Hallo,

Habe im abgesicherten Modus mit Spybot coolwwwsearch entdeckt und entfernt.

Danach habe ich im normalen Modus einen Virenscan, CWschredder und Spybot durchlaufen lassen.

Doch wenn ich den Internet Explorer öffne kommt wieder der coolwwwsearch Trojaner und AVG zeigt einen Trojaner Warnung: trojan horse.startpage.21.bi

Habe das logfile bei hijackthis.de schon automatisch testen lassen und alles
"Böse" gefixt.

Aber wie gesagt nach dem starten kommt alles wieder.

P.S benutze gerade Avant Browser und hab dadurch keine Probleme.

Bitte um Ratschläge, danke schon mal im voraus

hier ist mein logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:59:52, on 02.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\DLL-Scan\Dll-Scan.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Markus\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: DLL-Scan.lnk = C:\Programme\DLL-Scan\Dll-Scan.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
         

Hallo,

leider ist ein von dir bearbeitetes Logfile praktisch nutzlos für uns. Hast du evtl. noch ein altes, das erstellt wurde bevor du irgendwas "gefixt" hast?

Poste bitte die genaue Meldung von Spybot S&D

Hallo,

hatte leider leider gestern keine Möglichkeit mehr zurück zu schreiben, da
meine Internetverbindung unterbrochen war.

Habe jetzt einen Screenshot von denen in HijackThis gefixeten Einträgen
gemacht.

Auf den ersten Blick sind es ein bischen viele, da coolwwwsearch immer
wieder gekommen ist sind es aber zumeist die gleichen Einträge.

Wo könnte sich coolwwwsearch verstecken, dass er immer wieder beim
öffnen des Internet Exploreres kommt?

Das Logfile ist ja offensichtlich sauber!

mfg randl

Hast du die zugehörigen Dateien auch alle gelöscht (z.B. apitt.exe)? HjT entfernet bis auf wenige Ausnahmen nur Einträge aus der Registry.

Lade und aktualisiere CWShredder und lass ihn laufen.

Poste ein Silent-Runners-Logfile

Hallo,

Das Problem hat sich erledigt, fragt mich aber nicht wie.

Nach dem ich die bösen Einträge immer wieder gefixt habe und immer wieder
neue exe Dateien auftauchten die ich gelöscht habe ist der Internet Explorer
wieder sauber.

Coolwwwsearch ist echt ein hartnäckiger Zeitgenosse und ich hatte schon
fast zu format c: gegriffen.

Schöne Grüße randl und danke für deine Hilfe