Hi.

Seid 3 Tagen geht mir regelmäßig der Browser durch. Zuerst war s IE - jetzt ists Firefox, der immerhin nicht ganz so anfällig gegen Hijacking scheint. (Ich nutz Windows ME, falls das was nützt.)

Alle mir bekannten Tools genutzt, also Spyboot, AdAware, dazu Spysubstract inclusive CoolWeb-Shredder. Der CW-Shredder schafft es nicht, CoolWebSearch restlos zu entfernen. Nach Scan mit AdAware zeigen sich immer wieder resistente Dateien. Direktes Löschen oder auch nur umbenennen führt zum Systemabsturz -> run-time Error

Habe zwar schon mit HiJack This verschiedenes zu fixen versucht, leider ohne nennenswerten Erfolg.

Kann mir jemand helfen, bevor dieses CoolWebSearch mir restlos alle Spyware und Dialer des gesamten Netzwerkes runterlädt ? Es ist zum Auswachsen...


(Übrigens, gibt es irgendeinen signifikanten Zusammennhang zwischen DMVlite und diesem CoolWeb-Quatsch ?)

Hallo,

Zitat:

Übrigens, gibt es irgendeinen signifikanten Zusammennhang zwischen DMVlite und diesem CoolWeb-Quatsch ?

Google zu Folge, JA. http://www.google.de/search?q=DMVlit...de-DE:official

Poste mal HJT Log-File damit wir nähere Infos zu deinem System bekommen und führe auch dies aus:

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

....dann poste doch mal bitte ein

http://www.trojaner-board.de/51130-a...ijackthis.html

lg


Tom59

Hallo,

das selbe Problem habe ich auch:
http://www.trojaner-board.de/showthread.php?t=12723
Das Tollste ist ja, dass ich escan bei deaktivierter systemwiederhertsellung im abgesicherten modus hab durchlaufen lassen, dann hat er alles gelöscht und es schien weg. Nach ein paar Minten war alles wieder da!! Ich hab das auch mit Hijackthis, Spybot, CWShredder, Ad-Aware etc.... gemacht, aber kein Erfolg!!
Hat jemand irgend einen Rat für uns, die die Nase von Coolwwwsearch voll haben???

Logfile of HijackThis v1.99.0
Scan saved at 22:31:23, on 25.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FSMA32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FSMB32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FCH32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\BACKWEB\154149\PROGRAM\FSBWSYS.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\BACKWEB\154149\PROGRAM\BACKWEB-154149.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FAMEH32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\ANTI-VIRUS\FSGK32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\FWES\PROGRAM\FSDFWD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\ANTI-VIRUS\FSSM32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\COMMON\FSM32.EXE
C:\WINDOWS\SYSTEM\WSXSVC\WSXSVC.EXE
C:\WINDOWS\SYSTEM\VMSS\VMSS.EXE
C:\PROGRAMME\SED\SED.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEIEN\INTERNET SECURITY\HIJACKTHISFOLDER\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\SYSTEM\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [vmss] C:\WINDOWS\SYSTEM\VMSS\VMSS.EXE
O4 - HKLM\..\Run: [SESync] "C:\PROGRAMME\SED\SED.EXE"
O4 - HKLM\..\Run: [VBouncerDL] C:\Programme\VBouncer\VBouncerInner.exe /S
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\Common\FSMA32.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
O4 - Global Startup: F-Secure Anti-Virus 2004 - WEB.DE Edition.lnk = C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE EDITION\BACKWEB\154149\Program\backweb-154149.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0411.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0411.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: (HKLM)

Leiste nochmal etwas Vorarbeit, wie ich es dir schon beschrieben hatte, und führe dies aus:

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Ja, danke für die zahlreichen Antworten.

Nach eScan zeigt sich eine schier rettungslose Durchseuchung meines PC mit zahlreichen Trojanern und anderem.

Hier die Funde !!!!


Tue Jan 25 23:09:06 2005 =>

File C:\WINDOWS\SYSTEM\wsxsvc\wsxsvc.exe infected by "not-a-virus:AdWare.DelphinMediaViewer.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\VMSS\VMSS.EXE infected by "not-a-virus:AdWare.DelphinMediaViewer.c" Virus

File C:\PROGRAMME\SED\SED.EXE infected by "not-a-virus:AdWare.Cres" Virus. Action Taken: No Action Taken.

File C:\Programme\VBouncer\VBouncerInner.exe infected by "not-a-virus:AdWare.VirtualBouncer" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SSK_B5.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\appsetup.exe infected by "Trojan-Downloader.Win32.Small.aco" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\n20050308.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\winsx.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\kapbwq.dat infected by "Trojan-Downloader.Win32.Qoologic.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\webdlg32.cab infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\winsx.cab infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\noebiz.dll infected by "Trojan-Downloader.Win32.Qoologic.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\giwrvy.exe infected by "Trojan-Downloader.Win32.Qoologic.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\qycolg.dll infected by "Trojan-Downloader.Win32.Qoologic.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\WrapperOuter.exe infected by "not-a-virus:AdWare.VirtualBouncer.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\dsmanager.dll infected by "not-a-virus:AdWare.ToolBar.BHO.j" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\akupd.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\akrules.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\aklsp.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.

:aplaus:

Ich glaub, ich muss mich erst mal erholen von dem Schock und hau mich aufs Ohr... Wem aber hierzu noch ein Tip einfällt außer System platt machen und alles neu installieren, bitte sagen.