|
Log-Analyse und Auswertung: total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.11.2004, 11:17 | #1 |
| total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. Hi, ich suche jetzt schon seit 1,5Wochen nach einer Lösung, Ad-Aware findet ca. 20 verdächtige threats unter anderem CoolWeb-Teile, allerdings werden sie nicht gelöscht, HighJackThis findet diese 4 e-search Einträge, die lassen sich zwar fixen, aber beim nächsten scan sind sie wieder da... habe alle möglichen Tools ausprobiert, auch CWshredder fixed zwar die 4 Einträge, sie sind aber im Nu wieder da... weiß echt nicht mehr was ich machen soll, schaut Euch bitte mal meinen log file an... ...habe mir auch SpywareGuard installiert, der realisiert zwar die ganzen Browser-Hijack-Versuche aber mehr als Meldungen ausgeben, kann der auch net!? verdächtig kommt mir diese F2 user.init datei vor, die lässt sich aber ebenfalls nicht löschen... falls ich das jemals nochmal hinbekom... ist man den auf einer sichereren Seite wenn ich mir (nach einer kompletten Neuinstallation) einen anderen Browser anschaffe, Firefox/Modzilla/Netscape...?? Logfile of HijackThis v1.98.2 Scan saved at 11:06:10, on 11.11.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\SYSTEM32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINNT\system32\pctspk.exe C:\WINNT\system32\regsvc.exe C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\System32\ZipToA.exe C:\WINNT\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINNT\System32\khooker.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\msdev.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\WINNT\system32\taskmgr.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=31693 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128 F2 - REG:system.ini: UserInit=Userinit.exe, O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O12 - Plugin for .aiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A76B74CE-2000-4B1F-966D-C6E168025DDF}: NameServer = 194.25.2.129 |
11.11.2004, 13:46 | #2 |
| total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. Ich bins nochmal... ich glaub ich bin den CoolWebSearch losgeworden... allerdings besteht immer noch das Problem dass die Startsite gehijackt ist und die meißten MS Office Programme nicht mehr gehen!?
__________________hier das spuckt AdAware aus... kann niergendswas über dieses "aisearch" finden, und beseitigen lässt es sich auch nicht?! in der registry ist es auch nicht auffindbar!? Trusted zone presumably compromised : aifind.info Possible Browser Hijack attempt Object Recognized! Type : Regkey Data : Category : Vulnerability Comment : Trusted zone presumably compromised : aifind.info Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info Possible Browser Hijack attempt Object Recognized! Type : RegValue Data : Category : Vulnerability Comment : Trusted zone presumably compromised : aifind.info Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info Value : * Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 2 Objects found so far: 2 hier mal mein neuer HijackThis log: Logfile of HijackThis v1.98.2 Scan saved at 13:41:58, on 11.11.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\SYSTEM32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINNT\system32\pctspk.exe C:\WINNT\system32\regsvc.exe C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\System32\ZipToA.exe C:\WINNT\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINNT\System32\khooker.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\Windows Media Player\dlexport.exe C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe C:\Programme\ICQ\NDetect.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\Programme\Winamp\winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128 F2 - REG:system.ini: UserInit=Userinit.exe, O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O12 - Plugin for .aiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A76B74CE-2000-4B1F-966D-C6E168025DDF}: NameServer = 194.25.2.129 |
11.11.2004, 20:20 | #3 | |
| total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. hi
__________________Zitat:
sieht eigentlich schon ganz gut aus, hattest du den ie absichtlich beim scannen und fixen geöffnet? zum browser, siehe meine signatur
__________________ |
Themen zu total verzweifelt: von CoolWeb über a-search.biz, xysearch.biz... etc. |
ad-aware, administrator, desktop, drivers, einstellungen, explorer, file, gelöscht, heulen, highjackthis, hijackthis, icq, ics, internet, internet explorer, log, log file, microsoft, obfuscated, programme, scan, seite, software, studio, suche, system, system32, tcpip, träge, unter, userinit.exe, visual studio, windows, windows media player |