(Wieder mal?) Coolwebsearch nicht zu entfernen - oder andere Malware?

#1 Ich habe mir gestern Coolwebsearch gefangen und bekomme es seit dem nicht mehr vom Rechner.

Mit CWShredder, Ad-Aware und Spybot - Search & Destroy bin ich schon diverse male über das System gefegt - auch im abgesicherten Modus. Systemwiederherstellung wurde vorübergehend deaktiviert.

Die Such-Startseite von CWS bin ich zwar los, aber ein Rest von dem (zensiert) Ding ist einfach nicht weg zu bekommen. Jedesmal, wenn ich den IE starte (ich benutze ihn so wenig wie möglich, leider ist er aber für ein paar Seiten notwendig), kommt aber nach dem Reinigen mit Ad-Aware eine MSN Startseite und Ad-Aware findet danach wieder zwei Infektionen, die zuvor beseitigt wurden.

CWShredder findet mittlerweile nichts mehr und hält mein System für sauber.

Vielleicht hat das File auch nichts mit Coolwebsearch zu tun, sondern ist ein anderer Schädling, der sich ebenfalls wieder installiert. Das würde zumindest erklären, warum CWShredder nichts findet.

Ich habe einige Anleitungen hier versucht, bin aber nicht wirklich weiter gekommen.

Die Adresse, die bei jedem Neustart des IE nach dem Entfernen der Files mit Ad-Aware kommt ist folgender:

http://www(punkt)microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home

Ich habe den Punkt nach www ersetzt, damit niemand auf die Idee kommt, das anzuklicken.

Nachdem der IE diese Startseite öffnet (oder es auch nur versucht), meldet Ad-Aware folgende Infektionen, die zuvor bereits damit entfernt wurden, erneut:

Vendor:Possible Browser Hijack attempt
Category:Data Miner
Object Type:RegData
Location:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")
Comment:Possible browser hijack attempt
Description:Possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.

Vendor:Tracking Cookie
Category:Data Miner
Object Type:File
Size:327 Bytes
Location:c:\...\cookies\xxx@as1.falkag[2].txt
Comment:
Description:This cookie is known to collect information that may be used either for targeted advertising, or tracking users across a particular website, such as page views or ad click-thrus.

-------------------

Hier das HiJack Log bevor der IE gestartet wurde:

Logfile of HijackThis v1.97.7
Scan saved at 03:54:49, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\DVD\DVD Region Killer\RegKillTray.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Norton AntiVirus 2004\navapsvc.exe
C:\Programme\Norton AntiVirus 2004\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus 2004\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVM\Fritz 3.03\IWatch.exe
C:\Programme\T-Clock 229b\TClock.exe
C:\Programme\ZoneAlarm\zonealarm.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\myself\Desktop\hijackthis1977\HijackThis.exe

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus 2004\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus 2004\NavShExt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [RegKillTray] "C:\Programme\DVD\DVD Region Killer\RegKillTray.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\AVM\Fritz 3.03\IWatch.exe
O4 - Global Startup: Verknüpfung mit TClock.lnk = C:\Programme\T-Clock 229b\TClock.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37899.4745717593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B635D7ED-8980-43C0-9FA3-4D235817688B}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lan.fli4l
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lan.fli4l

-----------------------------

Und hier nochmal nachdem der IE gestartet wurde und die MSN Seite aufrief:

Logfile of HijackThis v1.97.7
Scan saved at 04:13:15, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\DVD\DVD Region Killer\RegKillTray.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Norton AntiVirus 2004\navapsvc.exe
C:\Programme\Norton AntiVirus 2004\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus 2004\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVM\Fritz 3.03\IWatch.exe
C:\Programme\T-Clock 229b\TClock.exe
C:\Programme\ZoneAlarm\zonealarm.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\myself\Desktop\hijackthis1977\HijackThis.exe

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus 2004\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus 2004\NavShExt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [RegKillTray] "C:\Programme\DVD\DVD Region Killer\RegKillTray.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\AVM\Fritz 3.03\IWatch.exe
O4 - Global Startup: Verknüpfung mit TClock.lnk = C:\Programme\T-Clock 229b\TClock.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37899.4745717593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B635D7ED-8980-43C0-9FA3-4D235817688B}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lan.fli4l
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lan.fli4l

--------------------------

Wäre toll, wenn mir jemand helfen könnte. Ich möchte den Rechner nur ungern neu installieren.

Falls es doch nötig sein sollte, reicht es, die Systempartition neu zu installieren, oder könnten auch andere Laufwerke betroffen sein? Alle Programme außer Games sind auf der Systempartition installiert.

#2 1. Deaktiviere die Wiederherstellung..kannst du nach der Reinigung wieder aktivieren

2.Reinigen vom IE
Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.
Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben.
Klicken Sie auf OK.

3.Loesche auch die Cookies unter InternetOptionen

4.Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken und scanne dort mit AdAware, CWShredder und Sphjfix .exe
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

................................................................................................................
5.normal neustarten
6. Lade SpyHunter
http://www.spy-bot.net/manual.asp
7. lade mwav.exe , scanne und poste, ob das Tool was gefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp
8. Lade dieses Tool und poste, welche BHO angezeigt werden.
9. Stelle eine neue Startseite unter InternetOptionen ein ein und poste das Log noch einmal

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @Harry_W

Zitat

Die Adresse, die bei jedem Neustart des IE nach dem Entfernen der Files mit Ad-Aware kommt ist folgender:

www(punkt)microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home

Nachdem der IE diese Startseite öffnet (oder es auch nur versucht), meldet Ad-Aware folgende Infektionen, die zuvor bereits damit entfernt wurden, erneut:

Vendor : Possible Browser Hijack attempt
Category : Data Miner
Object Type : RegData
Location:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")
Comment : Possible browser hijack attempt
Description : Possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.

Vendor : Tracking Cookie
Categoryata Miner
Object Type:File
Size:327 Bytes
Location:c:\...\cookies\xxx@as1.falkag[2].txt
Comment:

Leider spuckt Ad-Aware die about:blank als "Possible Browser Hijack attempt" aus. Dies ist nur da es mal einen HiJacker gab der dies machte.
Wenn du jetzt die About:Blank mit AdAware entfernst , findet Windows keine Startseite und trägt sozusagen seine ab Werk eingetragenen ein. Das ist die
"http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home"
Einfach diesen Possible HiJack attempt ignorieren Possible=möglicherweise

Den "tracking Cookie" fängst du dir durch surfen ein. Das ist leider so und kann nicht vermieden werden es sei den du stellst den Browser auf "No Cookies".
Dann macht das surfen ab keinen Spass mehr.
Diese Cookies sind nicht gefährlich. Sie sammeln nur Infos für den Betreiber der Seite. Data Miner ~ Datensammler

Würde mir keine ersnthaften Sorgen machen
Dein log sieht auch sauber aus.

Aber die mwav.exe , wie Sabina sagt, laufenzulassen ist nie ein Fehler vielleicht entdeckt SIe was!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4 Ich hatte immer about:blank als Startseite im IE eingetragen und Ad-Aware hat nie darüber gemeckert. Das macht er erst, seit ich Coolwebsearch drauf hatte. Und der Cookie müsste dann direkt von der MS Seite stammen, die sich als Startseite einträgt, denn der Scan erfolgte mit gesäuberten Cookies gleich nachdem die MS Startseite geladen war.

Mit mwav.exe habe ich schon gescannt, hat einiges gefunden und entfernt - vor allem die Quarantaine Files vom NAV. *gg*

Ich werde mal Sabina's Anleitung folgen und sehen, was rauskommt.

Danke schonmal!

#5 Das mit der about:blank kommt wurde bei einem Update von AdAware aufgenommen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Bleibt die Frage woher der Tracking Cookie stammt. Denn der wurde auch wie gesagt beim Aufruf der MS Startseite installiert. Ist der von MS selbst?

#7

Zitat

Harry_W postete
Bleibt die Frage woher der Tracking Cookie stammt. Denn der wurde auch wie gesagt beim Aufruf der MS Startseite installiert. Ist der von MS selbst?

Ja, der kann von allen möglichen Wesites kommen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware