CoolWWWSearch und kein Ende
 

Hallo,

ich habe das Problem, dass ich mir etwas eingefangen habe, was ich einfach nicht mehr losbekomme.

Ich habe alles, was von SpyBot S&D geunden wurde entfernt, jedoch wird nach dem neustart immer wiser was gefunden:

CoolWWWSearch.SeachKlick und
Trek Blue Error Nuker

Wenn ich Den Internet Explorer Starte (derzeit bin ich auf Firefox umgestiegen) wird es sicherlich wieder mehr Treffer geben.

Ich habe mit die aktuelle Trialversion von Norton Internet Security installiert, was mir aber leider auch nichts geholfen hat (ausser das sich NIS nicht mehr deinstallieren lässt?!?!?). Derzeit bin ich mit meinem Latein am Ende. Deshalb poste ich Euch mein HiJackThis.log in der Hoffnung, dass hier jemand einem verzweifelten Betroffenen weiterhelfen kann....

fixe mit HijackThis diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ccjqa.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ccjqa.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ccjqa.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ccjqa.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ccjqa.dll/sp.html#24098
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ccjqa.dll/sp.html#24098
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {80CB7B54-7345-AEC0-41DF-75EAE4EAA56B} - C:\WINDOWS\SYSTEM\SYSUE.DLL
O4 - HKLM\..\Run: [IEKG32.EXE] C:\WINDOWS\IEKG32.EXE
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\D331.TMP" /m
O4 - HKLM\..\RunServices: [IEMP32.EXE] C:\WINDOWS\SYSTEM\IEMP32.EXE /s

lösche diese Dateien im abgesicherten modus:
C:\WINDOWS\ccjqa.dll
C:\WINDOWS\SYSTEM\SYSUE.DLL
C:\WINDOWS\IEKG32.EXE
C:\WINDOWS\TEMP\D331.TMP
C:\WINDOWS\SYSTEM\IEMP32.EXE

führe eScan aus

poste ein neues HijackThis Logfile.

So, das hat eine misschen gedauert:

1.: Mit HiJackThis, wie gewünscht gefixt.
2.: IEKG32.exe und IEMP32.exe gelöscht (die DLLs und die .tmp-Datei war nicht vorhanden)
3.: eScan Durchgeführt (Find.bat ging nicht, liegt vermutl. an ME. Habe alle "Infected" Zeilen zusammenkopiert)
4.: HiJackThis nochmals ausgeführt

SpyBot meldet mir aber leider immernoch "CoolWWWSearch.SeachKlick" und "Trek Blue Error Nuker".

Das Ergebniss ist im Anhang.

es gibt auch eine find.bat für 9x-Versionen, aber egal..
-deaktiviere die Systemwiederherstellung (abgesicherter modus falls notwendig):
Start -> Einstellungen -> Systemsteuerung -> System -> Leistungsmerkmale - Dateisystem - Problembehandlung - Systemwiederherstellung deaktivieren ("anhaken")- OK
wenn ich richtig liege musst du danach den ordner c:\_restore löschen. eventuell ist er versteckt also:
Extras -> Ordneroptionen -> Ansicht
Geschützte Systemdateien ausblenden (haken weg)
Alle dateien und ordner anzeigen (selektieren)

dann diese dateien im abgesicherten modus löschen
C:\WINDOWS\SYSTEM\apizx.dll
C:\WINDOWS\SYSTEM\apizx.dll
C:\WINDOWS\SYSTEM\oleext.dll
C:\WINDOWS\SYSTEM\netxe32.dll
C:\WINDOWS\Desktop\Downloads wegen Spyware\hijackthis\backups\backup-20050904-103751-520.dll
C:\WINDOWS\xgwmit.dat
C:\WINDOWS\syscl.dll
C:\ms32.tmp
lösche auch die von mir zuvor erwähnten dateien (falls sie nun vorhanden sind ;) )


bei bedarf die systemwiederherstellung wieder aktivieren (haken weg bei systemwiederherstellung deaktivieren)

neustarten
das system sollte nun sauber sein ;)

Bin Happy:

Es scheint alles wieder sauber zu sein.

Abschlissend noch eine Frage:
Hast Du mir eine Empfehlung, welche Software ich als Schutz vor Vieren, Trojanern, HiJacker, SpyWare,... einsetzen sollte, um in Zukunft einigermassen geschützt zu sein?

1000 Dank für die Hilfe :huepp:

ähm ja. KAV soll ja sehr gut sein als AV-Scanner. Aber du solltest besser gleich keinen trojaner dir einfangen, also einen sicheren browser verwenden (Mozilla Firefox), ein sicheres Mailprogramm (Mozilla Thunderbird) und nicht jeden Anhang öffnen.