[ CoolWebSearch] wer4820.dll

von **sasankah** am 09.11.2004, 03:18

Hallo!

Jemand vom Ebay Forum, der mir die ersten Hilfestellungen gab, hat mich auf Euch hierher verwiesen.

Ich habe andauern Viren, trotz Antivir, Spybot und eScann.
eScann hat mir eben wieder 24 Viren angezeigt, wobei mir, erstens, nicht klar ist, wieso eScann einen Virus so drei oder auch viermal anzeigt und ich, zweites, bei Versuch nach den Pfaden die Datein zu finden in´s Leere stieß, weil ich diese Datein nicht finden konnte - obwohl ich auch versteckte Datein sehen kann, z.B. System Volume Information_ Restore war nicht zu finden.

Außerdem lassen sich manche Viren, wie Salm einfach nicht löschen.

Antivir zeigt nach jedem Internetstart eine Virenmeldung mit einem DroppersDR/180Solutions - er erscheint trotz aller möglichen Lösch/Überschreib/Quarantäe-Versuche immer wieder.

Ich habe jetzt auf Empfehlung "Hijackthis" installiert. Er meinte, ich soll hier das Logfile reingeben und das ich hier sicher Hilfe finden kann.

Hier das LOGfile vo Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 01:57:28, on 09.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\awtray.exe
D:\progs\anti vir\AVSched32.EXE
D:\progs\anti vir\AVGNT.EXE
C:\Program Files\Win Comm\WinComm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\progs\Spybot - Search & Destroy\TeaTimer.exe
D:\progs\ms office 97\Office\OSA.EXE
D:\progs\ms office 97\Office\FINDFAST.EXE
D:\progs\adobe acrobat destiller\Distillr\AcroTray.exe
D:\progs\anti vir\AVGUARD.EXE
D:\progs\anti vir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\progs\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - (no file)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765724820} - C:\WINDOWS\System32\wer4820.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Audiowerk Multimedia] awtray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\progs\anti vir\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] D:\progs\anti vir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\progs\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Office-Start.lnk = D:\progs\ms office 97\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\progs\ms office 97\Office\FINDFAST.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\progs\adobe acrobat destiller\Distillr\AcroTray.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/coopto.chm::/wintbl32.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... ceaa40921f
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - file://c:\x.cab

Hoffe, ich finde hier Hilfe.

LG
Sasankah

von **Computerdirk** am 09.11.2004, 16:37

Hallöchen,

also unnötige Einträge sind:

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - (no file)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765724820} - C:\WINDOWS\System32\wer4820.dll

Bösartige Einträge sind:

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/coopto.chm::/wintbl32.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... ceaa40921f
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - file://c:\x.cab

Die solltest du fixen. Und dann hilft es sehr, wenn man einen aktuellen Virenscanner und eine Firewall installiert hat...

von **Nikita** am 09.11.2004, 19:40

Hallo@sasankah

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - (no file) [ CoolWebSearch]
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765724820} - C:\WINDOWS\System32\wer4820.dll

O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/coopto.chm::/wintbl32.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... ceaa40921f

neustarten

#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:C:\WINDOWS\System32\wer4820.dll
PC neustarten

#diese Prozedur machst du mit:
<C:\Program Files\Win Comm\WinComm.exe
<C:\WINDOWS\System32\wintbl32.exe
C:\WINDOWS\System32\wintbl32.dll
<C:\WINDOWS\System32\file.exe

suche und loesche:
<c:\ied_s7m.cab
<c:\x.cab

loesche alle:
#Windows\Downloaded Programm Files\

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K

deinstalliere deinen Virenscanner fuer 15 Tage und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

klicke auf: awn2k3e.exe (escan)

____________________________________________________

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.

Dann stelle unter <Internetoption< eine neue Startseite ein und poste das Log noch mal.

mfg
Nikita

von **Computerdirk** am 09.11.2004, 20:17

Hallöchen,

also mit der awtray.exe wäre ich erstmal vorsichtig... Das könnte auch zu einem Sound-Treiber gehören...

von **Nikita** am 09.11.2004, 22:12

Computerdirk hat geschrieben:Hallöchen,

also mit der awtray.exe wäre ich erstmal vorsichtig... Das könnte auch zu einem Sound-Treiber gehören...

Danke fuer den Tip:

awtray.exe
Program Title: Audiowerk Multimedia

mfg
Nikita

von **sasankah** am 10.11.2004, 11:26

Danke für die Hilfe! Werde das mal durchgehen.

Was mir - auf den ersten Bild zumindest - unklar ist: Woher bekomme ich eine Firewall?

von **Nikita** am 10.11.2004, 14:56

Hallo@sasankah

Die Firewall poste ich dir, wenn alles sauber ist.

mfg
Nikita

[ CoolWebSearch] wer4820.dll

[ CoolWebSearch] wer4820.dll

Hallo!

Ähnliche Themen

Wer ist online?