Immer wieder CoolWebSearch

#0
30.12.2003, 13:22
...neu hier

Beiträge: 4
#1 Ich kämpfe hier seit Wochen gegen den blöden Trojaner, der sich wohl per MS-Virtual-Machine hier eingeschlichen hat.

System: WinXP

Bisher gemacht:
Service-Pack 1a aufgespielt
CWShredder durchlaufen lassen
Spybot 1.2 ist gelaufen
HiJackThis ist auch gelaufen.

Log von CWShredder:

Removed from your system:
- CWS.Svchost32
- CWS.Tapicfg

Windows XP (5.01.2600 SP1)

Log vom HiJack:

Logfile of HijackThis v1.97.7
Scan saved at 13:09:36, on 30.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINDOWS\regedit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = 212.6.108.140 212.6.108.141
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Ich hoffe, mir kann da jemand die finale Info geben. Ich will diesen Scheiss endlich los sein.

Zum Glück hält sich der lokale Schaden in engen Grenzen, weil ich meine Favoriten eh öfter auslagere....
Seitenanfang Seitenende
30.12.2003, 13:48
...neu hier

Beiträge: 3
#2 hallo ich habe das selbe problem mit webcoolsearch.
habe xp clean
antivir
cws shredder
und sogar
HijackThis
durchlaufen lassen.

seid wann hast du das problem mit webcoolsearch???
Seitenanfang Seitenende
30.12.2003, 14:16
Member

Beiträge: 27
#3 Hatte das gleiche Problem, das es wieder kam.

Schau mal welche Version du von CWShredder hast, mit der aktuellen Version 1.40.0 habe ich es weggekriegt. Diese Version erkannte die Variante im Speicher und fragt nach Neustart. Dies mit OK bestätigen. Nach dem Neustart, nochmals CWShredder ausführen, er findet unter umständen wieder diese 2 Pferdchen. Und entfernt Sie. Ad-aware und SDbot wenn vorhanden durchführen. Dann kannst du mal mit Hijackthis gucken, vielleicht klappt das auch mit dir. ;)
__________
MfG Mezcal
Seitenanfang Seitenende
30.12.2003, 19:23
...neu hier

Themenstarter

Beiträge: 4
#4 Ich kämpfe bestimmt schon seit 2 Wochen dauernd mit dem Teil.

Der Tipp mit dem CWShredder 1.40.0 ist schon gut. Mein CWShredder war etwas älter.

AdWare ist auch gleich drauf. Weitere Infos heute nacht, oder morgen.
Seitenanfang Seitenende
30.12.2003, 19:44
...neu hier

Beiträge: 3
#5 ich auch seit ca 2 wochen das nervt voll. ich habe gestern mit cws 1.40.0 gescannt ist immer noch da
Seitenanfang Seitenende
30.12.2003, 20:04
Moderator

Beiträge: 7805
#6 Poste dein Log einfach mal.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.12.2003, 23:12
...neu hier

Beiträge: 3
#7 Logfile of HijackThis v1.97.7
Scan saved at 12:48:51, on 30.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\unvise16a.EXE
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe
C:\Programme\Free Surfer\FS20.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_director.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\programs\HijackThis.exe

O4 - HKLM\..\Run: [unvise16a.exe] C:\WINDOWS\system32\unvise16a.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [unvise16a.exe] C:\WINDOWS\system32\unvise16a.EXE
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} - http://www.dialer-shop.com/b035/celebrita-sexy.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37979.6811226852
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C3FDA8CE-9414-4E33-AC6B-4922922259A5} - http://www.jambalala.com/movies2.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DBAE7000-01EC-4162-8FEB-8A27AC937CA0} - http://webpdp.gator.com/v3/download/hdplugin1014_hd3ptdmgainads.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.125/EPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{491F6DF4-8AF0-486B-86E1-3DC179F80CD7}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{552B6102-CD61-4502-AB9B-C362696F85CB}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC8A03BB-ABA9-459B-93F2-A014C5669818}: NameServer = 195.93.71.134

da steht webcoolsearch zwar nicht drauf aber jedesmal beim start vom IE ist es wieder da.
was kann davon alles weg.
Dieser Beitrag wurde am 30.12.2003 um 23:13 Uhr von Draxus editiert.
Seitenanfang Seitenende
30.12.2003, 23:28
Member

Beiträge: 133
#8 Das hier "fixen":

O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} - http://www.dialer-shop.com/b035/celebrita-sexy.cab
und mal "spybot S&D" laufen lassen(google wird dich leiten)

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
31.12.2003, 01:18
...neu hier

Themenstarter

Beiträge: 4
#9 Wie versprochen, mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 01:12:46, on 31.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Outlook Express\msimn.exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Software-aktuell\SpyBot\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = xxx.x.xxx.xxx xxx.x.xxx.xxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{41979313-9F9D-4DE7-AD2D-9269A2660AF3}: NameServer = xxx.x.xxx.xxx xxx.x.xxx.xxx

_________________________________________________________________

Frage am Rande: Windows XP SP1 (WinNT 5.01.2600) - ist das das SP1a?
Seitenanfang Seitenende
31.12.2003, 04:01
Member

Beiträge: 27
#10 ;) Ja Minii, sieht gut aus. Scheint jetzt alles Tip Top zu sein. ;)
__________
MfG Mezcal
Seitenanfang Seitenende
14.01.2004, 23:47
Member

Beiträge: 12
#11 ihr habt da was übersehn und zwar ist mir aufgefallen, das da

unvise16a.exe läuft!

Wie bekommt man das weg.... ?
C:\WINDOWS\system32\unvise16a.EXE

Ich denke das ist der wirkliche Fehler bei Draxus!>>>und mir!

MfG Alex
Seitenanfang Seitenende
15.01.2004, 09:38
Moderator

Beiträge: 7805
#12 Diese Datei C:\WINDOWS\system32\unvise16a.EXE mal hier testen:
http://www.kaspersky.com/remoteviruschk.html und sagen was passiert/ bei rauskommt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.01.2004, 11:56
Member

Beiträge: 12
#13 Hab gestern noch bis um 2 gesessen und viele Datein gelöscht und die Registry mit TweakXP durchsucht und alle nichtbenutzten/veralteten Einträge gelöscht. Danach konnte ich das unvise16a.exe erfolgreich löschen.

Hätte aber gern mal gewusst ob es ein Virus oder Worm, Trojaner ist; und das Statement von Kaspersky gern gelesen...

Vielleicht macht es ja mal Draxus: "Diese Datei C:\WINDOWS\system32\unvise16a.EXE mal hier testen:
http://www.kaspersky.com/remoteviruschk.html und sagen was passiert/ bei rauskommt.
--"
...von Raman

Dank mfG Alex
Seitenanfang Seitenende
15.01.2004, 12:01
Member

Beiträge: 12
#14 Ach und nachdem ich den Prozess aus dem Startmenü beendet habe und mit Hijackthis die Einträge gelöscht habe + Tweak und anderes, dann konnte ich es löschen. MfG Alex
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: