Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 11.11.2004, 11:17   #1
Elijah
 
total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. - Standard

total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.



Hi,

ich suche jetzt schon seit 1,5Wochen nach einer Lösung, Ad-Aware findet ca. 20 verdächtige threats unter anderem CoolWeb-Teile, allerdings werden sie nicht gelöscht, HighJackThis findet diese 4 e-search Einträge, die lassen sich zwar fixen, aber beim nächsten scan sind sie wieder da... habe alle möglichen Tools ausprobiert, auch CWshredder fixed zwar die 4 Einträge, sie sind aber im Nu wieder da... weiß echt nicht mehr was ich machen soll, schaut Euch bitte mal meinen log file an...

...habe mir auch SpywareGuard installiert, der realisiert zwar die ganzen Browser-Hijack-Versuche aber mehr als Meldungen ausgeben, kann der auch net!?

verdächtig kommt mir diese F2 user.init datei vor, die lässt sich aber ebenfalls nicht löschen...


falls ich das jemals nochmal hinbekom... ist man den auf einer sichereren Seite wenn ich mir (nach einer kompletten Neuinstallation) einen anderen Browser anschaffe, Firefox/Modzilla/Netscape...??




Logfile of HijackThis v1.98.2
Scan saved at 11:06:10, on 11.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\system32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\System32\khooker.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\msdev.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\WINNT\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128
F2 - REG:system.ini: UserInit=Userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O12 - Plugin for .aiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A76B74CE-2000-4B1F-966D-C6E168025DDF}: NameServer = 194.25.2.129

Alt 11.11.2004, 13:46   #2
Elijah
 
total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. - Standard

total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.



Ich bins nochmal... ich glaub ich bin den CoolWebSearch losgeworden... allerdings besteht immer noch das Problem dass die Startsite gehijackt ist und die meißten MS Office Programme nicht mehr gehen!?


hier das spuckt AdAware aus... kann niergendswas über dieses "aisearch" finden, und beseitigen lässt es sich auch nicht?! in der registry ist es auch nicht auffindbar!?
Trusted zone presumably compromised : aifind.info

Possible Browser Hijack attempt Object Recognized!
Type : Regkey
Data :
Category : Vulnerability
Comment : Trusted zone presumably compromised : aifind.info
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data :
Category : Vulnerability
Comment : Trusted zone presumably compromised : aifind.info
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info
Value : *

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 2
Objects found so far: 2








hier mal mein neuer HijackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 13:41:58, on 11.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\system32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\System32\khooker.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Windows Media Player\dlexport.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\ICQ\NDetect.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128
F2 - REG:system.ini: UserInit=Userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O12 - Plugin for .aiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A76B74CE-2000-4B1F-966D-C6E168025DDF}: NameServer = 194.25.2.129
__________________


Alt 11.11.2004, 20:20   #3
Passat2002
 
total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. - Standard

total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.



hi
Zitat:
aifind.info
Search the web: Spyware Removal. THE MOST POPULAR SEARCHES: Phentermine; Sex; Teen
Sex; Free Sex; Gay Sex; Single Girls; Loans; Penis Enlargement; Tramadol; ...
hier dein logfile automatisch ausgewertet, in der rechten spalte steht, was zu tun ist.

sieht eigentlich schon ganz gut aus, hattest du den ie absichtlich beim scannen und fixen geöffnet?

zum browser, siehe meine signatur
__________________
__________________

Antwort

Themen zu total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.
ad-aware, administrator, desktop, drivers, einstellungen, explorer, file, gelöscht, heulen, highjackthis, hijackthis, icq, ics, internet, internet explorer, log, log file, microsoft, obfuscated, programme, scan, seite, software, studio, suche, system, system32, tcpip, träge, unter, userinit.exe, visual studio, windows, windows media player




Ähnliche Themen: total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.


  1. Internet ist total verlangsamt und Eingabe über Tastatur Zeitverzögert
    Log-Analyse und Auswertung - 07.05.2013 (1)
  2. Trojaner, Malware Löschungs Prüfung nach delta search über DDS+
    Log-Analyse und Auswertung - 01.04.2013 (7)
  3. [doppelt] Sound Total Verzerrt, MBAM 25 Funde, Pc total Langsam
    Mülltonne - 02.01.2012 (0)
  4. Google Suchergebnisse (Firefox) leiten manchmal über search.pro falsche Seiten weiter
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (17)
  5. google virus - weiterleitung auf andere seite über http://rev-advert.com/search.php?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (3)
  6. Total verzweifelt, bitte um Durchsicht
    Log-Analyse und Auswertung - 13.09.2009 (24)
  7. TR/Dropper.gen und andere Trojaner, Malware etfernen... Bin schon total verzweifelt!
    Plagegeister aller Art und deren Bekämpfung - 12.09.2008 (22)
  8. Firefox total lahm und IE stürzt ständig ab, bin total unbeholfen und keine Ahnung
    Plagegeister aller Art und deren Bekämpfung - 05.06.2008 (30)
  9. Bin total verzweifelt! Brauche Eure Hilfe! Bitte!!
    Log-Analyse und Auswertung - 27.08.2007 (1)
  10. CoolWeb Search... schon alles probiert :(
    Log-Analyse und Auswertung - 19.07.2005 (1)
  11. http://xysearch.biz/?wmid=3306
    Plagegeister aller Art und deren Bekämpfung - 18.03.2005 (12)
  12. Mein Pc spinnt total und mein Internet ist total langsam,bitte um hilfe!
    Log-Analyse und Auswertung - 23.01.2005 (2)
  13. coolweb search
    Log-Analyse und Auswertung - 11.12.2004 (18)
  14. http://xysearch.biz/?wmid=1010 - wird man das wieder los?
    Log-Analyse und Auswertung - 23.11.2004 (1)
  15. xysearch...hilfe beim hijack
    Log-Analyse und Auswertung - 14.11.2004 (3)
  16. Total verzweifelt
    Log-Analyse und Auswertung - 22.10.2004 (7)
  17. Sober.C??? Bin total verzweifelt und frage deshalb.....
    Plagegeister aller Art und deren Bekämpfung - 24.12.2003 (10)

Zum Thema total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. - Hi, ich suche jetzt schon seit 1,5Wochen nach einer Lösung, Ad-Aware findet ca. 20 verdächtige threats unter anderem CoolWeb-Teile, allerdings werden sie nicht gelöscht, HighJackThis findet diese 4 e-search Einträge, - total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc....
Archiv
Du betrachtest: total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.