Hi!
Ich bin neu hier und auf der Suche nach einer Lösung auf die Seite gestoßen, deren Mitglieder ja hier offensichtlich doch so ziemlich den Plan haben.

Vorweg: Ich habe die Suchfunktion bereits benutzt, finde jedoch nicht die für mich richtigen Informationen.

Gerade eben wollte ich die sehr ausführlich und verständlich geschriebene Anleitung zur Entfernung des m. E. grassierenden Trojaners "CoolWebSearch" durcharbeiten - bleibe jedoch bereits bei Schritt 4 mit der Suche nach 61c00000 61440" hängen, da diese Datei nicht gefunden wird.

Nun hab ich gerade eben nochmal ein Browserfenster aufgemacht: die Startseite lautet "allaboutsearching.com". Hat das damit auch etwas zu tun oder ist das ein völlig anderes Problem?

Weiterhin habe ich festgestellt, dass die Prozessorauslastung deutlich höher ist, als normal. Hängt das damit zusammen`?

Beim Prüfen mittels Norton werden die Dateien "bi.dll" (2x) und "biprep.exe" (1x) gefunden, welche ich jedoch nicht entfernen/löschen kann.

Wäre echt klasse, wenn sich einer der "Checker" hier mal meines Problems annehmen könnte - wieder merke ich, dass ich von PC nahezu keine Ahnung habe!

Doch - ein bisschen... aber eben nicht genug. Bin mir sicher, dass ich aus meinem Bekanntenkreis dann den ein oder anderen Problemfall guten Gewissens hierher empfehlen kann...

Kompliment an die Macher!

Herzlichen Gruß - Kruzifix


EDIT: Hab grad bemerkt, dass ich das LogFile von HiJackThis nicht gepostet habe... dort finde ich auch einen entsprechenden Eintrag mit dieser Startseite... aber wie gehe ich weiter vor?

Logfile of HijackThis v1.97.7
Scan saved at 21:31:59, on 07.05.2004
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\NORTON~1\NORTON~4\GHOSTS~2.EXE
D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\navapsvc.exe
D:\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\TDSL-SPEED-MANAGER\tsmsvc.exe
D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
G:\AusFreshDownloads\Unsortiert\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthr..._PVER}&ar=home
F1 - win.ini: run=C:\WINDOWS\miro\COMMON\PINBOARD.EXE
O1 - Hosts: LH
LH
�
H
�
H
˜
H
˜
H
*
H
*
H
¨
H
¨
H
°
H
°
H
ÈÿH
ÈÿH
À
H
À
H
È
H
È
H
Ð
H
Ð
H
èvH
èvH
à
H
à
H
è
H
è
H
ð
H
ð
H
ø
H
ø
H
ˆH
�H
�H
˜H
˜H
*H
*H
¨H
¨H
°H
°H
¸H
¸H
ÀH
ÀH
ÈH
ÈH
ÐH
ÐH
ØH
ØH
àH
àH
èH
èH
ðH
ðH
øH
øH

O1 - Hosts: �H
˜H
˜H
*H
*H
¨H
¨H
°H
°H
¸H
¸H
ÀH
ÀH
ÈH
ÈH
ÐH
ÐH
ØH
ØH
àH
àH
èH
èH
ðH
ðH
øH
øH

O1 - Hosts: NH
ˆ
H

O1 - Hosts: www.look2me1.com
O1 - Hosts: ¨A[
x
[
www.look2me2.com
O1 - Hosts: ÀC[
x
[
www.look2me3.com
O1 - Hosts: ØE[
x
[
www.look2me4.com
O1 - Hosts: www.look2me5.com
O1 - Hosts: L[
L[
�
[
�
[
˜
[
˜
[
*
[
*
[
¨
[
¨
[
°
[
°
[
‡[
‡[
À
[
À
[
È
[
È
[
Ð
[
Ð
[
Ø
[
Ø
[
à
[
à
[
è
[
è
[
ð
[
ð
[
ø
[
ø
[
ˆ[
�[
�[
˜[
˜[
*[
*[
¨[
¨[
°[
°[
¸[
¸[
À[
À[
È[
È[
Ð[
Ð[
Ø[
Ø[
à[
à[
è[
è[
ð[
ð[
ø[
ø[

O1 - Hosts: �[
˜[
˜[
*[
*[
¨[
¨[
°[
°[
¸[
¸[
À[
À[
È[
È[
Ð[
Ð[
Ø[
Ø[
à[
à[
°”[
°”[
ð[
ð[
ø[
ø[

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\TDSL-S~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "D:\TWEAK-XP-DEMO UpdateTo Full\AdBlocker.exe"
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\ZONE-ALARM-PRO\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...043.3895138889
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA34D3EF-2205-4E26-AF3E-0D28A4324A18}: NameServer = 83.120.6.30 217.9.110.242

[ 07. Mai 2004, 21:35: Beitrag editiert von: Kruzifix ]

Mich würde mal interessieren, was das ist:
</font><blockquote>Zitat:</font><hr />
O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
</font>[/QUOTE]Ausserdem würde ich mir die (Programm-)Eigenschaften der Datei "C:\WINDOWS\system32\wuauclt.exe" ansehen, ob es sich wirklich um den Microsoft Auto Update Client handelt.


@Olo
Was stört Dich an "NeroCheck.exe"?

[ 08. Mai 2004, 01:25: Beitrag editiert von: Virenscanner ]

Wow - hätte auf keinen Fall so schnell mit einer Antwort gerechnet... doch nun muss ich leider zur Frühschicht und kann mich dem Problem erst heute Nachmittag widmen... vorab schonmal ein einfaches, aber lautes DANKE!

-------------------------------------------------
"... kann alles raus ..."
-------------------------------------------------

Sorry, wenn ich mich jetzt als computerdoofi oute: einfach löschen? Wie und wo? Mit Hilfe von HiJackThis? Im abgesicherten Modus?

Ich nehme an, solche Anfängerfragen nerven...
aber ich hoffe, man hat im Hinterkopf, dass jeder mal Anfänger war.

-------------------------------------------------
"... dann die registry danach durchsuchen und mögliche einträge entfernen ( vorher sichern!)..."
-------------------------------------------------

da such ich doch ewig, oder? gibts da irgendwie ne einfachere lösung... oder sucht die normale windows-suchfunktion auch in der registry?

-------------------------------------------------
"...sonst kann ich dir noch raten die hier oft angesprochenen tools wie adaware/spybot usw zu installieren upzudaten und laufen zu lassen.
am ende dann nochmal ein aktuelles log posten..."
-------------------------------------------------

hab ich beide in aktueller version drauf - haben mir nur bei DIESEM problem nicht weitergeholfen. irgendwie scheint das teil sich ziemlich festgesetzt zu haben...

-------------------------------------------------
"...gute nacht
thomas"
-------------------------------------------------

Tja, da bleibt mir nichts anderes übrig, als GUTEN MORGEN und DANKE zu sagen. Erstmal. So, wie ich mich kenne, melde ich mich bestimmt bald wieder, weil ich irgendwas nicht auf die Reihe kriege...

Herzlichen Gruß - Roland

Also die Sache mit dem yellow-page und coolwebsearch sieht glaub ich anders aus

Naja ich hab hier erstma n paar Sachen die solltest du sowieso machen Am ende dann nochmal n neues log posten dann kann jemand andres ma drüber schaun der sich grad mit diesem einen beschäftigt


</font><blockquote>Zitat:</font><hr />0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthr..._PVER}&ar=home
F1 - win.ini: run=C:\WINDOWS\miro\COMMON\PINBOARD.EXE
O1 - Hosts: LH
LH
?
H
?
H
?
H
?
H

H

H
¨
H
¨
H
°
H
°
H
ÈÿH
ÈÿH
À
H
À
H
È
H
È
H
Ð
H
Ð
H
èvH
èvH
à
H
à
H
è
H
è
H
ð
H
ð
H
ø
H
ø
H
?H
?H
?H
?H
?H
H
H
¨H
¨H
°H
°H
¸H
¸H
ÀH
ÀH
ÈH
ÈH
ÐH
ÐH
ØH
ØH
àH
àH
èH
èH
ðH
ðH
øH
øH

O1 - Hosts: ?H
?H
?H
H
H
¨H
¨H
°H
°H
¸H
¸H
ÀH
ÀH
ÈH
ÈH
ÐH
ÐH
ØH
ØH
àH
àH
èH
èH
ðH
ðH
øH
øH

O1 - Hosts: NH
?
H

O1 - Hosts: www.look2me1.com
O1 - Hosts: ¨A[
x
[
www.look2me2.com
O1 - Hosts: ÀC[
x
[
www.look2me3.com
O1 - Hosts: ØE[
x
[
www.look2me4.com
O1 - Hosts: www.look2me5.com
O1 - Hosts: L[
L[
?
[
?
[
?
[
?
[

[

[
¨
[
¨
[
°
[
°
[
?[
?[
À
[
À
[
È
[
È
[
Ð
[
Ð
[
Ø
[
Ø
[
à
[
à
[
è
[
è
[
ð
[
ð
[
ø
[
ø
[
?[
?[
?[
?[
?[
[
[
¨[
¨[
°[
°[
¸[
¸[
À[
À[
È[
È[
Ð[
Ð[
Ø[
Ø[
à[
à[
è[
è[
ð[
ð[
ø[
ø[

O1 - Hosts: ?[
?[
?[
[
[
¨[
¨[
°[
°[
¸[
¸[
À[
À[
È[
È[
Ð[
Ð[
Ø[
Ø[
à[
à[
°?[
°?[
ð[
ð[
ø[
ø[

</font>[/QUOTE]kann alles raus ( also im abgesicherten modus)

C:\WINDOWS\miro\COMMON\PINBOARD.EXE den Pfad solltest du mal überprüfen also was da noch alles drin ist. gehört sich er nicht ins windows verzeichnis


</font><blockquote>Zitat:</font><hr /> O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
</font>[/QUOTE]sofern die nicht gewollt sind auch fixen ( wieder im abgesichtern modus)

</font><blockquote>Zitat:</font><hr /> O17 - HKLM\System\CCS\Services\Tcpip\..\{DA34D3EF-2205-4E26-AF3E-0D28A4324A18}: NameServer = 83.120.6.30 217.9.110.242 </font>[/QUOTE]bei dem bin ich mir nicht sicher kann wahrscheinlich auch raus...

</font><blockquote>Zitat:</font><hr />Beim Prüfen mittels Norton werden die Dateien "bi.dll" (2x) und "biprep.exe" (1x) gefunden, welche ich jedoch nicht entfernen/löschen kann. </font>[/QUOTE]die beiden files nochmal seperat mit einem scanner überprüfen
dann die registry danach durchsuchen und mögliche einträge entfernen ( vorher sichern!)

sonst kann ich dir noch raten die hier oft angesprochenen tools wie adaware/spybot usw zu installieren upzudaten und laufen zu lassen.
am ende dann nochmal ein aktuelles log posten


nachtrag :
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

bitte auch fixen


gute nacht
thomas

[ 08. Mai 2004, 00:26: Beitrag editiert von: Olo ]

</font><blockquote>Zitat:</font><hr /> @Olo
Was stört Dich an "NeroCheck.exe"? </font>[/QUOTE]hmm hab mich da wohl vertan.


</font><blockquote>Zitat:</font><hr /> Sorry, wenn ich mich jetzt als computerdoofi oute: einfach löschen? Wie und wo? Mit Hilfe von HiJackThis? Im abgesicherten Modus?
</font>[/QUOTE]Also ersteinmal den PC im abgesicherten Modus hochfahren ( beim starten f8 drücken und dann dort abgesicherten modus auswählen)
Einfach löschen mit HJT? ja im grunde schon nur solltest du vorher schauen ob die einträge auf irgendwelche dateien verweisen die musst du dann danach noch per hand entfernen
wenn sich eine der dateien nicht löschen lässt dann mal per strg+alt+entf im taskmanager schauen ob sie unter den prozessen auftaucht, wenn ja beenden dann müsste man sie entfernen können


</font><blockquote>Zitat:</font><hr /> da such ich doch ewig, oder? gibts da irgendwie ne einfachere lösung... oder sucht die normale windows-suchfunktion auch in der registry?
</font>[/QUOTE]mehr oder weniger ja. erstmal registry öffnen ( start-&gt;ausführen-&gt;regedit) jetzt siehst du ein fenster ähnlich dem explorer hier kannst du auch mit strg+f die suchfunktion aufrufen und damit wie gewohnt nach den bestimmten dateien suchen. sobald du was gefunden hast exportiere erst einmal den eintrag (registrierung-&gt;registrierungsdatei exportieren) damit du sie nachher falls nötig wieder herstellen kannst. dann die einträge löschen.


</font><blockquote>Zitat:</font><hr /> Mich würde mal interessieren, was das ist:

Zitat:

O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe

</font>[/QUOTE]nichts was da hingehört denke ich habs gestern nacht übersehen


</font><blockquote>Zitat:</font><hr /> Ich nehme an, solche Anfängerfragen nerven...
aber ich hoffe, man hat im Hinterkopf, dass jeder mal Anfänger war. </font>[/QUOTE]Ich weiß nicht wies den anderen geht aber ich gehöre meiner meinung nach selbst noch zu den Anfängern hier.. bin ja erst seit 2 wochen registriert hier im Board..
Aber ich muss sagen das du dir schon viel mühe mit dem Problem gemacht hast und dich auch schon hier im Board umgeschaut hast (siehe HJT log), was viele andere nicht machen. und ich muss sagen das stört einen natürlich umso mehr wenn sich jemand nur mit "hilfe ich glaub ich habn virus was muss ich tun???????" meldet, im gegensatz zu deinem post hier ;) da ist man gleich viel bereiter zu helfen [img]smile.gif[/img]

Servus, Thomas!

Erstmal vielen Dank für das Kompliment - aber das rührt einfach daher, dass ich mit meinem anderen Hobby auch relativ viel in einem Forum unterwegs bin und dort schon zu den älteren Hasen zähle. Ich kann das sehr gut nachvollziehen und bemühe mich deswegen halt einfach ein bisschen. Ist ja auch nicht schwer...

Zum Thema zurück:

Bin grad leider auf Arbeit und kann mich somit nicht um "mein" Problem daheim kümmern... Ich hoffe, ich kriege das die nächsten Tage noch auf die Reihe - denn ab Mittwoch bin ich erstmal für ein paar wenige Tage in südlicheren Gefilden und lasse den PC einfach PC sein... Der Strand ist da durchaus interessanter... ;)

Ich werde mich auf jeden Fall wieder melden...

Herzlichen Dank schonmal. Ich habe ja noch die Illussion, dass sich das Problem vielleicht in den paar Tagen meiner Abwesenheit von alleine löst.

Wäre doch "kuhl".... ;)

Und wenn ich dann wieder da bin, habe ich ja genug zu lesen...

Servus!

Finde übrigens Dein Statemant zum Schluss "...hat noch niemandem..." klasse!

So, nun bin ich mit nem Sonnenbrand wieder zurück und möchte mitteilen, dass es geklappt hat!!! Herzlichsten Dank! Ist ein echt gutes Forum hier.

Doch um die Freude nicht zu groß werden zu lassen, gleich zum nächsten Problem. Seit ich diesen Hijacker drauf hatte und ihn, wie oben erwähnt, erfolgreich verbannen konnte, läuft mein Rechner auch im Leerlauf sehr hoch und bei bereits zwei geöffneten Programmen auf 100%.

Woran kann das denn liegen? Da macht es gar keinen Spaß, die Urlaubsbilder zu bearbeiten... *grummel*

Bringt es was, wenn ich hier die laufenden Prozesse mal poste? Kann das etwas mit dem vorherigen Problem zu tun haben?

Ich hab keinen Bock, "C" platt zu machen....

Herzlichen Gruß - Roland


EDIT: Mit WinTop hab ich es bereits versucht... aber ich kann das Prog wegen folgender Meldung nicht starten! "Der Prozedureinsprungpunkt 'GetPrecessFlags' wurde in der DLL 'KERNEL32.dll' nicht gefunden."

Oh Mann, das nervt mich was. Und ich euch damit wahrscheinlich auch...

[ 17. Mai 2004, 02:05: Beitrag editiert von: Kruzifix ]