Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hilfe... Trojaner und "coolwebsearch" machen mich fertig...

Hilfe... Trojaner und "coolwebsearch" machen mich fertig...


Log-Analyse und Auswertung: Hilfe... Trojaner und "coolwebsearch" machen mich fertig...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.10.2004, 10:37   #1
HendrikHH
 
Hilfe... Trojaner und "coolwebsearch" machen mich fertig... - Standard

Hilfe... Trojaner und "coolwebsearch" machen mich fertig...


kaspersky hat unter "C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\draw dupe" die beiden Trojaner:

TrojanDownloader.Win32.Swizzor.bm

TrojanDownloader.Win32.Swizzor.bx


Wie werde ich die los? Ich benutzte a2. Findet aber nichts...


Desweiteren:
Habe ich das "coolwebsearch"Problem.. Ich bräuchte bitte eine helfende Hand, die mich durch meine registry führen kann, damit ich diesen Mist wieder loswerden kann. Folgend meine Hijack-log-file:

Logfile of HijackThis v1.98.2
Scan saved at 11:38:14, on 17.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Samurize\Client.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Hendrik\Desktop\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ymjvpovbjigxpuxi.com/wmO5...3kW1dc_RT.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KlipFolio] "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT
O4 - HKLM\..\Run: [SEEK MEOW DOWNLOAD TONS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\filestopseekmeow\regsstyle.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Comcenter Easy] C:\Programme\FAX.de\ComCenter\ComCenterEasy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [magsdead] C:\DOKUME~1\Hendrik\ANWEND~1\DRAWDU~1\oozeclosegreat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Mp3tag Quick Pick.lnk = C:\Programme\Mp3tag\Mp3tagQuickPick.exe
O4 - Global Startup: Samurize (2).lnk = C:\Programme\Samurize\Client.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\netlimiter\nl_lsp.dll' missing
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{097A13BE-E38D-4586-948F-F34755183C43}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{097A13BE-E38D-4586-948F-F34755183C43}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{097A13BE-E38D-4586-948F-F34755183C43}: NameServer = 192.168.1.1





Vielleicht kann mir jemand aus dem Schlamassel raushelfen...
CWSchred hat auch nichts nichts gebracht..

Alt 17.10.2004, 10:37   #2
HendrikHH
 
Hilfe... Trojaner und "coolwebsearch" machen mich fertig... - Standard

FW: Hilfe... Trojaner und "coolwebsearch" machen mich fertig...


Desweiteren habe ich das Prog "StartUpList" drueberlaufen lassen. Hier das Ergebnis:

StartupList report, 17.10.2004, 11:40:41
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Hendrik\Desktop\StartupList.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Samurize\Client.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Hendrik\Desktop\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Hendrik\Startmenü\Programme\Autostart]
Mp3tag Quick Pick.lnk = C:\Programme\Mp3tag\Mp3tagQuickPick.exe

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Samurize (2).lnk = C:\Programme\Samurize\Client.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
KlipFolio = "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT
SEEK MEOW DOWNLOAD TONS = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\filestopseekmeow\regsstyle.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

TVgenial = C:\Programme\TVgenial\TVgenial.exe -d
ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
STYLEXP = C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
Skype = "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
Comcenter Easy = C:\Programme\FAX.de\ComCenter\ComCenterEasy.exe
msnmsgr = "C:\Programme\MSN Messenger\msnmsgr.exe" /background
magsdead = C:\DOKUME~1\Hendrik\ANWEND~1\DRAWDU~1\oozeclosegreat.exe
SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
TGTSoft Explorer Toolbar Changer - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll - {C333CF63-767F-4831-94AC-E683D962C63C}

--------------------------------------------------

Enumerating Task Scheduler jobs:

AA45A786919E5C22.job
ADF825EB9187D923.job

--------------------------------------------------

Enumerating Download Program Files:

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll
CODEBASE = http://messenger.zone.msn.com/binary...t.cab30149.cab

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeup...ntent/opuc.cab

[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]
CODEBASE = http://v4.windowsupdate.microsoft.co...065.4362731481

[ZoneIntro Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ZIntro.ocx
CODEBASE = http://messenger.zone.msn.com/binary...o.cab30149.cab

[CBreakshotControl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\Banksht2.dll
CODEBASE = http://messenger.zone.msn.com/binary...t.cab30149.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

[ZoneChess Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\Chess.ocx
CODEBASE = http://messenger.zone.msn.com/binary/Chess.cab30149.cab

--------------------------------------------------

Enumerating Winsock LSP files:

Protocol #20: C:\Programme\NetLimiter\nl_lsp.dll (file MISSING)

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 6.314 bytes
Report generated in 0,032 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
__________________
Alt 17.10.2004, 11:17   #3
raman
 
Hilfe... Trojaner und "coolwebsearch" machen mich fertig... - Standard

Hilfe... Trojaner und "coolwebsearch" machen mich fertig...


Fixe bitte mal das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ymjvpovbjigxpuxi.com/wmO...k3kW1dc_RT.html
O4 - HKCU\..\Run: [magsdead] C:\DOKUME~1\Hendrik\ANWEND~1\DRAWDU~1\oozeclosegre at.exe
O4 - HKLM\..\Run: [SEEK MEOW DOWNLOAD TONS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\filestopseekmeow\regsstyle.exe

Es waere interessant den Inhalt dieser Dateien zu sehen, wenn du nicht weisst, wofuer diese "Jobs" sind:

AA45A786919E5C22.job
ADF825EB9187D923.job

Wahrscheinlich zu finden unter c:\windows\tasks

Wenn du netlimiter noch nutzt, kontroliere, ob es noch funktioniert, bzw deinstalliere es ueber "Software"
__________________
__________________
Antwort

Themen zu Hilfe... Trojaner und "coolwebsearch" machen mich fertig...
.html, adobe, bho, desktop, einstellungen, explorer, hijackthis, internet, internet explorer, kaspersky, loswerden, messenger, microsoft, mp3, msn messenger, nvcpl.dll, object, opera, programme, registry, rundll, software, sun java, system, system32, tcpip, trojaner, unter, windows, windows messenger, windows xp


« DFÜ Verbindung ALL | Oh man, ich brauche Hilfe »


Ähnliche Themen: Hilfe... Trojaner und "coolwebsearch" machen mich fertig...


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. Bitte auch um Hilfe bei "Browse to save".. es macht mich wahnsinnig...
    Plagegeister aller Art und deren Bekämpfung - 18.07.2013 (2)
  4. Hilfe!!! Wer hat es auf mich abgesehen??? Trojaner, Spionage??? Professionelles Auspionieren oder nur "normale" Junk-Trojaner???
    Log-Analyse und Auswertung - 27.05.2013 (5)
  5. Pop up's und "302 Document moved" in FF und IE, avast findet php agent(?) (Noch nicht fertig)
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (21)
  6. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  7. Trojaner "Betriebssystemsperrung" durch Bundespolizei - auch mich hats erwischt
    Plagegeister aller Art und deren Bekämpfung - 18.03.2012 (5)
  8. Trojaner "Mediashiftig" - leider hat es mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (7)
  9. Auch mich hat der "Bundespolizei Trojaner" erwischt
    Plagegeister aller Art und deren Bekämpfung - 16.12.2011 (1)
  10. Trojaner "TR/Agent.33302" will mich nicht verlassen...
    Plagegeister aller Art und deren Bekämpfung - 21.12.2008 (4)
  11. Adminsperre für ADMIN (mich) ("error cleaner" "privacy protector")
    Mülltonne - 23.06.2008 (1)
  12. benötige Hilfe bei Trojaner "TR/Virtumod.WS" bzw. "jkkjjgd.dll"
    Plagegeister aller Art und deren Bekämpfung - 07.04.2008 (10)
  13. Coolwebsearch und "ntma32.dll"
    Plagegeister aller Art und deren Bekämpfung - 05.06.2005 (1)
  14. HILFE "Auto:Blank" und "Best of" machen mich fertig, hier mein Escan!!
    Log-Analyse und Auswertung - 09.04.2005 (5)
  15. Probleme mit Internet Explorer "Coolwebsearch"
    Log-Analyse und Auswertung - 28.09.2004 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hilfe... Trojaner und "coolwebsearch" machen mich fertig... - kaspersky hat unter "C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\draw dupe" die beiden Trojaner: TrojanDownloader.Win32.Swizzor.bm TrojanDownloader.Win32.Swizzor.bx Wie werde ich die los? Ich benutzte a2. Findet aber nichts... Desweiteren: Habe ich das "coolwebsearch"Problem.. Ich bräuchte - Hilfe... Trojaner und "coolwebsearch" machen mich fertig......
Archiv
Du betrachtest: Hilfe... Trojaner und "coolwebsearch" machen mich fertig... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131