Hallo an alle,

alte Nachricht:
ich habe mir im Netz den coolsearch eingefangen und bekomme ihn jetzt nicht mehr weg. Das Ding installiert sich immer wieder neu.
Ich hab es schon mit dem HijackThis versucht, mit dem Erfolg, daß der IE nicht mehr von allein startet aber dafür ging mein WMediaPlayer nicht mehr.
Die Startadresse coolsearch.biz steht aber wieder drin und jedesmal bombt er mich mit Trojanern und Viren voll.
--------------------------------------------------------------------------------

Ich hab gestern den ganzen Tag dran gesessen den Mist wieder von meinem System zu bekommen. Erst durch den geballten
Einsatz von HijackThis, AntiVir, SpyBot und Security Task Manager ist es mir gelungen. Der Security Task Manager hat mir die
wmplayer.exe als Gefahr gezeigt und die hat sich immer wieder nach Winnt\System32\services installiert.

Ich hoffe es ist jetzt wieder in Ordnung.
Könnte trotzdem nochmal jemand das Log durchschauen?

Viele Grüße )v(eise



Logfile of HijackThis v1.98.2
Scan saved at 09:17:57, on 29.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\System\Security\AntiVir\AVGUARD.EXE
C:\Programme\Apache Group\Apache\Apache.exe
D:\Programme\System\Security\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\GEARSEC.EXE
C:\WINNT\system32\hidserv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Programmierung\MySQL\bin\mysqld-nt.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
D:\PROGRA~1\SYSTEM\SERV-U\SERVUD~1.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
D:\Programme\Anwendungen\Daemon\daemon.exe
D:\Programme\System\Security\AntiVir\AVGNT.EXE
C:\Programme\USB Media\shwicon.exe
D:\Programme\Anwendungen\ICQ\icq.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\System\totalcmd\TOTALCMD.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_tc\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://meiseproxy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = meise;<local>
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINNT\System32\wins32t.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Anwendungen\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\System\Security\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programme\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Babylon Translator] D:\Programme\Anwendungen\Babylon\Babylon.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Programme\Anwendungen\ICQ\icq.exe -minimize
O4 - HKCU\..\Run: [Skype] "D:\Programme\SkypePhone\Skype.exe" /nosplash /minimized
O4 - Startup: AntiVir XP.LNK = D:\Programme\System\Security\AntiVir\AVWIN.EXE
O4 - Startup: VChat.lnk = C:\Programme\Vypress Chat\vyc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Vypress Chat StartUp.lnk = C:\Programme\Vypress Chat\VyChat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\xmlspy\spy.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... b28ebf1261
O16 - DPF: {A9DAD15A-365E-494D-9D41-8A0BB80007B0} (ArcticShell control) - http://www.arcticpigs.com/activex/mayhem.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://sap.webex.com/client/v_sap/webex/ieatgpc.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

Hi,
das hatte ich auch mal. Ich habe einfach nur formatiert und es ging dann wieder

aber du hast es ja gelöst !


Aber wollt ich nur mal so sagen

xpayne hat geschrieben:...aber du hast es ja gelöst !

wenn du sein logfile mal kopieren und hier: http://hijackthis.de/ zur Auswertung eingefügen tätest, würdest du deine Aussage bestimmt noch mal überdenken...

@Meise, mein Wissen reicht leider nicht aus, um dir zu helfen, aber nikita wird sich deiner hoffentlich annehmen, dein log sieht immer noch verhältnismäßig übel aus...

Hallo@Meise

Oeffne das HijackThis <scan< anhaken< fix< PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINNT\System32\wins32t.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... e7e27f55e8
c7382e8f812488538178c09374cd3d
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://sap.webex.com/client/v_sap/webex/ieatgpc.cab

neustarten

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
Ueberpruefe, ob diese Meldung kommt:
Scanning File C:\WINNT\system32\services.exe
possibly infected and removed by background antivirus package!
File infected by "BkCln.Unknown" Virus.

oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\System32\wins32t.dll
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\winnl32.exe
PC neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
(zusammen mit dem Log vom HijackThis)

mfg
Nikita

Sorry,

war das Wochenende nicht da.
Hab aber jetzt alles so gemacht.
Sind aber, glaub ich, noch Reste vorhanden.

Die C:\WINNT\system32\services.exe ist nicht infiziert.
Muss ich trotzdem die wins32t.dll und die winnl32.exe löschen?

Logfile of HijackThis v1.98.2Scan saved at 08:22:27, on 03.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\System\Security\AntiVir\AVGUARD.EXE
C:\Programme\Apache Group\Apache\Apache.exe
D:\Programme\System\Security\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\GEARSEC.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Programmierung\MySQL\bin\mysqld-nt.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
D:\PROGRA~1\SYSTEM\SERV-U\SERVUD~1.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
D:\Programme\Anwendungen\Daemon\daemon.exe
C:\Programme\USB Media\shwicon.exe
D:\Programme\System\Security\AntiVir\AVGNT.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
D:\Programme\System\Security\TraXEx\TraXEx.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\System\Security\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://meise:81/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://meise-proxy.wohnheim.sieben:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = meise:81;<local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Anwendungen\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programme\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\System\Security\AntiVir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Babylon Translator] D:\Programme\Anwendungen\Babylon\Babylon.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Programme\Anwendungen\ICQ\icq.exe -minimize
O4 - HKCU\..\Run: [Skype] "D:\Programme\SkypePhone\Skype.exe" /nosplash /minimized
O4 - Startup: AntiVir XP.LNK = D:\Programme\System\Security\AntiVir\AVWIN.EXE
O4 - Startup: TraXEx.lnk = D:\Programme\System\Security\TraXEx\TraXEx.exe
O4 - Startup: VChat.lnk = C:\Programme\Vypress Chat\vyc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Vypress Chat StartUp.lnk = C:\Programme\Vypress Chat\VyChat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\xmlspy\spy.htm
O16 - DPF: {A9DAD15A-365E-494D-9D41-8A0BB80007B0} (ArcticShell control) - http://www.arcticpigs.com/activex/mayhem.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll


eScan AntiVirus:

File C:\WINNT\system32\CustomIE32.dll infected by "Trojan.Win32.StartPage.po" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-6c541abc-6e5f5ec9.class infected by "Trojan.Java.Femad" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\CustomIE32.dll infected by "Trojan.Win32.StartPage.po" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-6c541abc-6e5f5ec9.class infected by "Trojan.Java.Femad" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\CustomIE32.dll infected by "Trojan.Win32.StartPage.po" Virus. Action Taken: No Action Taken.

MFG )v(eise

Hallo@Meise

Oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren:
C:\WINNT\system32\CustomIE32.dll
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\System32\wins32t.dll
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\winnl32.exe
PC neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
http://www.clearprog.de/downloads.php

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

mfg
Nikita

Hallo Nikita,

so, alles erledigt.
eScan hat nichts mehr gefunden.
Und hier ist das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 13:11:05, on 03.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\System\Security\AntiVir\AVGUARD.EXE
C:\Programme\Apache Group\Apache\Apache.exe
D:\Programme\System\Security\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\GEARSEC.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Programmierung\MySQL\bin\mysqld-nt.exe
C:\WINNT\System32\nvsvc32.exe
D:\PROGRA~1\SYSTEM\SERV-U\SERVUD~1.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
D:\Programme\Anwendungen\Daemon\daemon.exe
C:\Programme\USB Media\shwicon.exe
D:\Programme\System\Security\AntiVir\AVGNT.EXE
D:\Programme\System\Security\TraXEx\TraXEx.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\System\Security\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://meise:81/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://meise-proxy.wohnheim.sieben:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = meise:81;<local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Anwendungen\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programme\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\System\Security\AntiVir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Babylon Translator] D:\Programme\Anwendungen\Babylon\Babylon.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Programme\Anwendungen\ICQ\icq.exe -minimize
O4 - HKCU\..\Run: [Skype] "D:\Programme\SkypePhone\Skype.exe" /nosplash /minimized
O4 - Startup: AntiVir XP.LNK = D:\Programme\System\Security\AntiVir\AVWIN.EXE
O4 - Startup: TraXEx.lnk = D:\Programme\System\Security\TraXEx\TraXEx.exe
O4 - Startup: VChat.lnk = C:\Programme\Vypress Chat\vyc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Vypress Chat StartUp.lnk = C:\Programme\Vypress Chat\VyChat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\xmlspy\spy.htm
O16 - DPF: {A9DAD15A-365E-494D-9D41-8A0BB80007B0} (ArcticShell control) - http://www.arcticpigs.com/activex/mayhem.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll