Coolwebsearch / Trojanische Pferd TR / Densmail.1 entfernen?

#16 Das sind Einschraenkungen(Regeln) , die ein Administrator machen kann, damit ein User nicht alles durcheinander bringt. Nur macht das einige Malware auch so. Sprich du kannst einstellen, das bestimmte user nicht die Startseite aendern koennen oder nicht mehr in die Systemsteuerung kommen kann.

Solche Einschraenkungen sind auf "normalen" Rechnern eher ungewoehnlich.
__________
MfG Ralf
SEO-Spam Hunter

#17 hallo raman und arynsun,
danke das ihr mir helfen wollt.ich habe das problem immer noch.

StartupList report, 25.01.2004, 02:35:49
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

nForce Tray Options = sstray.exe /r
ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
AVGCtrl = D:\Programme\AVPersonal\AVGNT.EXE /min
WinampAgent = D:\Programme\Winamp\winampa.exe

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=cpan.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.488 bytes
Report generated in 0,015 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only




soll ich alles löschen?

#18 Nix! HAt CWshredder nichts gefunden?

BTW: Auf welche Seite wurde denn verlinkt? Und um eine erneute Infektion zu verhindern, muss du dein Windows updaten.
__________
MfG Ralf
SEO-Spam Hunter

#19 also ich werde auf die seite http://aifind.info/ verlinkt.cwsshredder removed cws.svchost32,cws.smartsearch,cws.yexe und restoring internet pages: 5.mein antivir meldet "Datei C:\windows\hh.htt:
Enthält Signatur des HTML-Scriptvirus HTML/Startpage.B!"
mein windows habe ich schon mit folgenden updates aufgepeppelt: KB823182,KB823980,KB824105,KB824141,KB824146,KB825119,KB826939,KB828035.ich werde mal noch schauen was ich mir noch von microsoft laden kann.


gruß;Mr.H

#20 Mache das am besten via www.windowsupdate.com aktuellste CWS Version war bis vor einer Stunde 146.6.
__________
MfG Ralf
SEO-Spam Hunter

#21 yuhuuuuuuuuuu!!!!!!!!!!!!!!!!!!!!!!!!!

ich glaube er ist weg!!!


ich habe viele,viele.......viele windows updates installiert, puhhh

dann habe ich doch "bis vor einer stunde 146.6" gelesen,und habe doch mein cwsshredder mal geupdatet(weil gestern war er noch aktuell).und er sagte mir das ein cws(****) sich im memory befindet(oder so ähnlich ).dann ging es schnell gefixt ,neugestartet,gefixt und wech......

also noch dreimal DANKE,DANKE,DANKE für deine hilfe


gruß,Mr.H

#22 Super, das es geklappt hat, obwohl ich diesen CWshredder gerne gehabt haette. Aber du wirst wohl keinen mehr bekommen, da du, durch die Updates, dagegen geschuetzt bist.
__________
MfG Ralf
SEO-Spam Hunter

#23 schade raman das ich dir nicht mit meinem trojaner helfen konnte.
ich nutze jetzt spywareblaster um mich vor solchen angriffen zu schützen.

aber wieso wolltest du diesen trojaner denn haben?wenn ich fragen darf,programmierst du gegen viren(etc.) programme?
naja, aber wenn ich mal wieder was fremdes auf meinem rechner haben sollte,dann denke ich an dich...

aber jetzt habe ich auch endlich mal zeit dieses/eures board genauer zu studieren.scheint mir zu gefallen.


gruß

#24 Rokop verschickt solche Malware an diverse Av-Hersteller, damit sie diese in ihrer Datenbank einpflegen und wenn die Programme sowas finden, braucht man hier erst gar nicht nach einer Loesung suchen!
__________
MfG Ralf
SEO-Spam Hunter