Trojaner-Board - hijacker einfach unkaputtbar...

AAAAAHHHH H H, ich glaubs nich.

Spybot hat eben wieder ein haufen CoolWWWSearch gefunden:

Common hijacker: Umgeleiteter Host (Umgeleiteter Host, fixed)
Common hijacker: Umgeleiteter Host (Umgeleiteter Host, fixed)
CoolWWWSearch.Bootconf: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Loadbat: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Msconfd: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Oslogo: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Tapicfg: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Xmlmimefilter: Umgeleiteter Host (Umgeleiteter Host, nothing done)
IGetNet: Umgeleiteter Host (Umgeleiteter Host, fixed)

er kann es aber nicht fixen. d.h. es kommt immer wieder.

Ad Aware hat folgendes gefunden:

VX2 Object Recognized!
Type : Process
Data : gppol3731.dll
Category : Malware
Comment : (CSI MATCH)
Object : C:\WINDOWS\system32\

Warning! VX2 Object found in memory(C:\WINDOWS\system32\gppol3731.dll)

VX2 Object Recognized!
Type : Process
Data : ucicows.dll
Category : Malware
Comment : (CSI MATCH)
Object : C:\WINDOWS\system32\

Warning! VX2 Object found in memory(C:\WINDOWS\system32\ucicows.dll)

VX2 Object Recognized!
Type : Process
Data : guard.tmp
Category : Malware
Comment : (CSI MATCH)
Object : C:\WINDOWS\system32\

Warning! VX2 Object found in memory(C:\WINDOWS\system32\guard.tmp)

Redirected hostfile entry Object Recognized!
Type : Hosts file
Data : 69.20.16.183
Category : Misc
Comment : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:auto.search.msn.com
Warning!
Bad Hosts file entry:69.20.16.183:search.netscape.com

Redirected hostfile entry Object Recognized!
Type : Hosts file
Data : 69.20.16.183
Category : Misc
Comment : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:search.netscape.com
Warning!
Bad Hosts file entry:69.20.16.183:ieautosearch

Redirected hostfile entry Object Recognized!
Type : Hosts file
Data : 69.20.16.183
Category : Misc
Comment : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:ieautosearch

VX2 Object Recognized!
Type : File
Data : bitmap1.bmp
Category : Malware
Comment :
Object : C:\DOKUME~1\aShi\LOKALE~1\Temp\

dllCompare findet folgendes:

C:\WINDOWS\SYSTEM32\en88l1~1.dll Sun 6 Feb 2005 16:57:54 ..S.R 230.767 225,36 K
C:\WINDOWS\SYSTEM32\gppol3~1.dll Sun 6 Feb 2005 16:53:54 ..S.R 228.886 223,52 K
C:\WINDOWS\SYSTEM32\nrad.dll Wed 22 Dec 2004 23:24:22 A.S..

Hijackthis hat wiedermal das hier:

Logfile of HijackThis v1.99.0
Scan saved at 17:22:17, on 06.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
D:\NEU\sicherheit\antispy etc\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unf-unf.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {F8A41687-4671-93F3-B27D-C8D3638165DA} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Download Manager\dlpage.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ich loesche jetzt im abgesicherten modus folgende dateien von hand und poste dann neues log:

gppol3731.dll
ucicows.dll
guard.tmp
C:\DOKUME~1\aShi\LOKALE~1\Temp\bitmap1.bmp
C:\WINDOWS\SYSTEM32\en88l1~1.dll

bis gleich,

ein verzweifelter ossi