Hallo zusammen
Ja ich weiss ich sollte nach dem e scan noch find Bat ausführen , aber das klappt bei mir immer noch nicht (ich krieg das nicht hin ) bei mir ist alles im temp Ordner ist ja auch egal
kann mir jemand bitte helfen ?

Sat May 14 12:13:18 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken.
Sat May 14 12:13:18 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Sat May 14 12:13:50 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sat May 14 12:13:50 2005 => File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.


Sat May 14 12:17:36 2005 => File C:\WINDOWS\SYSTEM\ole32vbs.exe infected by "Trojan.Win32.Favadd.x" Virus. Action Taken: No Action Taken.


Sat May 14 12:21:30 2005 => File C:\WINDOWS\SYSTEM\ole32vbs.exe infected by "Trojan.Win32.Favadd.x" Virus. Action Taken: No Action Taken.

Ich habe sie mit INFECTED gesucht hoffe ist nicht schlimm oder ?

Zitat:

C:\WINDOWS\SYSTEM\ole32vbs.exe

Siehe http://securityresponse.symantec.com...ookmarker.html

Lösung -> http://www.trojaner-board.de/showpos...9&postcount=51

Hallo Cidre
Da stehen zwar 3 sterne "erfahrener benutzer" bei tommi74,aber das stimmt bei weitem nicht vor allem ist mein Englisch beschränkt also waeren beiträge auf deutsch nicht schlecht aber egal hab auf deine Antwort hin selbst gesucht (vieleicht wolltest du das auch?) Bin auf percomp de gestossen (war auf Deutsch).Also da stand zu ole vbs exe kommt aus russland usw.Aber alias FaDD.T nicht . X und bei mir fand ich auch nichts in der regedit wederin hklm Run oder in Policies oder winlogo so wie es bei percom stand
sind das vieleicht auch Fehlmeldung von e scan?
Wie cws cool web search na die zwei anderen eintraege ???
Anti vir ,spyboot und co fanden auch nichts und ich wie gesagt auch nicht
soll ich noch ein Hijack posten?

Zu diesem Trojaner gibt es noch keine Beschreibung von Kaspersky, lediglich ein Querverweis auf Symantec, die diesen als Bookmarker beschreibt, siehe http://www.viruslist.com/en/viruses/...?virusid=80727.

Lösche die C:\WINDOWS\SYSTEM\ole32vbs.exe mit KillBox und bereinige deine Registry mit RegSeeker.

Poste anschließend ein aktuelles HJT Log-File.

Hi Cidre
Wow 17:47
Da bin ich wieder "Kill Box" ja die hat mich (meinen PC) gekillt
Du hättest mir auch den Umgang mit der Killbox erklären können
oder ich hätte auch fragen sollen Also ich habe killbox heruntergeladen geöffnet
und dann die:c:windows/system/ole 32vbs.exe eingegeben und dann auf das rote x gedrückt neugestartet und Bums, aus (blauer Bildschirm )Kernell32 oder sowas in der Art hab ich auch noch gesehen,da stand ein gelbes dreieck !!
ich wusste aber nicht was ich da eingeben sollte nichts oder ?
ABER ICH hatte ja zum (meinem ) Glück GOHST auf disk.
aber bis ich das mal zum laufen gebracht hab
so auf jeden fall bin ich wieder da ich glaub das ding müsste ja auch weg sein nach Gohst oder??
Mfg Tommi
und dank an cidre das hatt mich wieder Nerven gekostet

Hi cidre
hier das aktuelle hijack:
Logfile of HijackThis v1.99.1
Scan saved at 18:52:51, on 14.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\TA 33 USB\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: CAPI Control.lnk = C:\Programme\TA 33 USB\Capictrl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000

cih glaub is sauber oder?

Zitat:

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

Diesen Eintrag kannst du noch fixen, ansonsten ist dein Log-File sauber.

@Cidre

Zitat:

Zitat von Rene-gad

@Gigamail

Es soll gut sein

bin mir nicht sicher, aber ist die doch nicht gut?

Der Sicherheitspatch ist ansich gut und auch sinnvoll, aber er hat im Auto Start nichts verloren.

Hi cidre
Ich weiss das ich nerve, aber mann sieht das ich mich doch sehr damit beschäftige
Diese ole 32vbs.exe ist immernoch oder schon wieder da ,ich meine im Ordner System find ich voll komisch ,da ich noch nen e scan gemacht hab ,war auch voll blöd der zeigt mir jetzt se spyware an (der spinnt doch) aber keinen Trojaner.

?soll ich die ole exe mal öffnen ? oder kannst du mir sagen was das ist ?

Ps da steht geändert am 04.03.05 wer war das?

Führe das mal aus:

http://www.trojaner-board.de/showpos...1&postcount=10

Hallo cronnos
ich habe nicht das problem mit virtuelsearch made oder der gleichen
-das mit der Killbox da lass ich die Finger von wech
-Warscheinlich frage ich einfach nur zu kommpliziert
-kann ich die ole32vbs.exe nicht einfach Löschen?
-ICH BIN KEIN TROLL oder wie ihr das so nennt
-ich zeige einfach nur Interresse
-ist das etwa Falsch?
-oder verstehe ich euch einfach nicht ?
-das mit der Kill box hatte Cidre doch schon vorgeschlagen
das hatte ich doch nicht hin bekommen falls du den post 5 noch nicht gelesen hast

also nochmal die frage, wenn ich fragen darf ihr denk bestimmt ich will euch nerven oder so :

Kann ich die ole32vbs.exe nun jetzt Löschen ??

Zitat:

Ich weiss das ich nerve, aber mann sieht das ich mich doch sehr damit beschäftige

Mich nervt niemand und wenn's doch mal passieren sollte, dann werde ich es demjenigen schon mitteilen.
cronos hat die Beseitigung von Trojan-Spy.HTML.Smitfraud.c übersetzt, darum führe nun den Link von cronos aus.

EDIT:

Zitat:

Kann ich die ole32vbs.exe nun jetzt Löschen ??

Du kannst diese auch manuell löschen oder eben auf die anderen Tools zurückgreifen.

Ich glaube aber nicht, daß dein Problem damit gelöst wird.

Hi Cidre
Danke nochmal Danke

Ok ich werd die exe mal Löschen
Aber die find bat bekomme ich zum verrecken nicht hin lg
ihr lacht euch bestimmt alle über mich kaput aber egal
Auf jeden fall funkt.das aber auch mit Infected oder nicht?!
Zum glück bin ich nicht der Einzige

Danke >cIdre
Danke Cronnos

Ps aber eins möchte ich noch loswerden
die Se ,cws coolweb search ,coolsearch waren doch nur fehlmeldung ne?