Immer wieder CoolWebSearch |
||
---|---|---|
#0
| ||
30.12.2003, 13:22
...neu hier
Beiträge: 4 |
||
|
||
30.12.2003, 13:48
...neu hier
Beiträge: 3 |
#2
hallo ich habe das selbe problem mit webcoolsearch.
habe xp clean antivir cws shredder und sogar HijackThis durchlaufen lassen. seid wann hast du das problem mit webcoolsearch??? |
|
|
||
30.12.2003, 14:16
Member
Beiträge: 27 |
#3
Hatte das gleiche Problem, das es wieder kam.
Schau mal welche Version du von CWShredder hast, mit der aktuellen Version 1.40.0 habe ich es weggekriegt. Diese Version erkannte die Variante im Speicher und fragt nach Neustart. Dies mit OK bestätigen. Nach dem Neustart, nochmals CWShredder ausführen, er findet unter umständen wieder diese 2 Pferdchen. Und entfernt Sie. Ad-aware und SDbot wenn vorhanden durchführen. Dann kannst du mal mit Hijackthis gucken, vielleicht klappt das auch mit dir. __________ MfG Mezcal |
|
|
||
30.12.2003, 19:23
...neu hier
Themenstarter Beiträge: 4 |
#4
Ich kämpfe bestimmt schon seit 2 Wochen dauernd mit dem Teil.
Der Tipp mit dem CWShredder 1.40.0 ist schon gut. Mein CWShredder war etwas älter. AdWare ist auch gleich drauf. Weitere Infos heute nacht, oder morgen. |
|
|
||
30.12.2003, 19:44
...neu hier
Beiträge: 3 |
#5
ich auch seit ca 2 wochen das nervt voll. ich habe gestern mit cws 1.40.0 gescannt ist immer noch da
|
|
|
||
30.12.2003, 20:04
Moderator
Beiträge: 7805 |
||
|
||
30.12.2003, 23:12
...neu hier
Beiträge: 3 |
#7
Logfile of HijackThis v1.97.7
Scan saved at 12:48:51, on 30.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\unvise16a.EXE C:\Programme\AOL 8.0\waol.exe C:\Programme\AOL 8.0\shellmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe C:\Programme\Free Surfer\FS20.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_director.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\programs\HijackThis.exe O4 - HKLM\..\Run: [unvise16a.exe] C:\WINDOWS\system32\unvise16a.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [unvise16a.exe] C:\WINDOWS\system32\unvise16a.EXE O9 - Extra button: ATI TV (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Free Surfer (HKLM) O9 - Extra 'Tools' menuitem: Free Surfer (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} - http://www.truedoc.com/activex/tdserver.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} - http://216.249.24.142/code/PWActiveXImgCtl.CAB O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} - http://www.dialer-shop.com/b035/celebrita-sexy.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37979.6811226852 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {C3FDA8CE-9414-4E33-AC6B-4922922259A5} - http://www.jambalala.com/movies2.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DBAE7000-01EC-4162-8FEB-8A27AC937CA0} - http://webpdp.gator.com/v3/download/hdplugin1014_hd3ptdmgainads.cab O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.125/EPlugin.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{491F6DF4-8AF0-486B-86E1-3DC179F80CD7}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{552B6102-CD61-4502-AB9B-C362696F85CB}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{DC8A03BB-ABA9-459B-93F2-A014C5669818}: NameServer = 195.93.71.134 da steht webcoolsearch zwar nicht drauf aber jedesmal beim start vom IE ist es wieder da. was kann davon alles weg. Dieser Beitrag wurde am 30.12.2003 um 23:13 Uhr von Draxus editiert.
|
|
|
||
30.12.2003, 23:28
Member
Beiträge: 133 |
#8
Das hier "fixen":
O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} - http://www.dialer-shop.com/b035/celebrita-sexy.cab und mal "spybot S&D" laufen lassen(google wird dich leiten) MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
31.12.2003, 01:18
...neu hier
Themenstarter Beiträge: 4 |
#9
Wie versprochen, mein Log:
Logfile of HijackThis v1.97.7 Scan saved at 01:12:46, on 31.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\System32\taskswitch.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Outlook Express\msimn.exe D:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe E:\Software-aktuell\SpyBot\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = xxx.x.xxx.xxx xxx.x.xxx.xxx O17 - HKLM\System\CS1\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = xxx.x.xxx.xxx xxx.x.xxx.xxx _________________________________________________________________ Frage am Rande: Windows XP SP1 (WinNT 5.01.2600) - ist das das SP1a? |
|
|
||
31.12.2003, 04:01
Member
Beiträge: 27 |
||
|
||
14.01.2004, 23:47
Member
Beiträge: 12 |
#11
ihr habt da was übersehn und zwar ist mir aufgefallen, das da
unvise16a.exe läuft! Wie bekommt man das weg.... ? C:\WINDOWS\system32\unvise16a.EXE Ich denke das ist der wirkliche Fehler bei Draxus!>>>und mir! MfG Alex |
|
|
||
15.01.2004, 09:38
Moderator
Beiträge: 7805 |
#12
Diese Datei C:\WINDOWS\system32\unvise16a.EXE mal hier testen:
http://www.kaspersky.com/remoteviruschk.html und sagen was passiert/ bei rauskommt. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.01.2004, 11:56
Member
Beiträge: 12 |
#13
Hab gestern noch bis um 2 gesessen und viele Datein gelöscht und die Registry mit TweakXP durchsucht und alle nichtbenutzten/veralteten Einträge gelöscht. Danach konnte ich das unvise16a.exe erfolgreich löschen.
Hätte aber gern mal gewusst ob es ein Virus oder Worm, Trojaner ist; und das Statement von Kaspersky gern gelesen... Vielleicht macht es ja mal Draxus: "Diese Datei C:\WINDOWS\system32\unvise16a.EXE mal hier testen: http://www.kaspersky.com/remoteviruschk.html und sagen was passiert/ bei rauskommt. --" ...von Raman Dank mfG Alex |
|
|
||
15.01.2004, 12:01
Member
Beiträge: 12 |
#14
Ach und nachdem ich den Prozess aus dem Startmenü beendet habe und mit Hijackthis die Einträge gelöscht habe + Tweak und anderes, dann konnte ich es löschen. MfG Alex
|
|
|
||
System: WinXP
Bisher gemacht:
Service-Pack 1a aufgespielt
CWShredder durchlaufen lassen
Spybot 1.2 ist gelaufen
HiJackThis ist auch gelaufen.
Log von CWShredder:
Removed from your system:
- CWS.Svchost32
- CWS.Tapicfg
Windows XP (5.01.2600 SP1)
Log vom HiJack:
Logfile of HijackThis v1.97.7
Scan saved at 13:09:36, on 30.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINDOWS\regedit.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = 212.6.108.140 212.6.108.141
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
Ich hoffe, mir kann da jemand die finale Info geben. Ich will diesen Scheiss endlich los sein.
Zum Glück hält sich der lokale Schaden in engen Grenzen, weil ich meine Favoriten eh öfter auslagere....