Hallo Ihr Freaks!
ich bin mit meinem Latein am Ende!
cwshredder, adaware, hijackthis, ....
ich bekomme diese verfu..... coolsearch.biz nicht vom kasten!
Ich poste hier einfach mal mein Logfile vom Hijacker!!
Logfile of HijackThis v1.97.7
Scan saved at 20:56:20, on 10.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\services\services.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Dokumente und Einstellungen\Ossi\Eigene Dateien\tools\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
F1 - win.ini: run=C:\WINDOWS\System32\services\services.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssvcc.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3288310185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
Help me please!
Thanks!!!
Übri:
Leg Dich nie mit einem Dummen an!
Du müstest auf sein Niveau hinab
und dort schlägt es Dich aus Erfahrung!![color=red][/color]
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Coolsearch.biz - Adware.Replace
5 Beiträge • Seite 1 von 1
Start Page = *http://www.coolsearch.biz/*\[xpsystem]
von Nikita am 11.05.2004, 10:05
0) Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Gehe in die Registry
Start<Ausfuehren<regedit:
Gib oben links in die Suchfunktion der Registry ein:
<xpsystem
<WAPI
und loesche alles, rechts in der Registry, was du findest.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run', 'xpsystem',
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Run' 'xpsystem',
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Run'--WAPI
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {5321E378-FFAD-4999-8C62-03CA8155F0B3}',
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {5321E378-FFAD-4999-8C62-03CA8155F0B3}',
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \
Start Page = *http://www.coolsearch.biz/*
#scanne mit dem HijackThis und dann fixe:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
F1 - win.ini: run=C:\WINDOWS\System32\services\services.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssvcc.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
neustarten
Start<Ausfuehren< cmd
kopiere rein:
regsvr32 /u C:\WINDOWS\SERVICES\1.00.07.dll
<enter<
PC neustarten
Start<Ausfuehren < cmd kopiere rein: c:\windows\win.ini
MS-DOS Editor oeffnet sich
# In der [windows] section , suche:
run=%system%\Services\Services.exe
load=%system%\Services\Services.exe
# Wenn es exisitiert , loesche die betreffenden Zeilen.
Loesche:
<C:\WINDOWS\System32\services\services.exe
C:\WINDOWS\SERVICES\SERVICES.EXE
C:\WINDOWS\SERVICES\Y.EXE
C:\WINDOWS\SERVICES\1.00.07.dll
<C:\WINDOWS\System32\wtssvcc.exe
<x.exe
<C:\Program Files\Q330994.exe
Das loeschen kann man manuell, oder mit dem HijackThis, oder mit der Killbox machen.
KillBox
http://www.bleepingcomputer.com/files/killbox.php
Loeschen mit dem HijackThis:
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\SERVICES\1.00.07.dll <PC neustarten
Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Recycle Bin
#Temporary Files
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#reinige mit ClearProg den IE und stelle unter InternetOptionen die Startseite deiner Wahl ein.
http://www.clearprog.de/
#lade die mwav.exe, scanne .
http://www.mwti.net/antivirus/free_utilities.asp
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Dateien im abgesicherten Modus loeschen (die Killbox dazu verwenden) Auch muss man die Eintraege in der Registrierung per Hand entfernen
dann poste dein Log noch einmal, damit ich sehen kann, ob alles o.k. ist
MfG
Nikita
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Gehe in die Registry
Start<Ausfuehren<regedit:
Gib oben links in die Suchfunktion der Registry ein:
<xpsystem
<WAPI
und loesche alles, rechts in der Registry, was du findest.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run', 'xpsystem',
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Run' 'xpsystem',
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Run'--WAPI
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {5321E378-FFAD-4999-8C62-03CA8155F0B3}',
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {5321E378-FFAD-4999-8C62-03CA8155F0B3}',
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \
Start Page = *http://www.coolsearch.biz/*
#scanne mit dem HijackThis und dann fixe:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
F1 - win.ini: run=C:\WINDOWS\System32\services\services.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\services.exe
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssvcc.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
neustarten
Start<Ausfuehren< cmd
kopiere rein:
regsvr32 /u C:\WINDOWS\SERVICES\1.00.07.dll
<enter<
PC neustarten
Start<Ausfuehren < cmd kopiere rein: c:\windows\win.ini
MS-DOS Editor oeffnet sich
# In der [windows] section , suche:
run=%system%\Services\Services.exe
load=%system%\Services\Services.exe
# Wenn es exisitiert , loesche die betreffenden Zeilen.
Loesche:
<C:\WINDOWS\System32\services\services.exe
C:\WINDOWS\SERVICES\SERVICES.EXE
C:\WINDOWS\SERVICES\Y.EXE
C:\WINDOWS\SERVICES\1.00.07.dll
<C:\WINDOWS\System32\wtssvcc.exe
<x.exe
<C:\Program Files\Q330994.exe
Das loeschen kann man manuell, oder mit dem HijackThis, oder mit der Killbox machen.
KillBox
http://www.bleepingcomputer.com/files/killbox.php
Loeschen mit dem HijackThis:
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\SERVICES\1.00.07.dll <PC neustarten
Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Recycle Bin
#Temporary Files
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#reinige mit ClearProg den IE und stelle unter InternetOptionen die Startseite deiner Wahl ein.
http://www.clearprog.de/
#lade die mwav.exe, scanne .
http://www.mwti.net/antivirus/free_utilities.asp
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Dateien im abgesicherten Modus loeschen (die Killbox dazu verwenden) Auch muss man die Eintraege in der Registrierung per Hand entfernen
dann poste dein Log noch einmal, damit ich sehen kann, ob alles o.k. ist
MfG
Nikita
Zuletzt geändert von Nikita am 22.10.2004, 15:05, insgesamt 13-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
>:(
von phoks am 16.06.2004, 18:36
Die Damen und Herren von coolsearch bieten ein Tool zum Deinstallieren an:
oz.epsi.ws/uninstall.exe
Bei mir hat's funktioniert. zum Glück!
oz.epsi.ws/uninstall.exe
Bei mir hat's funktioniert. zum Glück!
- phoks
- Beiträge: 1
- Registriert: 16.06.2004, 17:55
Wo findet man die uninstall?
von Patchworker am 22.10.2004, 14:04
Hallo phoks,
auch ich habe Riesenprobleme mit diesem Mist. Wo finde ich die Zauber-Install. Auf der Homepage von Cool Search habe ich nichts gefunden. Ich muß sagen, daß ich auch mit größtem Widerwillen die Seite dieser für mich Internet - Verbrecher aufgerufen habe.
Kann man der uninstall überhaupt trauen, oder oder ist zu befürchten, daß sie sich damit noch wirkungsvoller an meinem Eigentum vergreifen können?
Patchworker
auch ich habe Riesenprobleme mit diesem Mist. Wo finde ich die Zauber-Install. Auf der Homepage von Cool Search habe ich nichts gefunden. Ich muß sagen, daß ich auch mit größtem Widerwillen die Seite dieser für mich Internet - Verbrecher aufgerufen habe.
Kann man der uninstall überhaupt trauen, oder oder ist zu befürchten, daß sie sich damit noch wirkungsvoller an meinem Eigentum vergreifen können?
Patchworker
- Patchworker
- Beiträge: 2
- Registriert: 22.10.2004, 11:12
von Nikita am 22.10.2004, 14:26
Hallo @Patchworker
Vertrauen in den "Remover "ist nicht angebracht...poste das Log vom HijackThis, dann bekommen wir die Startseite schon weg....
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
mfg
Nikita
Vertrauen in den "Remover "ist nicht angebracht...poste das Log vom HijackThis, dann bekommen wir die Startseite schon weg....
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
5 Beiträge • Seite 1 von 1
Ähnliche Themen
| Invalid system disk.Replace the disk, and then press any key Forum: Software-Hilfe Autor: Anonymous Antworten: |
Adware Purity scan - wie loswerden ? Forum: Online- und PC-Sicherheit Autor: HerrStrubbel Antworten: |
Spyware/Adware Forum: Online- und PC-Sicherheit Autor: hotzlmo Antworten: |
Adware.Cydoor - Wie werde ich es los Forum: Online- und PC-Sicherheit Autor: Ewald Antworten: |
Problem mit einer Adware Bedrohung von Gain Network Forum: Online- und PC-Sicherheit Autor: eromon Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste