Hallo!
Habe mir im IE auch etwas von coolWWWsearch eingetreten.
Startseite "res://mtful.dll/index.html#96676" ("Home Search")kann nicht beseitigt werden!!
Außerdem ständige PopUps und Suchanfragen-Umleitungen!!
CWS-Shredder meldet: System clean.
AntiVir meldet einen Trojaner (Tr/Dldr.AfentAP.2), kann aber wegen "geblockter Dateien" offensichtlich nichts unternehmen.
AdAware hat etwas beseitigt, das Problem aber bleibt.
Außerdem habe ich festgestellt daß ich weder AntiVir noch CWShredder updaten kann (Meldung : "Unable to retrieve Information")
CWShredder meldet zudem bei jedem 2. bis 3. Aufruf unter der Titlebar: "6/)1CBrAR*3qhDdXyt=d1" Folgendes:
"You have a variant of the coolwebsearch trojan (CWS Smartsearch.2) that has atttemptet to close the CWShredder. To counter this, CWShredder is now starting with a random string of Text in the Titlebar. CWShredder is still working fine, it has not been corruptet"
Ich bin mit meinem Latein völlig am Ende und browse jetzt mit Netscape.
Ich wäre Euch sehr verbunden, wenn Ihr Euch mal mein HijackThis Logfile anschauen könntet:
Logfile of HijackThis v1.98.0
Scan saved at 12:53:18, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\addsg.exe
C:\WINDOWS\system32\crxa.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\markus\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5B55E653-4F84-8EB5-843E-F600343F53BC} - C:\WINDOWS\system32\javabs32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [crxa.exe] C:\WINDOWS\system32\crxa.exe
O4 - HKLM\..\RunOnce: [addsg.exe] C:\WINDOWS\system32\addsg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF509758-D0DB-4A63-9455-5247204BC433}: NameServer = 217.237.151.97 194.25.2.129
Vielen Dank!!!
Starte in den abgesicherten Modus (wie das geht, steht http://www.bsi.de/av/texte/winsave.htm).
Fixe dann diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
O2 - BHO: (no name) - {5B55E653-4F84-8EB5-843E-F600343F53BC} - C:\WINDOWS\system32\javabs32.dll
O4 - HKLM\..\Run: [crxa.exe] C:\WINDOWS\system32\crxa.exe
O4 - HKLM\..\RunOnce: [addsg.exe] C:\WINDOWS\system32\addsg.exe
Lösche dann diese Datei:
C:\WINDOWS\system32\javabs32.dll
Schicke diese beiden Dateien bitte an virus@rokop-security.de:
C:\WINDOWS\system32\crxa.exe
C:\WINDOWS\system32\addsg.exe
Vielen Dank!!!
Auf den ersten Blich sieht alles gut aus.
Startseite ist wieder frei wählbar, nur die Dateien
C:\ Windows\system32\javabs.dll,
...\crxa.exe und
...\addsg.exe
konnte ich nicht finden. Ich vermute, die hatte ich schon mit Ad-aware beseitigt.
Sollte ich da falsch liegen, bitte ich um Hinweis.
Es kann sein, dass die Dateien versteckt sind. Lasse Dir im Explorer also auch versteckte Dateien anzeigen (entsprechende Einstellungen über das Menü Extras -> Ordneroptionen, dann "Ansicht" vornehmen).
Wenn die Dateien dann trotzdem nicht auffindbar sind, wird AdAware diese bereits entfernt haben.
Nein, auch nichts versteckt.
Habe nur
C:\Windows\Preftech\CRXA.EXE-213FCD2E.pf
und
C:\Windows\Preftech\ADDSG.EXE-2C887E8F.pf
gefunden, denke aber die sind harmlos.
Danke nochmals!!!
Jogi
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)