Hilfe: coolwwwsearch-hijacking |
Willkommen, Gast ( Anmelden | Registrierung )
Hilfe: coolwwwsearch-hijacking |
Gast_jogi_* |
03.07.2004, 12:00
Beitrag
#1
|
Gäste |
Hallo!
Habe mir im IE auch etwas von coolWWWsearch eingetreten. Startseite "res://mtful.dll/index.html#96676" ("Home Search")kann nicht beseitigt werden!! Außerdem ständige PopUps und Suchanfragen-Umleitungen!! CWS-Shredder meldet: System clean. AntiVir meldet einen Trojaner (Tr/Dldr.AfentAP.2), kann aber wegen "geblockter Dateien" offensichtlich nichts unternehmen. AdAware hat etwas beseitigt, das Problem aber bleibt. Außerdem habe ich festgestellt daß ich weder AntiVir noch CWShredder updaten kann (Meldung : "Unable to retrieve Information") CWShredder meldet zudem bei jedem 2. bis 3. Aufruf unter der Titlebar: "6/)1CBrAR*3qhDdXyt=d1" Folgendes: "You have a variant of the coolwebsearch trojan (CWS Smartsearch.2) that has atttemptet to close the CWShredder. To counter this, CWShredder is now starting with a random string of Text in the Titlebar. CWShredder is still working fine, it has not been corruptet" Ich bin mit meinem Latein völlig am Ende und browse jetzt mit Netscape. Ich wäre Euch sehr verbunden, wenn Ihr Euch mal mein HijackThis Logfile anschauen könntet: Logfile of HijackThis v1.98.0 Scan saved at 12:53:18, on 03.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\HP\KBD\KBD.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\system32\addsg.exe C:\WINDOWS\system32\crxa.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Dokumente und Einstellungen\markus\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mtful.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5B55E653-4F84-8EB5-843E-F600343F53BC} - C:\WINDOWS\system32\javabs32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe" O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [crxa.exe] C:\WINDOWS\system32\crxa.exe O4 - HKLM\..\RunOnce: [addsg.exe] C:\WINDOWS\system32\addsg.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200211...meInstaller.exe O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AF509758-D0DB-4A63-9455-5247204BC433}: NameServer = 217.237.151.97 194.25.2.129 Vielen Dank!!! |
|
|
03.07.2004, 12:11
Beitrag
#2
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Starte in den abgesicherten Modus (wie das geht, steht hier).
Fixe dann diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mtful.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676 O2 - BHO: (no name) - {5B55E653-4F84-8EB5-843E-F600343F53BC} - C:\WINDOWS\system32\javabs32.dll O4 - HKLM\..\Run: [crxa.exe] C:\WINDOWS\system32\crxa.exe O4 - HKLM\..\RunOnce: [addsg.exe] C:\WINDOWS\system32\addsg.exe Lösche dann diese Datei: C:\WINDOWS\system32\javabs32.dll Schicke diese beiden Dateien bitte an virus@rokop-security.de: C:\WINDOWS\system32\crxa.exe C:\WINDOWS\system32\addsg.exe -------------------- Grüße, Jörg
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 24.06.2024, 06:58 |