CWS.XPlugin wird erkannt, stellt sich wiederher, bin ratlos

#1 Hi,
Spybot SD erkennt bei mir CWS.XPlugin und ich kanns auch beheben, aber nach einem Neustart des Systems erkennt Spybot es wieder. Sprich: es stellt sich wiederher. Hab Ad-aware laufen lassen, es erkennt dieses CWS nicht. Hab mich umgehört, CWS-Shredder laufen lassen - not present, gar nichts.

Ausserdem, kann ich nicht verstehen, wie Cookies einfach so auftauchen können, wenn ich noch keine Seite angesurft habe (davor alle entfernt).
Ad-Aware findet immer Tracing-Cookies, egal ob ich gesurft habe oder nicht.

Spyware Doctor sagt auch noch "Host file location redirect". Klingt nich gut, weiß aber gar nicht, was das sein könnte.

Wäre sehr froh, wenn mir jemand helfen könnte.
Mfg Jimmy

#2 Jimmeh

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

4.
Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo, nun die Daten...

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC7B-26FE

Verzeichnis von C:\WINDOWS\system32

21.04.2006 16:39 43.245 kspydoc.log
21.04.2006 16:39 0 Sweeper.cfg
20.04.2006 17:53 2.206 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 14:45 87.602 perfc009.dat
26.03.2006 14:45 465.602 perfh009.dat
26.03.2006 14:45 480.008 perfh007.dat
26.03.2006 14:45 100.254 perfc007.dat
26.03.2006 14:45 1.149.872 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
14.02.2006 17:22 276.560 FNTCACHE.DAT
05.02.2006 19:02 43.520 CmdLineExt03.dll
05.02.2006 18:40 47.104 KMVIDC32.DLL
18.01.2006 14:05 57.344 avsda.dll
14.01.2006 01:00 73.728 edittextboxa.ocx
14.01.2006 01:00 135.168 edittextbox.ocx
04.01.2006 05:35 68.096 webclnt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC7B-26FE

Verzeichnis von C:\DOKUME~1\DMITRY~1\LOKALE~1\Temp

21.04.2006 17:27 4 PMShared
21.04.2006 17:26 222 jusched.log
2 Datei(en) 226 Bytes
0 Verzeichnis(se), 100.559.847.424 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC7B-26FE

Verzeichnis von C:\WINDOWS

21.04.2006 17:27 695 win.ini
21.04.2006 16:45 1.863.612 WindowsUpdate.log
21.04.2006 16:39 2.048 bootstat.dat
20.04.2006 21:46 32.622 SchedLgU.Txt
15.04.2006 15:32 54.156 QTFont.qfn
18.03.2006 22:27 53.248 ipuninst.exe
15.03.2006 16:21 1.409 QTFont.for
13.02.2006 19:03 544 ODBC.INI
13.02.2006 18:43 63 vbaddin.ini
13.02.2006 18:21 32 CD_Start.INI
06.02.2006 20:15 69.632 uinst001.exe
31.01.2006 17:53 249.856 Setup1.exe
31.01.2006 17:53 73.216 ST6UNST.EXE


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC7B-26FE

Verzeichnis von C:\

21.04.2006 17:33 0 sys.txt
21.04.2006 17:32 4.445 system.txt
21.04.2006 17:31 342 systemtemp.txt
21.04.2006 17:30 101.275 system32.txt
21.04.2006 16:39 1.610.612.736 pagefile.sys
22.03.2006 21:29 41.867 hpfr3740.log
23.09.2005 18:33 211 boot.ini


10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC7B-26FE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

29.05.2003 16:00 160.864 messengerstatsclient.dll
29.05.2003 16:00 84.064 minesweeper.dll
02.12.2005 11:55 5.101 swflash.inf
3 Datei(en) 250.029 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 250.029 Bytes
0 Verzeichnis(se), 100.559.831.040 Bytes frei

Hijackthis log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:44:42, on 21.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Dmitry Fedorenko\Eigene Dateien\Tools\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

So das wars, denke ich. Nun bitte ich um eine Antwort.

#4 Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

mache bitte zwei Onlinescans , einen mit panda und einen mit bitdefender ScanOnline neu
und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Habe einen vollstandigen Systemscan mit Panda durchführen lassen. Es wurde nichts gefunden. Bitdefender will irgendwie nicht, ich akzeptiere die Nutzerbedingungen, aber es passiert nichts weiter. hmm?

#6 poste bitte den scanreport vom Spybot, damit ich sehen kann, wo die malware steckt.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Es erscheint immer wieder der Eintrag:

Code storage database
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}

Spyware Doctor zeigt mir gar keinen Pfad, sagt nur "multiple".

Ich hab auch festgestellt, dass es auch ein Verzeichnis gegeben hat.

C:\WINDOWS\nsdb es wurde aber schon viel früher entfernt, gehörte aber laut Spybot dazu

Dabei war auch ein Registry-Key unter HKEY-USERS\S-1-5-21-1715567821-1563985344-682003330-1005\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ProxyOverride

wurde auch entfernt. Es wird eben nur der eintrag unter HKEY_LOCAL_MACHINE immer wierder erkannt und entfernt. Er kommt aber wieder...

Vielen Dank schon mal für die Hilfe. Mit dem Hoster hat es super geklappt.

#8 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}]

Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen,
--------------------
dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Ja, der Eintrag wird daraufhin entfernt, aber er kommt wieder. Spybot entfernt ihn ja auch und ich habs auch schon versucht. Aber nach einem Neustart trägt er sich wieder ein. Hmm.

#10 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{14A3221B-1678-1982-A355-7263B1281987}

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Die Suche hat leider nichts ergeben. Woher lädt er sich nur...

#12 das muss am Spybot liegen, habe ich mir schon gedacht. Irgendwie musst du einstellen koennen, dass die Meldung ignoriert wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Inwiefern? Und was ist das für ein Eintrag in der Registry?

#14 der Eintrag ist offiziell nicht mehr in der Registry vorhanden, oder du suchst ihn, bevor SpyBot ihn wieder wegklickt und zeigst mir, dass es ihn wirklich gibt.
(mit regsearch)

{14A3221B-1678-1982-A355-7263B1281987}
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Da ist er :

Zitat

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 23.04.2006 12:51:08 for strings:
; '{14a3221b-1678-1982-a355-7263b1281987}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}\Contains]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}\InstalledVersion]

; End Of The Log...