Coolwebsearch kann nicht gelöscht werden! - Fortsetzung

#16 Hallo raman,

wie ? Bitte erkläre mir das doch mal! Bin doch doof!

MFG Thomas

#17 Lies dich hier mal durch:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Im grossen und ganzen sollte aber mal festgehalten werden, das du auf einen anderen Browser umsteigen solltest.
__________
MfG Ralf
SEO-Spam Hunter

#18 Oh ja,

das ist schon so! Es läuft schon FireFox und der IE ist nach Vorgabe vom Browser Check ! mit anderen Sicherheitseinstellungen konfiguriert worden!

Aber nomal das Tool scheint echt besser zu sein als McAffee!

MFG Thomas Gorke

#19 @all

Tja, bleibt trotzdem noch die Frage, wie hat sich der Trojaner/Hijacker bei Windowsstart gestartet. Allein die Anwesenheit im "system_restore" reicht halt nicht. Irgendwie muß das Ding sich ja gestartet haben.

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#20 @TGorke

Hier ist noch ein Hinweis
http://www.rokop-security.de/board/index.php?showtopic=2942

Teste mal bitte noch diesen RegEintrag

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Welcher wert/Dateiname ist dort bei "AppInit_DLLs" (auf der rechten seite) angegeben?
Bitte den gesammten Dateinamen incl. Ordnernamen posten.

copyright raman

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#21 Hallo raman, paff,

tja , so ist da wenn man sich zu früh freut..............:-( !!!!

Mein System ist wieder verseucht. Ich suche weiter!!!! Bin kurz davor es neu aufzusetzen, aber das ist auch Schei... wenn man nicht weiß wie man sich beim nächsten mal davor schützen kann!

Viele Grüsse

Thomas Gorke

#22 Hast du denn, wie paff geschrieben einen eintrag bei AppInit_DLLs ?
__________
MfG Ralf
SEO-Spam Hunter

#23 Hi Raman,

nein das hatte ich gehofft als ich das gelesen hatte! Aber dort ist nix eingetragen!!!

AppInit_DLLs REG_SZ das ist alles!

MfG TGorke

#24 hallo erstmal an alle :-)

dieser bookmakr.trojaner ist ganz schön hartnäckig, habe auch schon diverse versuche gestartet um ihn loszuwerden. kann mir jemand sagen, ob es dieser virus hier ist und ob das schon wer getestet hat?

http://securityresponse.symantec.com/avcenter/venc/data/trojan.bookmarker.html

bei mir sagt antivirus, dass die datei wmplayer.exe das problem ist, kann das wer bestätigen?

#25 Hi TGorke

Ok ich glaube da hilft nur eins

Irgendwo im System32 versteckt sich eine DLL die Irgendwie beim Start geladen wird. Scheinbar ist Sie auch irgendwie gestealth. (Also für Windows unsichtbar).

1. Idee
Also mit einem anderen Betriebssystem Booten.
Vielleicht einfach ein anderes XP parallel installieren.
Einfach bei Installation ein anderes Verzeichnis angeben.
(Mit einer RecoveryCD geht das leider nicht, Brauchst CD mit Vollversion)

Dann von dortaus auf das "System32-Verzeichnis" des anderen Windows zugreifen und alle DLL's auflisten.
Am besten geht das mit der Eingabeaufforderung
Start/Programme/Zubehör/Eingabeaufforderung
Dann ins Verzeichnis system32 des alten XP's wechseln
Dann eingeben: "dir *.dll > dlls.txt" ohne "
dadurch wird eine Textdatei "dlls.txt" erzeugt in der alle DLL's aufgelistet sind.
Die Datei einfach posten
Schauen wir mal welche Dateien dann in Frage kommen

Andere Möglichkeit: In der Normalen Suche von Windows

*.dll Ins Feld "Nach folgendenDateien und Ordnen suchen"
und ins Feld "Enthaltener Text"
"javascript"
oder
"javascript:go('dating')"
Hier sollte der Übeltäter dann direkt gezeigt werden

Dann mal schauen was er findet.

Hier kannst du dann auf jedenfall nochmal einen Virenscan machen

---------------------------- Nachtrag
2. Idee

Lade dir mal den Process Viewer von DiamondCS
http://www.soft411.com/software/free/process.html

Prog starten
Dann Menu "Find"/"Find DLL"
Dann ins Feld "DLL Substring" einfach nur "dll" eingeben

Dann schau mal ob irgendeine "auffällige" DLL am explorer oder Iexplorer hängt.

Und Nr. 3
Ist von Sophos Homepage
http://www.sophos.ch/virusinfo/analyses/index_t.html
nach "Trojan.Win32.StartPage" gesucht

Schau mal in der Registry folgendes nach

Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:

HKEY_CURRENT_USER\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\AddClass
Dieser Eintrag ist es oder auch nicht

Gruß paff

P.S.
Du hast ganz Sicher einmal die Systemwiederherstellung deaktiviert und neu gebootet ?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#26 Hi paff,

jo die tipps werde ich angehen! aber nicht mehr heute denn ich muss morgen früh raus zum kunden.

Ja ich habe ganz sicher die Systemwiederherstellung deaktiviert das system im abgesicherten Modus gestartet und unseren altbekannten Reinigungsmechanismuss durchgeführt.

zum schluss noch mal eScan drüber und er das genau das teil wieder gefunden und eleminiert.

So zur Zeit ist alles wieder sauber. Mal sehen was passiert!

Eine ganz andere frage noch. Ich hatte vorhin gepostet und dann vorher nicht gesehen das dort eine frage gestellt wurde. Hier kann aber nicht au eigene postings geantwortet werden. Wie geht das dann? Nur damit man auch noch mal einen NAchtrag schreiben kann meine ich!

Also nun aber gute Nacht und bis morgen! Vielen Dank für die überaus guten und hilfreichen Tipps.

Gruß Thomas Gorke

#27 Als kleiner Beitrag:
Lade dieses Tool und scanne den Comp.
Es hat auf meinem, angeblich absolut sauber , einiges gefunden, u.a. einen Backdoor(!), den mir kein anderes Antiviren-Tool aufgezeigt hat.

http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#28

Zitat

Sabina postete
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

Das Tool hat dir Raman schon empfohlen, ist die mwav.exe von "microworld"

Einfach "Seite eins" des Threads anschauen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#29 Hallo Sabina, Paff,

ja genau das Tool ist gut...................das seze ich schon ein! Bin nun beim Kunden. Heute Abend geht es weiter!

Gruß TGorke

#30 Hi Ich bin's mal wieder

Ich entdecke immer wieder neues

Öffne die Registry aber mit regedt32 WICHTIG!!!!!! nicht mit "regedit"
Suche bitte in der Registry nach

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_Dlls (ja ich weiß, hatten wir schonmal)

Dann Wert "AppInit_Dlls" markieren
Ist wahrscheinlich leer

Dann Menu "Ansicht"/"Binäre Daten anzeigen"

Wenn dann sowas Drin steht , haben wirs

Zitat

0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...

Wenn dem so ist schaut dir den Thread an
http://board.protecus.de/t9537-3.htm

Wenn nicht, mal die RegistryEinträge aus diesem Thread checken
http://www.rokop-security.de/board/index.php?act=ST&f=4&t=2968&st=0#entry31498

Bzw. Das Original
http://computercops.biz/postx29967-0-15.html
Hier ist auch die Lösung zum Entfernen des Problems
Post von steamwiz

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware