hier ich hab schon rausgefunden mit ad-aware das ich diese scheiss coolwebsearch drauf hab er will es dann nach einem neustart löschen doch passiert ist bisher nichts guckt euch mal das an:

Logfile of HijackThis v1.99.1
Scan saved at 17:02:41, on 22.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS.0\system32\winadm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\outlook\outlook.exe
C:\WINDOWS.0\system32\winlog.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe
C:\WINDOWS.0\explorer.exe
C:\WINDOWS.0\system32\rundll32.exe
E:\Programme\jap.exe
C:\Programme\Java\jre1.5.0_06\bin\javaw.exe
E:\Programme\firefox.exe
C:\WINDOWS.0\system32\winadmd.exe
C:\Dokumente und Einstellungen\Administrator.SIMON-C3520F36B\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS.0\system32\winadm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DA1C302-91CD-499F-A4B9-216E7F1AA6DC}: NameServer = 217.237.151.33 217.237.149.225
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS.0\system32\fpp6037se.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe

danke schonmal im voraus!

Zitat:

Zitat von Killmen212

C:\WINDOWS.0\system32\winlog.exe

Beende den Prozess und scan die Datei unter http://virusscan.jotti.org/de/ . Poste die Ergebnisse.

Gruß
Yopie

jaja alles schön und gut ich hab winlog jetzt gelöscht und die seite hat auch keine viren gefunden aber ad-aware ist da immer noch ganz andere meinung:

CoolWebSearch->Process->Maleware->C:\WINDOWS.0\system32\fpp6037se.dll
CoolWebSearch->Process->Maleware->C:\WINDOWS.0\system32\mqc40u.dll
CoolWebSearch->Process->Maleware->C:\WINDOWS.0\system32\guard.tmp

ich kann diese dateien nicht löschen oder wenn doch wie?!

und weil ich langsam die schnauze von vieren voll hab besorg ich mit erstmal sp1+2

Zitat:

Zitat von Killmen212

jaja alles schön und gut ich hab winlog jetzt gelöscht

Was genau hast du an den zwei kurzen Sätzen von mir nicht verstanden? Wenn du meinst, es besser zu wissen als die Helfer hier, dann frage ich mich erstens, warum du Probleme mit dem Rechner hast, und zweitens, warum du überhaupt hier um Hilfe fragst.

Zitat:

und weil ich langsam die schnauze von vieren voll hab besorg ich mit erstmal sp1+2

SP2 ist laut Log installiert, und SP1 wurde durch SP2 überflüssig.

Gruß
Yopie

naja winlog hat anscheinend nichts mit dem eigentlichen virus zutuhen

es ist schon schwer genug auf der seite zu bleiben weil sich ca. alle 5 sekunden google öffnet und das nervt.

und das mit sp2 kommt mir auch komisch vor weil ich eigentlich mir erst letztens ne neue fetplatte geholt hab und windows neu raufgemacht habe und mich nicht daran entsinnen könnte das ich auch nur eines der servicepacks installiert hätte

Hallo,
C:\WINDOWS.0\ das bedeutet das du eine total vermurkste Windowsinstallation gemacht hast, wahrscheinlich liegen 2 Systeme auf der selben Partition. Wäre das beste du fängst nochmal von vorne an und formatierst vorher die C:\ Partition. Wie du dein System absicherst nach der Neuinstallation erfährst du hier.
Ansonsten noch mal der Tipp die Finger von Cracks und seiten die selbige anbieten zu lassen.


Grüße Wildone

verkorskst kann man das zwar so nennen: ich habe windows installiert dann ging es irgendwie in den arsch und dann hab ich es nochmal drauf installiert weil ich zu faul war alles nochmal zu löschen darum geht es ja jetzt auch nicht

trotdem danke

es ist doch unglaublich...

ich weiss ja das das blöd war es einfach draufzu installieren aber ich würde gerne von euch wissen wie man diesen scheiss trojaner los wird ich hab schon fas alles probiert
ad-aware,spybot,spywaredoctor,killbox,hijack this in abgesicherten modus!
alles nichts geholfen!
alle programme versprachen zwar es nach einem neustart beheben zu können aber der coolwebsearch schreibt sich immer wieder neu ein!

helt mir!

Zitat:

Zitat von Killmen212

helt mir!

Du hast bereits genung Hilfe bekommen. Du musst sie nur noch anwenden.

Gruß
Yopie