Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Hilfe: coolwwwsearch-hijacking
Gast_jogi_*
Beitrag 03.07.2004, 12:00
Beitrag #1






Gäste






Hallo!

Habe mir im IE auch etwas von coolWWWsearch eingetreten.

Startseite "res://mtful.dll/index.html#96676" ("Home Search")kann nicht beseitigt werden!!
Außerdem ständige PopUps und Suchanfragen-Umleitungen!!


CWS-Shredder meldet: System clean.
AntiVir meldet einen Trojaner (Tr/Dldr.AfentAP.2), kann aber wegen "geblockter Dateien" offensichtlich nichts unternehmen.
AdAware hat etwas beseitigt, das Problem aber bleibt.

Außerdem habe ich festgestellt daß ich weder AntiVir noch CWShredder updaten kann (Meldung : "Unable to retrieve Information")
CWShredder meldet zudem bei jedem 2. bis 3. Aufruf unter der Titlebar: "6/)1CBrAR*3qhDdXyt=d1" Folgendes:
"You have a variant of the coolwebsearch trojan (CWS Smartsearch.2) that has atttemptet to close the CWShredder. To counter this, CWShredder is now starting with a random string of Text in the Titlebar. CWShredder is still working fine, it has not been corruptet"

Ich bin mit meinem Latein völlig am Ende und browse jetzt mit Netscape.

Ich wäre Euch sehr verbunden, wenn Ihr Euch mal mein HijackThis Logfile anschauen könntet:


Logfile of HijackThis v1.98.0
Scan saved at 12:53:18, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\addsg.exe
C:\WINDOWS\system32\crxa.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\markus\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5B55E653-4F84-8EB5-843E-F600343F53BC} - C:\WINDOWS\system32\javabs32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [crxa.exe] C:\WINDOWS\system32\crxa.exe
O4 - HKLM\..\RunOnce: [addsg.exe] C:\WINDOWS\system32\addsg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200211...meInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF509758-D0DB-4A63-9455-5247204BC433}: NameServer = 217.237.151.97 194.25.2.129

Vielen Dank!!!
Go to the top of the page
 
+Quote Post
Joerg
Beitrag 03.07.2004, 12:11
Beitrag #2



Orakel-Profi
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.200
Mitglied seit: 07.12.2003
Wohnort: Weiden (Oberpfalz)
Mitglieds-Nr.: 256

Betriebssystem:
Linux Mint 17.1



Starte in den abgesicherten Modus (wie das geht, steht hier).
Fixe dann diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mtful.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mtful.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mtful.dll/index.html#96676
O2 - BHO: (no name) - {5B55E653-4F84-8EB5-843E-F600343F53BC} - C:\WINDOWS\system32\javabs32.dll
O4 - HKLM\..\Run: [crxa.exe] C:\WINDOWS\system32\crxa.exe
O4 - HKLM\..\RunOnce: [addsg.exe] C:\WINDOWS\system32\addsg.exe

Lösche dann diese Datei:
C:\WINDOWS\system32\javabs32.dll

Schicke diese beiden Dateien bitte an virus@rokop-security.de:
C:\WINDOWS\system32\crxa.exe
C:\WINDOWS\system32\addsg.exe


--------------------
Grüße, Jörg
Go to the top of the page
 
+Quote Post
Gast_jogi_*
Beitrag 03.07.2004, 13:27
Beitrag #3


Threadersteller




Gäste






Vielen Dank!!!

Auf den ersten Blich sieht alles gut aus.
Startseite ist wieder frei wählbar, nur die Dateien
C:\ Windows\system32\javabs.dll,
...\crxa.exe und
...\addsg.exe
konnte ich nicht finden. Ich vermute, die hatte ich schon mit Ad-aware beseitigt.
Sollte ich da falsch liegen, bitte ich um Hinweis.
Go to the top of the page
 
+Quote Post
Joerg
Beitrag 03.07.2004, 13:31
Beitrag #4



Orakel-Profi
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.200
Mitglied seit: 07.12.2003
Wohnort: Weiden (Oberpfalz)
Mitglieds-Nr.: 256

Betriebssystem:
Linux Mint 17.1



Es kann sein, dass die Dateien versteckt sind. Lasse Dir im Explorer also auch versteckte Dateien anzeigen (entsprechende Einstellungen über das Menü Extras -> Ordneroptionen, dann "Ansicht" vornehmen).
Wenn die Dateien dann trotzdem nicht auffindbar sind, wird AdAware diese bereits entfernt haben.


--------------------
Grüße, Jörg
Go to the top of the page
 
+Quote Post
Gast_jogi_*
Beitrag 03.07.2004, 13:43
Beitrag #5


Threadersteller




Gäste






Nein, auch nichts versteckt.

Habe nur
C:\Windows\Preftech\CRXA.EXE-213FCD2E.pf
und
C:\Windows\Preftech\ADDSG.EXE-2C887E8F.pf
gefunden, denke aber die sind harmlos.

Danke nochmals!!!

Jogi
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 10:14
Impressum