moin ,

mein erster beitrag bei euch , also erst mal hallo alle zusammen .

nun zu meinem problem , CoolWWWSearch.Msconfig , wurde gestern von Spybot gefunden und kann nicht behoben werden .
für mich verdächtige einträge sind mit hijack gefixt , hänge aber den aktuellen hijack log mal an .
wie werde ich das ding wieder los , hoffe jemand kann mir helfen .

gruß ralph

@BURCH

warum postet du dein logfile nicht einfach mit copy and paste?
wäre für uns einfacher zum auswerten
chaosman

moin ,

wird gemacht


Logfile of HijackThis v1.98.2
Scan saved at 10:31:46, on 30.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\andere Programme\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\SLEE81.exe
C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\andere Programme\True Image\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\TOOL´s - Internet\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RAMASST.exe
D:\Programme\TOOL´s - Office\Office 2003\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\andere Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mein sein
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\TOOL´s - Grafik\ADOBE\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\andere Programme\Spybot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WinRamTurbo] C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] REM rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] REM "D:\Programme\andere Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SIPPS] REM D:\Programme\TOOL´s - Internet\SIPPS\SIPPS.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\ANDERE~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "D:\Programme\andere Programme\True Image\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Popup Ad Filter] D:\Programme\TOOL´s - Internet\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [AutoStart-Manager] REM D:\Programme\andere Programme\Autostartmanager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Mozilla Quick Launch] REM "D:\PROGRA~1\ANDERE~1\MOZILLA.EXE" -turbo
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Allow Popups - D:\Programme\TOOL´s - Internet\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\TOOLS-~2\OFFICE~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\TOOL´s - Internet\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\TOOLS-~2\OFFICE~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\andere Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\andere Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://www.drummerforum.de
O15 - Trusted Zone: *.forum.fo-pa.de
O15 - Trusted Zone: http://www.windows-board.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C314C3D-FAC7-464F-8863-CC05F241B9BB}: NameServer = 192.168.2.1

@BURCH
wechle in den abgesicherten modus
wenn du denn einträge nicht kennst, dann fixen
O15 - Trusted Zone: http://www.drummerforum.de
O15 - Trusted Zone: *.forum.fo-pa.de
O15 - Trusted Zone: http://www.windows-board.de

diese programm kenne ich nicht
D:\Programme\TOOL´s - Internet\Popup Ad Filter\PopFilter.exe

chaosman

@ chaosman ,
erst mal danke für deine mühe , die ersten drei sind mir bekannte foren, in denen ich schon länger aktiv bin .
das andere ist ein popup filter , den habe ich auch schon sehr lange .
CoolWWWSearch.Msconfig , habe ich erst seit ein paar tagen .
ich lasse spybot ca. ein mal die woche laufen .

gruß ralph

@BURCH

update mal dein spybot, laut 26.10 2004 müßte dein CWS auch dabei sein

chaosman

Vielleicht ist es wieder ein neuer Bug.

Hallo Burch & Kollegen!

Ganz aktuell in diesen Tagen kämpft ein anderer User im Spybot-Forum/Net-Integration gegen den coolwwwsearch.msconfig-Lümmel.

Man sollte mal den Thread http://forums.net-integration.net/in...arch\.msconfig im Auge behalten.

Da sind offenbar die Sypbot-Leute dran, dass Problem zu lösen und scheint ein sehr hartnäckiges zu sein.
Also mal so alle paar Tage reinschauen und hoffen, dass sie bald die Lösung finden.

Viel Erfolg euch dann.l

hi ,

vielen dank für die info, dann warte ich mal ab .

gruß ralph

Hallo zusammen!
Habe das selbe Problem,
glaube was gefunden zu haben.
http://www.safer-networking.org/de/news/2004-01-21.html
Bin heute aber noch nicht zu Hause, konnte noch nicht testen.
Ich hoffe es "Funzt"

Schöne Grüße aus Österreich
*tualatin

07.11.04
Tut mir leid,
war falscher Alarm.
Sitze immer noch beim selben Problem.
Bleibe aber dran.
es ist zum ...
und zum ...

Zitat:

Zitat von BURCH

moin ,

mein erster beitrag bei euch , also erst mal hallo alle zusammen .

nun zu meinem problem , CoolWWWSearch.Msconfig , wurde gestern von Spybot gefunden und kann nicht behoben werden .
für mich verdächtige einträge sind mit hijack gefixt , hänge aber den aktuellen hijack log mal an .
wie werde ich das ding wieder los , hoffe jemand kann mir helfen .

gruß ralph

Zitat:

Zitat von BURCH

moin ,
nun zu meinem problem, CoolWWWSearch.Msconfig, wurde gestern von Spybot gefunden und kann nicht behoben werden.

Bei mir werden sogar immer gleich zwei Einträge angezeigt, die ich nicht dauerhaft entfernen kann... grr...

CoolWWWSearch.Googlems
CoolWWWSearch.Msconfig

Außerdem bekomme ich auch den "DSO Exploit" jetzt nicht mehr weg, der sich - alleine - immer entfernen ließ.

System-Log findet sich hier.

hallo zusammen,

bin auch neu hier...und überhaupt auch (noch) kein Superexperte am PC. Jedanfalls hat mich der coolwwwsearch.msconfig ebenfalls erwischt. Tut zwar (im Mom) nichts Schlimmes, öffnet sich aber bei bestimmten Programmen und jetzt auch beim Avant-Browser, der bisher clean war, vorher fand es immer beim MS-Internet-Browser statt. Spybot und Norton-AV umsonst: spybot erkennt, beseitigt aber nicht wirksam. Was ist zu tun, ist von spybot selbst Hilfe zu erwarten????

Gruß
H.

Ich bin das Teil wieder los. Wie genau weiß ich allerdings nicht, da ich mit HijackThis viel gelöscht habe und neben Spybot-S&D auch CoolWWWSearch.SmartKiller mehrfach eingesetzt habe. Eine wahre Orgie von Neustarts und Clean-Versuchen... :-(

Für Seiten die ich nicht kenne verwende ich ab sofort verstärkt Firefox, außerdem habe ich mir SpywareBlaster installiert.

Also, bin zwar Neuling - hier und am PC auch nicht der Überflieger, habe aber das Problem für mich scheinbar gelöst. Habe ad-aware runtergeladen und laufen lassen - der Kerl ist verschwunden!!! (zumindest für den Moment!)

Herzliche Grüße

H.

Hi @all,
Tschuldigt, wenn ich meinen Senf dazugebe, aber möge es vielleicht Denkanstoss für noch ungelöste o.g. Probs sein.
Ich hab PC neulich kpl. Neu aufgesetzt. Wie ich noch so am Konfigurieren (Autostart etc.) bin, Meldung SSD wegen msconfig (hatte ich gerade im Autostart ! Orgie/Neustarts/bruderS !). Deswegen Frage oder Tip: Habt Ihr mal in SSD den rechten (gelblich) Rand mit Infos zu Progs ausgeklappt ? WICHTIG ! eben die Schreibweise der angeblichen Datei. Gross-, Klein, Zusätze etc. 3 Beschreibungen und meine msconfig war eindeutig die WIN-Datei !!! Hatte auch mal SSD-Bug zu ctfmon.exe, wurde einfach mit ctfmon32.exe gleichgesetzt !!!
Kämpfe auch länger vergeblich mit CWShredder 2.0 gegen angeblich cws.jksearch und hidden.dll. Hab PC mit 2 Adm.-Nutzer hergerichtet und gesäubert. Alles offline und sauber, sowie ich 1 Adm. in eingeschr. umgewandelt habe, sofort wieder besagte Meldung ! Also es scheint, dass wir lernfähigen, eingeschränkten User den Programmierer etwas voraus sind ?
Deshalb auch nich zum Thema, aber am Rande für eventuelle ALEXA-Gegner. Der wurde abgesichert und ausgerechnet auf dem zum eingeschr. vorgesehenen Nutzer gefunden, welcher eben dann abgesichert nich mehr kennt !
Also alles natürlich ohne Gewähr und nur zur weiteren Prüfung !
Und noch mal bruderS: Du solltest generell den Firefox (safer) verwenden + evtl. Zugeständnisse bei bekannten Seiten !
PS Der Link von Wolfgang30 funzt bei mir leider nich bzw. Error ?

Ersmal und…