C:\WINDOWS\SYSTEM\FLEB.DLL O18 - Filter: text/plain - {222A04A6-5326-4277-9CFB-22B73D9BE660} - C:\WINDOWS\SYSTEM\FLEB.DLL Ich danke dann schonmal! Gruß, der Snurfer |
21.01.2005, 05:59 | #2 |
| CWS unter ME geht nicht weg Hat denn keiner eine Idee?
__________________ |
21.01.2005, 08:56 | #3 |
| CWS unter ME geht nicht weg @Snurfer
__________________speichere diese datei auf eine diskette zwecks beweissicherung(ist ein dialer) C:\WINDOWS\SYSTEM\SysUpd.exe danach in den abgesicherten modus booten und manuell entfernen neu booten, escan downloaden und updaten system und IE dringenst updaten! mit escan scannen escan anleitung mache es genauso wie beschrieben wird überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) scan dauert 1 stunde mindestens chaosman
__________________ |
Themen zu CWS unter ME geht nicht weg |
acrobat, ad-aware, adobe, application, bho, browser, button, cyberlink, danke, dateien, dvd, explorer, gainward, geht nicht, hijack, hijackthis, internet, internet explorer, messenger, microsoft, msn messenger, officejet, programme, realplayer, registry, rundll, rundll32.exe, software, solution, system, t-online, virus, windows |