CoolWebSearch!! Ich kriegs nicht weg!!!

#76 dreiD

[RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
Dialer, oder Trojaner...die Infos sind verschieden. Aber wahrscheinlich doch nur ein Trojaner...


Fixe

O2 - BHO: (no name) - {3CE4727A-F792-4E0B-8096-932ADE135B5C} - C:\WINDOWS\System32\gobfha.dll (file missing)
O2 - BHO: (no name) - {A2570630-ECF2-BF6A-C8EA-509D56913F46} - C:\WINDOWS\ipea.dll (file missing)

neustarten

#Suche
C:\WINDOWS\ipea.dll
C:\WINDOWS\System32\gobfha.dll

benenne die dlls um in ...........<dl <statt <dll< und dann loesche .


#Lade CWHredder und scanne
http://www.majorgeeks.com/download4086.html


Tip
AVPersonal\AVGUARD.EXE sollte im Autostart, also unter 04 erscheinen.
Stelle den Antivirus bitte so ein.


Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#77 Hallo Sabina,

ähm, hast de das mit CWS mal probiert??(1.59.1)

#78 Hab ich...und vielen Dank fuer den Tip, denn auf der Merljin-Site war der Link tot.
MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#79 @hopeful

den ersten Hijacker den ich hatte, hat CWS 1.59.1 getötet, da hast Du Recht, aber meinen jetzigen hat er nicht erledigen können, er ist back!!! :-(

Da muss ich dir also wiedersprechen! Leider!!

@sabina

ipea und gobfha.dll find ich nicht auf meinem System,wobei ich sagen muss, dass ich heute die gobfha.dll schon manuell gelöscht hatte!!Allerdings hatte ich die dll so gelöscht, also ohne vorher umzubenennen!! Wäre das wichtig gewesen, das Umbenennen??? Geshreddert hatte ich auch, nur sind die Registry-Einträge wieder da!!

Ist AntiVir eigentlich besser,oder ist mein Panda Schrott??? Ich mag Panda eigentlich!!
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#80 hallo Leute

mein PC ist zwar von der Seuche befreit, dafür fehlt mir aber jetzt
die "notepad.exe" - kann mir bitte einer erklären wie ich die wieder
herstellen kann.

mfg
wuschl01

#81 dreiD

Poste bitte dein Log noch mal....mit der verstellten Startseite
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#82 wuschl01
du kannst mit der Cd von XP eine Reparatur machen, da wird Fehlendes ersetzt.
Google mal <unter <xp reparieren<....und fuehre es dann aus
........................................................................................................
oder lade es hier....versuch es mal, ich habe es noch nicht selbst ausprobiert.
http://www.spywareinfo.com/~merijn/winfiles.html

notepad.exe
Located in:
Windows 95: C:\WINDOWS
Windows 95/98/98SE/ME: C:\WINDOWS
Windows NT4/2000: C:\WINNT and C:\WINNT\System32
Windows XP: C:\WINDOWS and C:\WINDOWS\System32
Deleted by: CWS.Googlems.
Purpose: Notepad application executable, required to run it.
Symptoms: Error messages 'Cannot find file NOTEPAD.EXE' or 'NOTEPAD.EXE' is not a valid Win32 application'.


Windows 95: Download
Windows 98/98SE: Download
Windows ME: Download
Windows NT4: Download
Windows 2000: Download
Windows XP: Download



MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#83 So bitte schön Sabina!!!


Logfile of HijackThis v1.98.0
Scan saved at 18:40:40, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\CamDrvr\LVCOMS.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\TripleD\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.de
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\CamDrvr\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\JetCar.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C992C36B-8A98-4EEE-A107-450555911C2D}: NameServer = 62.27.27.62 62.27.53.66


Achso, nochwas: ist jetzt AntiVir besser als Panda? Und wieso steht da in der Taskleiste: AntiVir Guard inaktiv????
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#84 @dreiD

das Log ist sauber...die Startseite nicht verstellt....
Den Guard musst du im Menue vom Antivirus aktivieren.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#85 Meinst du Antivir bei Systemstart laden??? Wenn ja,gibts ein Problem! Ich aktiviere das Kästchen,klick auf ok,gehe wieder ins Konfigurationsmenü und siehe da: das Häckchen ist weg!! Wieso?
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#86 Ist denn unten rechts in der Taskleiste der #Regenschirm aufgespannt #????


Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#87 Nein,der Regenschirm ist zu! Was mach ich jetzt?
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#88 Deinstalliere den Antivirus, lade neu, lasse alles durchlaufen und wenn er dann nach dem Installscann auf dem Comp. ist, gehst du in <Optionen<
Dort kann man den Guard aktivieren.
http://www.free-av.de/
....oder du versuchst es ohne Neuinstallation gleich, den Guard zu aktivieren....wenn es funktioniert
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#89 So,hab Neuinstalliert,automatischen Scan durchlaufen lassen, bin ins Konfigurationsmenü unter Optionen gegangen und das Häckchen bei Guard beim Systemstart laden gemacht, nur ändern tut sich wieder nicht und der guard bleibt inaktiv! Liebe Sabina, bin mit meinem Latein am Ende!
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#90 Wenn du das Haeckchen beim Guard gemacht hast, oeffne noch einmal das Menue, da gibt es eine Option <Save Settings<

Klappt es nun ?
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit