Alle Tips befolgt - trotzdem C:\WINDOWS\system32\search.html

#0
13.01.2005, 02:09
...neu hier

Beiträge: 2
#1 Hallo zusammen,

ich brauche Hilfe.
Ich habe bereits im abgesicherten Modus eScan ausgeführt - 3 1/2 Stunden(!) -, Killbox, Ad-Aware, HiJackThis, AnitVir, Spybot, CWShredder und jedesmal tauchen die beiden wieder auf:

CoolWWWSearch.WCADW und DSO Exploit

Hier mein HiJackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 01:56:51, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
w:\wamp\apache\Apache.exe
w:\wamp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\MsPMSPSv.exe
w:\wamp\apache\Apache.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\System32\WinSys.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\CTHELPER.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
D:\Programme\Qurb\QSP-2.1.213.4\QOELoader.exe
D:\Programme\ICQLite\ICQLite.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\programme\WCESCOMM.EXE
C:\WINDOWS\system32\stw.exe
D:\Programme\FRITZ!\FriWeb32.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\FRITZ!\IWatch.exe
D:\Programme\MSI\SecureDoc\Logon.exe
C:\Programme\QDesign Corporation\QDesign MPEG Audio Codec\Speed.exe
W:\wamp\wampserver.exe
C:\WINDOWS\system32\spoolsv.exe
d:\programme\WCESMgr.exe
D:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\explorer.exe
C:\AntiVirusSoftware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\search.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCLEPCI] D:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [QOELOADER] D:\Programme\Qurb\QSP-2.1.213.4\QOELoader.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\WCESCOMM.EXE"
O4 - HKCU\..\Run: [STW] C:\WINDOWS\system32\stw.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: WampServer.lnk = W:\wamp\wampserver.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!web.lnk = D:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = D:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SecureDoc.lnk = D:\Programme\MSI\SecureDoc\Logon.exe
O4 - Global Startup: Speed Control.lnk = C:\Programme\QDesign Corporation\QDesign MPEG Audio Codec\Speed.exe
O4 - Global Startup: VPN Client.lnk = ?
O16 - DPF: {35B7E48B-9D81-4C6C-9578-5FD4F620D886} - https://www.openbc.com/sync/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3848B898-3C00-4D88-B303-E1251227B894}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DirectUpdate engine - Unknown - D:\PROGRA~1\DIRECT~1\DUService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: wampapache - Unknown - w:\wamp\apache\Apache.exe
O23 - Service: wampmysqld - Unknown - w:\wamp\mysql\bin\mysqld-nt.exe
Dieser Beitrag wurde am 13.01.2005 um 16:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.01.2005, 16:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
C:\WINDOWS\system32\stw.exe --> poste das Ergebnis

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\search.html
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe -->W32/P2P.Lolol.E
O4 - HKCU\..\Run: [STW] C:\WINDOWS\system32\stw.exe (???)
O16 - DPF: {35B7E48B-9D81-4C6C-9578-5FD4F620D886} - https://www.openbc.com/sync/setup.exe
O23 - Service: DirectUpdate engine - Unknown - D:\PROGRA~1\DIRECT~1\DUService.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

PC neustarten

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

Loesche:--> darf nicht im Taskamager aktiv sein
C:\WINDOWS\System32\WinSys.exe

#ClaerProg..lade die neuste Version <1.4.0 Final

http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.01.2005 um 16:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.01.2005, 19:15
...neu hier

Themenstarter

Beiträge: 2
#3 Herzlichen Dank,

es sieht sehr gut aus. Bis jetzt ist von dieser lästigen Suchseite nichts mehr zu sehen. Trotzdem hier das Posting aus Jotti's malware scan 2.4.

Service load: 0% 100%

File: stw.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: UPX

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.33 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus No viruses found (0.66 seconds taken)
mks_vir No viruses found (0.67 seconds taken)
NOD32 No viruses found (0.41 seconds taken)
Norman Virus Control No viruses found (0.43 seconds taken)


Vielen Dank


Alex
Dieser Beitrag wurde am 13.01.2005 um 23:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.01.2005, 23:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Chickenman

stw.exe --> rechtsklick--> Eigenschaften (was steht da ?)

dann poste bitte das neue Log vom Hijackthis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.01.2005 um 23:47 Uhr von Sabina editiert.
Seitenanfang Seitenende