CoolWebSearch!! Ich kriegs nicht weg!!!

#31

Zitat

dreiD postete
aber auf c: seh ich nur ganze 2 Ordner die zu meiner Logitech Webcam gehören und noch dazu leer sind!! Mach ich was falsch???

Da faellt mir ein, wie ist auf Laufwerk C die Berechtigung verteilt?
Gehe mal bei "A43" im Linken Feld auf Arbeitsplatz und im rechten mit der rechten Maustaste auf c:\. Dort auf Eigenschaften/Sicherheit gehen setz bei Administrator auf "vollzugriff" und bei "jedem" auf lesen.
__________
MfG Ralf
SEO-Spam Hunter

#32 So, ich werde das ganze am Mittwoch wahrscheinlich mal in die Tat umsetzen!!Hab bis dahin keine Zeit!!! Meld mich dann wieder!! Das gilt auch für deinen Tip Boulway!! So wie du hab ichs noch nicht versucht,blöd wie ich bin!! Vor allem die Systemwiederherstellung hatte ich noch nie deaktiviert!!! Vielleicht liegts daran?? @raman

bis denn
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#33 Ich hoffe es, denke aber es reicht so nicht. Wartn wir es ab......
__________
MfG Ralf
SEO-Spam Hunter

#34 ich habs ausprobiert es geht nicht. Ich hab auch den rechner vom netz genommen nix das ding bleib an seinen Platz

#35 Hi ihrs!

Also ich muss leider entwarnen. Mein Tip funktioniert nicht 100%. Ich kann zwar über ne zeit von c.a. 1-2 std den Hijacker nun vertreiben (mit adaware) aber dann kommt er schon wieder. Aber ich denke bis ne lösung gefunden ist wirds dadurch was erträglicher. Hoffe das ihr das Schei... vieh endlich kriegt!

*drückt die daumen*
Boulway Tyrson

kleiner Nachtrag. Ad-Aware hat in den letzten zwei Tagen zwei neue Updates raus geworfen. Denke die Arbeiten auch dran also immer schön Adaware aktuallisieren!

#36 Nur mal so ein Schuss ins Blaue, nutz mal diesen Scanner: ftp://ftp.kaspersky.com/utils/clrav.com nur um auszuschliessen, das es Backdoor.agent.ac ist.
__________
MfG Ralf
SEO-Spam Hunter

#37 So, ich hatte backdoor.agent.ac, das stand bei der winho.dll infected!! Hat der Scanner den Trojaner?? (ist der noch schlimmer?was macht der?)) jetzt gelöscht??
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#38 Da mach ich einen "Aufstand" und es ist Agent.ac.... Man sollte vorher ausschliessen, bevor man alles wild macht!

Dieser Backdoor sorgt dafuer, das dein Hijacker immer wieder nachgeladen wurde.

Da dieser nun weg ist, poste mal bitte ein neues Log. Dann machen wir mal den Rest.
__________
MfG Ralf
SEO-Spam Hunter

#39 So,hier das neue Log!!! Was ist denn jetzt Agent.ac?????

Logfile of HijackThis v1.97.7
Scan saved at 20:52:58, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\CamDrvr\LVCOMS.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\Mozilla\mozilla\mozilla.exe
C:\Dokumente und Einstellungen\TripleD\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {41C0EC14-0346-4E77-8402-8C85B86DCEC1} - C:\WINDOWS\System32\ekgnb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\CamDrvr\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C992C36B-8A98-4EEE-A107-450555911C2D}: NameServer = 62.27.27.62 62.27.53.66
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#40 Lies dich mal hier durch: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.AC

So fix bitte folgendes im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL (file missing)
O2 - BHO: (no name) - {41C0EC14-0346-4E77-8402-8C85B86DCEC1} - C:\WINDOWS\System32\ekgnb.dll (*)
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)

(*)= Datei bitte auch im abgesicherten Modus loeschen.
Dieses Verzeichniss loeschen: C:\PROGRA~1\PERFEC~1

Neu starten und hier durcharbeiten(Adaware hat ganz was an Updates uebers Wochenende herausgebracht):
http://www.rokop-security.de/main/article.php?sid=703
__________
MfG Ralf
SEO-Spam Hunter

#41 Ok, werd mich dann mal morgen an die Arbeit machen!!! Ist mein lieber Compi danach geheilt?? Und wie machst du das so schnell????
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#42 Das Thema mit agen.ac haben wir bis zum Erbrechen durch! Ich hatte schon voll die Panik, das das eine neue Variante sein koennte und alles von vorne los geht.

Ansonsten schau dir mal ein paar tausend Hijackthis logs an und es wiederholt sich sehr viel.
Das Ding ist zur Zeit sehr verbreitet:
C:\WINDOWS\System32\ekgnb.dll wird woh Trojan.startpage.is sein.

....und ja, dann sollte dein Rechner laut Hijackthis sauber sein. Wenn du die Tipps von dem Rokopartikel beherzigst, wird es auch so bleiben.
__________
MfG Ralf
SEO-Spam Hunter

#43 Hi!

Also bei mir hats Windows jetzt zerrissen. Kann nur noch mit abgesichert reinkommen. Ich schick euch mal mein HijackThis LOG

Logfile of HijackThis v1.97.7
Scan saved at 18:11:24, on 23.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\Explorer.EXE
D:\Programme\Trillian\trillian.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\Boulway\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINXP\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINXP\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DaemonUI] D:\Programme\DaemonUI\DaemonUI.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4FD5C0C-721C-4671-A680-8747910338B2}: NameServer = 192.168.0.1

#44 Hm, das Log sieht ganz gut aus, wann hat es dir denn dein Windows "zerrissen"? Schon mal mit Systemwiederherstellung versucht?
__________
MfG Ralf
SEO-Spam Hunter

#45 Hm, soweit gerade eben. (bin gerade erst nach hause gekommen)

Wenn ich normal boote bleibt er stehen oder hängt sich bei intigriäts suche der festplatte auf.

Denke auch das es ganz gut aussieht ists scheinbar aber nicht :-/ alle 30 mins kommt coolwebsearch wieder im adaware! ich versuch mal rechner neu zu starten nun...

Nachtrag: Alles nichts gebracht... bin wieder in abgesichtert. Vorschläge?