Hallo,

habe zuletzt wegen Virusverdacht alle möglichen Tools laufen lassen, jeweils ohne Ergebnis (AntiVir, SpybotSD, St1inger, diverse Online-Scans). Selbst die automatische Auswertung eines HijackThis-Logfiles hat auf keine Gefährdung hingewiesen.

eScan hat nun eine Infektion mit "cws.therealsearch" erbracht. Wenn ich mit CWShredder anrücke, heißt es jedoch, da wäre nix und alles okay. Nun frage ich mich, wie ich das loswerde? Oder ist es gar keine Infektion, sondern hängt irgendwie mit AOL zusammen (wegen Verweis auf waol.exe)? AOL nutze ich für Mails, ansonsten surfe ich mit Firefox, bin mit Updates versorgt (WinXP SP2) und hatte bislang GData laufen. Frage mich, wie ich zu dem Zeug eigentlich komme?

Hier mein eScan-Ergebnis:

Sun May 29 14:34:29 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Sun May 29 15:07:11 2005 => File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun May 29 15:08:30 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Die Hinweise mit "refers to invalid object" habe ich mal weggelassen, oder sind die nötig?

Vielen Dank schon mal & Gruß,
Laudomina

Hallo,

Zitat:

System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Ich denke eher an einen Fehlalarm, aber sieh dir trotzdem dies an -> http://merijn.org/cwschronicles.html#therealsearch

Zitat:

Die Hinweise mit "refers to invalid object" habe ich mal weggelassen, oder sind die nötig?

Siehe dazu rich20 -> http://www.trojaner-board.de/showpos...90&postcount=5

Hallo Cidre,

danke für die prompte Antwort!

Habe eben alle vorgeschlagenen Registry-Einträge für den IE geprüft und nichts gefunden, was auf cws.therealsearch hinweist, alles sauber. Damit hake ich das jetzt wirklich als Fehlalarm ab.

Bin dir sehr dankbar für deine Einschätzung und Hinweise, wieder ein Stück weit den eigenen PC erobert! Euer Board hier ist klasse!

Gruß, Laudomina

Wo genau befindet sich diese waol.exe?

Hallo Markus,

bei Suche nach waol.exe erscheint lediglich der Hinweis auf AOL: C:\Programme\AOL 9.0 und natürlich der Eintrag in: C:\WINDOWS\Prefetch. Könnte da noch irgendwo was versteckt sein?

Gruß, Laudomina

Hallo Cidre & Markus,

habe jetzt noch mal in der Registry nach "waol" gefahndet und bin tatsächlich außerhalb von AOL fündig geworden! Wie in diesem Link von Cidre

http://merijn.org/cwschronicles.html#therealsearch

beschrieben, sind auch eine "quicken.exe" und "editpad.exe" dabei, die bei mir allerdings nicht im Taskmanager als laufende Prozesse auftauchen. Fundstellen:

HKCU/Software/Microsoft/Search Assistant/ACMru/5603
002 Reg_SZ 25a
003 Reg_SZ aol25a
004 Reg_SZ waol.exe
009 Reg_SZ quicken.exe
010 Reg_SZ editpad.exe
012 Reg_SZ waol

HKCU/Software/Microsoft/Search Assistant/ACMru/5604
000 Reg_SZ waol


Dasselbe in:
HKU/S-1-5-21-3713578003…/Software/Microsoft/Search Assistant/ACMru/5603
HKU/S-1-5-21-3713578003…/Software/Microsoft/Search Assistant/ACMru/5604

Wie gehe ich jetzt vor? Kann ich als Ottilie Normaluser fröhlich in der Registry löschen? Da habe ich ohne genaue Anleitung von Euch denn doch eher Bedenken. Bitte noch mal updaten ;-)

Gruß, Laudomina

Nachtrag, denn googlen hilft ja oft. Bin eben auf diese McAfee-Seite gestoßen:

http://216.239.59.104/search?q=cache...syst.exe&hl=de

denn auch "winsysv.exe" und "winsyst.exe" finden sich im angegebenen Pfad bei mir. Jetzt habe ich zwar eine schöne Beschreibung. Aber was ist zu tun?

Gruß, Laudomina

Oje, wie peinlich! Hab den beginnenden Freitagabend genutzt und mir mal ergoogelt, was der ominöse „ACMru“ (siehe oben) ist: eine Liste aller selbst gestarteten Suchanfragen. Kein Wunder, dass ich dort finde, was ich beim Suchen eingegeben habe! Tja, so schießt sich der ONU selbst ins Knie

Dies noch der Vollständigkeit halber, um keinen ONU auf die falsche Fährte zu locken.

Allen ein schönes Wo’ende!
Gruß, Laudomina