Trojaner "Cool Web Search Toolbar"
 

Hallo Leute, ich hab seit einer Woche ein großes Problem. Hab mir die "Cool Web Search Toolbar" eingefangen. Sitze gerade nicht bei mir zuhause und kann deshalb kein HighjickThis LOG posten.

Mittlerweile habe ich die eigentlich Toolbar wegbekommen, aber Werbepopups erscheinen immernoch. Ich brauche dringend Hilfe! Außerdem werden immerwieder Sexlinks in meine Favouriten geschrieben.

folgende Dateien hatte HJT gefunden und ich hab sie im Abgesicherten Modus auch entfernt aber sie kamen wieder:

qwinnta.exe
sesmgr.exe

Nach einem Neustart kam eine weitere Datei dazu "dmsadmins.exe"

Alle 3 Dateien sind im Windows/Sytem32 Ordner

Ich hab jetzt die meißten Foren durch und nix gefunden, ihr seit meine letzte Rettung! Ich weiß nicht was ich noch tun soll.

O17 - HKLM ... NameServer = 69...........
O17 - HKLM\System\CS1\Services\Tcpip\..\{2482B23C-BD22-4A23-A81F-71845D92D8E6}: NameServer = 69.50.176.156,195.225.176.31


Diesen Eintrag findet HJT ebenfalls mit ner IP die immer wieder kommt, wenns hilft kann ich auch den genauen Wortlaut reinschreiben + LOG


Mfg

Frank

nachtrag:
_____________________________________________________________
Name Troj/Dloader-MK
Typ Trojaner

Anfällige Betriebssysteme Windows

Nebeneffekte Lädt Code aus dem Internet herunter
Installiert sich in der Registrierung

Alias Trojan-Downloader.Win32.Agent.bq
Downloader-XN
TROJ_U48.A

Troj/Dloader-MK ist ein Downloader-Trojaner für die Windows-Plattform.


Sobald er installiert ist, zeigt der Trojaner eine gefälschte Meldung mit dem Titel "Windows Security Center" und dem Text "WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts,
financial data or passwords." an.

Wenn der Anwender auf die "Yes"-Schaltfläche klickt, öffnet Troj/Dloader-MK den Internet Explorer auf einer remoten Suchmaschinen-Website. Klickt der Anwender auf die "No"-Schaltfläche, schließt sich die Meldung.

Unabhängig von der gewählten Option installiert der Trojaner danach ein Shell-Tray-Symbol, das eine Erläuterung mit folgender Meldung enthält:

'Your computer might be at risk

- Your virus protection status is bad
- Spyware Activity Detected.

Click this balloon to fix this problem'

das Prob. hab ich ebenfalls (kopiert aus Chip Forum, hab ebenfalls das selbe Problem wie dieser User

Ich würde dir Vorschlagen, FireFox 1.0.4 herunter zu laden und zu installieren.
Maleware (wie zum Beispiel Cool Searchbar) kann bei diesem Browser nichts ausrichten.

Danach solltest du mit deinem AV deine gesamte Festplatte durchsuchen und ggf. infizierte Dateien löschen. Falls das löschen nicht möglich ist, solltest du in den abgesicherten Modus wechseln und dort das Löschen fortfahren.

ich hoffe, ich konnte dir helfen!

grüsse, Mario

Wollte eigentlich wissenw ie ich mein Systemw ieder Sauber kriege !

Logfile of HijackThis v1.99.1
Scan saved at 12:38:54, on 17.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ICQ\ICQ.exe
C:\WINDOWS\System32\dmsadmins.exe
C:\WINDOWS\System32\qwinnta.exe
C:\WINDOWS\System32\sesmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Frank Thome\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\Dokumente und Einstellungen\Frank Thome\Eigene Dateien\Frank\Soundkarte\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: winupdate96189656[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office XP\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

Überprüfe folgende Dateien bei JOTTI :

C:\WINDOWS\System32\dmsadmins.exe
C:\WINDOWS\System32\qwinnta.exe
C:\WINDOWS\System32\sesmgr.exe
C:\WESTWOOD\ALARM\INSTICON.EXE
winupdate96189656[1].exe

und poste uns das Ergebniss!

--> Bist du blind oder dumm???

grüsse, ...