Coolwebsearch / Trojanische Pferd TR / Densmail.1 entfernen?

#1 Hallo ihr Profis,
habe mir in letzter Zeit diverse Trojaner eingefangen, die ich bisher nur teilweise wieder eliminieren konnte. Zur Zeit startet der Internet Explorer immer ungewollt mit einer sich selbst ladenden Startseite „www.coolsearch.com“. Außerdem löschen sich immer wieder selbständig Dateien in den „temporary internet files“. Ich habe schon mehrfach verschiedene Einträge in der registry gelöscht, aber offenbar nicht durchgreifend. Das AVP meldet seit dem letzten update, dass die Datei „msfind.exe“ im Laufwerk C das „Trojanische Pferd TR/Densmail.1“ sei; ist das so und kann ich diese exe einfach löschen? Ich finde bei google dazu keine aussagekräftigen Infos. Anbei ein aktuelles hijack-this-logfile. Was soll ich alles löschen? Sicher einigen Schrott unter R0 und R1 und einiges von 016-DPF, aber was genau? Und was ist mit dem „09 - Extra button:EROTIC“ ?
Für eure Hilfe herzlichen Dank!

Logfile of HijackThis v1.97.7
Scan saved at 19:11:07, on 10.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WIRELESS 4D MOUSE\4DMAIN.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\DATA BECKER\POWERTOOLS\BT2000.EXE
C:\PROGRAMME\SMART ONLINECONTROLLER\SOC.EXE
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\IDOSWIN FREE\IDOSWIN32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
D:\SHARE- UND FREEWARE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.rack.cc/s.php?aid=227
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://t.rack.cc/s.php?aid=227
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.rack.cc/h.php?aid=227
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.rack.cc/s.php?aid=227
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://search.unipages.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.rack.cc/h.php?aid=227
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.rack.cc/s.php?aid=227
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://t.rack.cc/s.php?aid=227
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.rack.cc/s.php?aid=227
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:4002/proxy.pac
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://t.rack.cc/h.php?aid=227
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Wireless 4D Mouse\4DMAIN.EXE -startup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP3\\winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [BeckerTOOLS 2000] C:\PROGRAMME\DATA BECKER\POWERTOOLS\BT2000.EXE /TNAOnly
O4 - HKCU\..\Run: [Smart OnlineController] "C:\PROGRAMME\SMART ONLINECONTROLLER\SOC.EXE" "/minimized"
O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: EROTIC (HKLM)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: www.protecus.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {1678F7E1-C422-11D0-AD7D-00400515CAAA} - http://files.cometsystems.com/cometcursor/21_cometzone/comet.cab
O16 - DPF: {8D37126F-C08C-11D4-A248-005056BF3741} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://www.accessplugin.com/diallerfiles/025389.exe
O16 - DPF: {C7D7D67A-7B5D-4A5D-AAC9-3D1BAD8DF22A} (Load Class) - http://www.0190-dialer.com/VLoad.cab
O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987531} - http://www.dialercenter.com/001/cabs/live-s-e-x.cab
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://usa-download.nocreditcard.com/download/Object/ieaccess2.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37870.2820486111
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {B09B1D8B-88D6-4C91-BB62-378625E8C73E} ({B09B1D8B-88D6-4C91-BB62-378625E8C73E}) - http://216.127.94.241/PremiumConnectLoad.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://62.4.83.182/rapidspark.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing)
O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing) (HKLM)

#2 benutz mal den Shredder: http://www.merijn.org/files/CWShredder.exe
der räumt erst mal aus
das wäre auch noch interesant für dich:Adaware (www.lavasoft.de) und SpybotSD(security.kolla.de)

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#3 Hallo aryn,
danke für deine Tipps. Ich habe noch gestern Abend den CWShredder beutzt. Der hat ein paar Sachen eliminiert, aber das Problem mit der Trojaner-Meldung in der msfind.exe besteht weiterhin. Außerdem gibt es laut logfile meines Erachtens noch einiges auszumisten, besonders bei 016-DPF, oder? Das Programm adaware hebe ich zwar schon länger auf meinem Rechner und auch ein paarmal damit den Rechner gecheckt, aber nie was gelöscht, weil ich mir da unsicher bin. Gestern Abend brachte die Systemprüfung von adaware folgendes Ergebnis:125 Objekte identifiziert; 75 Reg.Schlüssel, 9 Reg.Daten, 39 Dateien, 2 Verzeichnisse identifiziert. Ich muss doch aber jetzt nicht alle 125 Objekte löschen, oder? Ich denke, dass da doch nicht nur schädliche Objekte sind, sondern auch nützliche/erforderliche? Hier wäre ich für euren Expertenrat sehr dankbar!

Hier noch das neue hijack-this-logfile

Logfile of HijackThis v1.97.7
Scan saved at 21:57:58, on 12.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WIRELESS 4D MOUSE\4DMAIN.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\DATA BECKER\POWERTOOLS\BT2000.EXE
C:\PROGRAMME\SMART ONLINECONTROLLER\SOC.EXE
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\PROGRAMME\IDOSWIN FREE\IDOSWIN32.EXE
D:\SHARE- UND FREEWARE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:4002/proxy.pac
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Wireless 4D Mouse\4DMAIN.EXE -startup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP3\\winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [BeckerTOOLS 2000] C:\PROGRAMME\DATA BECKER\POWERTOOLS\BT2000.EXE /TNAOnly
O4 - HKCU\..\Run: [Smart OnlineController] "C:\PROGRAMME\SMART ONLINECONTROLLER\SOC.EXE" "/minimized"
O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: EROTIC (HKLM)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: www.protecus.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {1678F7E1-C422-11D0-AD7D-00400515CAAA} - http://files.cometsystems.com/cometcursor/21_cometzone/comet.cab
O16 - DPF: {8D37126F-C08C-11D4-A248-005056BF3741} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://www.accessplugin.com/diallerfiles/025389.exe
O16 - DPF: {C7D7D67A-7B5D-4A5D-AAC9-3D1BAD8DF22A} (Load Class) - http://www.0190-dialer.com/VLoad.cab
O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987531} - http://www.dialercenter.com/001/cabs/live-s-e-x.cab
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://usa-download.nocreditcard.com/download/Object/ieaccess2.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37870.2820486111
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {B09B1D8B-88D6-4C91-BB62-378625E8C73E} ({B09B1D8B-88D6-4C91-BB62-378625E8C73E}) - http://216.127.94.241/PremiumConnectLoad.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://62.4.83.182/rapidspark.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

freundlich grüßt
der geometer

#4 möglich das Werbefinanzierte Programme nach adaware nicht mehr funk.,aber es hat eine Quarantine funktion, du kannst also,sollte etwas nicht mehr funk. wieder rückgängig machen!
Wichtig: adaware und auch spybotS&D! immer schön updaten, das gilt auch für dein windows!!!

dann nochmal ein aktuelles log

zu deinem Trojaner kann ich leider auch nichts brauchbares finden

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#5 Hallo Geometer,

also... wo schon Dialer drinsteht, ist wohl auch davon auszugehen, dass Dialer dahintersteckt*grins*.
Würde die Dinger an Deiner Stelle fixen... vorsichtshalber aber vielleicht mal Member "Raman" fragen.

Für den Fall, dass Du Windows XP nutzt, könnte ich Dir noch den Tip mit dem Programm "XP-Clean" geben, dass ziemlich nett aufräumt und nicht nur von lästigen Temps und Cookies befreit.
Bezüglich deiner infizierten Datein, verweise ich nochmals auf Raman.

Gruss,

Hawke;-)

#6 Hallo aryn und Hawke,

vielen Dank für eure Unterstützung. Ich habe gestern den Abend damit verbracht, mit adaware und spybot aus den identifizierten 125 Objekten diejenigen zu eliminieren, die meiner Einschätzung nach "böse" sein dürften; es waren immerhin 65 Objekte. Jetzt sieht das hijack-this-logfile schon erheblich besser aus:

Logfile of HijackThis v1.97.7
Scan saved at 20:01:01, on 14.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WIRELESS 4D MOUSE\4DMAIN.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\DATA BECKER\POWERTOOLS\BT2000.EXE
C:\PROGRAMME\SMART ONLINECONTROLLER\SOC.EXE
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\IDOSWIN FREE\IDOSWIN32.EXE
D:\SHARE- UND FREEWARE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:4002/proxy.pac
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Wireless 4D Mouse\4DMAIN.EXE -startup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP3\\winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [BeckerTOOLS 2000] C:\PROGRAMME\DATA BECKER\POWERTOOLS\BT2000.EXE /TNAOnly
O4 - HKCU\..\Run: [Smart OnlineController] "C:\PROGRAMME\SMART ONLINECONTROLLER\SOC.EXE" "/minimized"
O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: EROTIC (HKLM)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: www.protecus.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {1678F7E1-C422-11D0-AD7D-00400515CAAA} - http://files.cometsystems.com/cometcursor/21_cometzone/comet.cab
O16 - DPF: {8D37126F-C08C-11D4-A248-005056BF3741} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37870.2820486111
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab


Zumindest folgende Einträge sind für mich noch fragwürdig:

O9 - Extra button: EROTIC (HKLM)
O16 - DPF: {8D37126F-C08C-11D4-A248-005056BF3741} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB

Wie seht ihr das? Soll ich sie "fixen" oder was? Und Hawke, was deinen Verweis auf Raman betrifft: ich freue mich auf jede Hilfe und es wäre sicher hilfreich, wenn auch Raman seine Meinung kund täte, aber wie kann ich das beeinflussen?
Ich habe übrigens gestern auch die "msfind.exe" entfernt, weil das Antivirenprogramm mir ständig den Bildschirm mit der Trojanermeldung blockiert hat. Bis jetzt habe ich noch keine negativen Folgen gemerkt.

Das wär's erst mal, über eure Antworten freut sich grüßend

der Geometer

#7 Hi Geometer,

nu, für mich schaut das nun schon mal recht ordentlich bei Dir aus. Natürlich bis auf die, die Dir selber schon fragwürdig erscheinen.

Da ich aber selber nicht der Spezie bin und hier lediglich ebeneso Hilfe gesucht... und gefunden habe... kam eben gestern von mir der Hinweis auf Raman.

Wenn Du einfach ganz oben mal auf "Viren, Trojaner & Malware Forum" klickst, kommst auf den Index, zur ganzen Problematik und da wirst Du den Namen von Raman sicherlich schon einige Male aufleuchten sehen.

War aber eben schon mal so frei, ihm eine kleine Message zu schicken und hab ich gebeten, doch mal hier rein zu schauen und sich Deiner anzunehmen.
Also wartest Du entweder ein Weilchen, oder Du tickerst ihn selber schon mal an.

Lieben Gruss,

Hawke;-)

#8 also wenn dir dieses Progr. nichts sagt, kann es raus:
F1 - win.ini: run=hpfsched

hierüber bin ich mir nicht ganz im klaren?! Mal abwarten:
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
Ne, ist wohl OK!

das kann weg:
O9 - Extra button: EROTIC (HKLM)
O16 - DPF: {8D37126F-C08C-11D4-A248-005056BF3741} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll

GEDULD raman meldet sich schon!

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#9 Das Log sieht doch ganz gut aus!?
__________
MfG Ralf
SEO-Spam Hunter

#10 Hallo alle miteinander,

prima, dass jetzt auch Raman dabei ist! Wenn er mit dem logfile zufrieden ist, bin ich's eigentlich auch. Ich habe jetzt noch diese beiden Dinger gefixt:

O9 - Extra button: EROTIC (HKLM)
O16 - DPF: {8D37126F-C08C-11D4-A248-005056BF3741} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll

der win.ini:run=hpfsched - Eintrag gehört nach meinen Recherchen zum HP-Drucker (Reinigungs-erinnerungsroutine??) und ist in vielen anderen logfiles, die ich in den letzten Tagen gesehen habe, auch drin, dürfte also unproblematisch sein.

Aber Raman, was ist mit dem Eintrag:

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB

Ich habe vorhin in einem anderen thread gesehen, dass du da empfohlen hast, diesen Eintrag zu löschen!?

Für heute sage ich Allen danke und gutes Nächtle,
auch ein Geometer ist mal müde......

#11 Ja, den kannst du auch raus nehemn.
__________
MfG Ralf
SEO-Spam Hunter

#12 OK, nun ist auch dieser Eintrag gelöscht und ich habe jetzt wohl ein einigermaßen sauberes System. Mit ganz herzlichen Dank an alle Helfer und toi-toi-toi für eventuelle Leidensgenossen grüßt für diesen thread abschließend

der geometer

#13 hallo,

ich habe ein großes problem mit "webcoolsearch/startpage.b.!".unter "c:\windows\hh.htt" befindet sich immer diese datei, die nach dem löschen gleich wieder erscheint.ich habe ad-aware,antivir,spybot,und CWShredder (alle auf den neusten stand),aber ich bekomme es damit nicht weg.ich habe auch schon von hijackthis gelesen und poste hier mal meine logdatei mit.
für hilfe bin ich sehr dankbar und würde mich freuen.

THX,Mr.H

Logfile of HijackThis v1.97.7
Scan saved at 13:21:56, on 24.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Winamp\winampa.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#14 Schwer zu sagen, aber derzeit sehe ich da nirgends einen CWS. Die derzeitige aktuelle Version ist 1.46.4 . Wenn du nachwievor das Problem hast, poste mit hilfe von Hijackthis eine Startupliste unter "config" "misc tool" und dort generate startuplist.
__________
MfG Ralf
SEO-Spam Hunter

#15 @raman
was ist das für ein Eintrag unter 06?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)