| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und AntivirWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.06.2005, 14:46
| #1 |
| |  CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir Hallo im Forum, ich habe mir vor Ewigkeiten (ca.April 2004) CoolWebSearch eingefangen, es aber ignorieren können, weil ich zwischendurch den Rechner nicht gebraucht habe und außerdem Opera benutzt habe. Vor zwei Tagen habe ich auf meinem Rechner Spybot, Ad-Aware, Zonealarm und Antivir aktualisiert, bevor ich wieder mit dem IE ins Netz bin. Trotzdem hat sich CWS aktualisiert und nervt jetzt mit Popups, die vorher nicht da waren.  Bei mir laufen Spybot Teatimer, Zonealarm, und BHO Deamon. Obwohl alle Programme CWS erkennen, kriege ich meinen Rechner nicht sauber. Es kommen immer wieder Reg-Einträge "SP" und "NvStart", die ich zwar mit Spybot löschen kann, aber sofort sind sie wieder da.  Ich habe auch schon im abgesicherten Modus CWShredder laufen lassen, der mittlerweile nichts mehr findet, aber die PopUps und die Reg-Einträge bleiben.  Außerdem habe ich NvCpl.dll per Hand gelöscht und kriege bei jedem Start jetzt eine Fehlermeldung, dass das Modul fehlt. Habt Ihr dazu auch einen Tip?  Ich habe auch schon die Systemwiederherstellung ausgeschaltet und alle Säuberungsaktionen durchgeführt.  Aufgrund bestimmter Seiten mit Java, kann ich nicht immer auf Opera zurückgreifen, weil diese sonst nicht richtig funktionieren.  Würde gerne meinen Rechner sauber kriegen und dann schützen.  Bitte helft mir mit ein paar Erfahrungen. DANKE |
|
21.06.2005, 15:05
| #2 |
| /// Helfer-Team    |  CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir Poste mal Dein HJT-Logfile genau nach Anleitung:
__________________http://www.trojaner-board.de/showthread.php?t=17493 Beachte bitte die Hinweise bzgl Unkenntlichmachung der Links. |
|
21.06.2005, 15:19
| #3 |
| | HiJackLogfile: CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir Wow, schnelle Antwort !!
__________________Hier mein HiJackThis-Logfile: DANKE für die Unterstützung  Logfile of HijackThis v1.99.1 Scan saved at 16:12:41, on 21.06.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir6\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Printkey\PrintKey\Printkey_d.exe C:\Programme\Winamp\winamp.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\SmartSurfer\SmartSurfer.exe C:\Programme\Opera7\Opera.exe C:\Programme\BHODemon 2\BHODemon.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\******\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\******\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {379E9BC4-9BE8-4258-BE82-DC060C084C8E} - C:\WINDOWS\System32\lnjjhca.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\******\LOKALE~1\Temp\se.dll,DllInstall O4 - Startup: BHODemon 2.0.lnk.disabled O4 - Global Startup: Printkey.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing) O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O17 - HKLM\System\CCS\Services\Tcpip\..\{04353471-44EC-44F0-A4F3-D03D63CA1821}: NameServer = 213.20.173.77 193.189.244.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{04353471-44EC-44F0-A4F3-D03D63CA1821}: NameServer = 213.20.173.77 193.189.244.205 O18 - Filter: text/html - {A7815777-5FEB-4098-B166-244BE96ACAC5} - C:\WINDOWS\System32\lnjjhca.dll O18 - Filter: text/plain - {A7815777-5FEB-4098-B166-244BE96ACAC5} - C:\WINDOWS\System32\lnjjhca.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir6\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir6\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
|
21.06.2005, 15:41
| #4 |
| | CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir Hallo Spiderman78, das sollte dir helfen: http://www.trojaner-info.de/anleitun...out_blank.html Die Datei "NvCpl.dll" hätte ich nicht gelöscht: http://www.frankn.com/html/nvcpl_dll.php Update Dein System so schnell als möglich auf SP 2! dartus
__________________ Kein Support per PN |
|
21.06.2005, 22:07
| #5 |
| |  CWS free Super.  Danke für die Unterstützung. Könnt Ihr nochmal einen geschulten Blick drauf werfen, ob jetzt alles in Butter ist? Kann ich die Einträge mit den (file missing)-Anmerkungen löschen? Kann ich jetzt den Internet Explorer wieder nutzen, wenn ich ZoneAlarm und Spybot Teatimer laufen habe? Logfile of HijackThis v1.99.1 Scan saved at 22:57:48, on 21.06.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir6\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\ZoneAlarm\zlclient.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Printkey\PrintKey\Printkey_d.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - Startup: BHODemon 2.0.lnk.disabled O4 - Global Startup: Printkey.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing) O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir6\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir6\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Schönen Abend noch. |
|
21.06.2005, 22:28
| #6 |
| |  SP2 Update empfohlen Hallo Dartus, ich habe Deinen Tip befolgt und den SP2-Update anvisiert. Ich habe die Datei seit längerem auf dem Rechner, aber noch nicht installiert / entpackt gehabt. Mitten in der Installation hat er sich wegen des Product Keys beschwert.  Kann es damit zusammenhängen, dass ich SP2 auf einem anderen Rechner runtergeladen habe, weil meine Verbindung so langsam ist, dass er dies jetzt als Fehler ansieht? Wie kann ich das beheben oder umgehen? Danke |
|
21.06.2005, 22:46
| #7 | |
 | CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und AntivirZitat:
bestell doch eifnaqch die cd bei MS, ist kostenlos: http://www.microsoft.com/germany/win...der/bezug.mspx |
|
21.06.2005, 22:47
| #8 | ||
| | CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir Hallo, Du kannst alle "R0"-Einträge fixen sowie die "06"er, wenn Du dies nicht mit z.B. Spybot veranlasst hast. Zitat:
Zitat:
dartus
__________________ Kein Support per PN |
|
22.06.2005, 06:33
| #9 |
| |  CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir Habe meinen Rechner gebraucht gekauft und mir nie große Gedanken darüber gemacht, weil alles lief. Das SP1-Update hat ja auch geklappt. Ich dachte, es liegt daran, dass der Product Key von dem Windows mit dem ich die SP2-Datei runtergeladen habe ein andere ist. Kann es daran liegen oder ist das wirklich eine geknackte Version? |
|
22.06.2005, 06:36
| #10 | |
| | CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und AntivirZitat:
Ich dachte, ich kenne mich ganz gut mit dem Programm aus. Das Werkzeug habe ich aber noch nicht gefunden... Danke. |
|
22.06.2005, 08:19
| #11 | ||
| |  CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und AntivirZitat:
Zitat:
 Die 1.0.5'er-Version kommt in dieser Woche noch ... wahrscheinlich! 
__________________ Schau einfach mal HIER !  DeeeJays Motto: "Es ist leichter einem Elefanten auszuweichen, als einer Mücke!" DeeeJays Spruch: "Windows-Tasten sin un bleiben ein Bug!" |
|
| Themen zu CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir |
| abgesicherten, abgesicherten modus, ad-aware, alle programme, antivir, bho, danke, ellung, fehlermeldung, forum, gebraucht, gelöscht, gen, ignorieren, immer wieder, java, löschen, modul, modus, nichts, opera, popups, programme, rechner, seite, seiten, spybot, systemwiederherstellung, teatimer, trotz, träge, zonealarm |
Linear-Darstellung
