Home » Spyware & Browser Hijacker Support Forum » Coolwebsearch kann nicht gelöscht werden! - Fortsetzung » Themenansicht
Coolwebsearch kann nicht gelöscht werden! - Fortsetzung |
||
|---|---|---|
| #0
| ||
|
12.05.2004, 11:25
Member
Beiträge: 1095 |
||
 
|
|
|
|
12.05.2004, 11:51
...neu hier
Beiträge: 9 |
#47
habe ich gecheckt.
kaspersky sagt alle "ok" aber dafür habe ich search for.... mist schon wieder als startseite. habe ich irgendetwas vergessen, oder was falsch gemacht??? mann ist das ding hartnäckig! john |
|
|
|
|
|
|
12.05.2004, 12:14
Moderator
Beiträge: 7805 |
#48
Schicke diese Datei C:\WINDOWS\netstat.exe mal an virus@protecus.de oder an die Adresse aus meinem Profil. Das ist Malware!
Poste bei gelegenheit nochmal ein Log, wenn du den Eintrag gefixt, neugestartet hast und trotzdem noch "Search for" geschaedigt bist. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 12.05.2004 um 12:16 Uhr von raman editiert.
|
|
|
|
|
|
|
12.05.2004, 13:38
...neu hier
Beiträge: 9 |
#49
jetzt habe ich wieder den search for .... shit.
hier nochmal ein log: Logfile of HijackThis v1.97.7 Scan saved at 13:35:25, on 12.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\tp4mon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe c:\cowis\c16_serv\c16_wins.exe C:\Programme\Internet Explorer\iexplore.exe C:\COWIS\C16\c16_wntc.exe C:\Dokumente und Einstellungen\meins\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {D6DEBA55-3190-4C0A-B7A9-ADE11FCC91AE} - C:\WINDOWS\System32\ilh.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38113.3405555556 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{86990440-0F01-4A7E-A34C-CCBC310BED50}: NameServer = 192.168.1.1 installiert sich das teil eigentlich immer wieder neu? oder wieso bekommt man den nicht weg??? john |
|
|
|
|
|
|
12.05.2004, 14:49
Ehrenmitglied
 Beiträge: 29434 |
#50
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Die Wiederherstellung deaktivieren (nach der Reinigung wieder aktivieren) --------------------------------------------------------------------------------------------------------------- http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm Lade den Mwav.exe, scanne und loesche manuell,was er anzeigt. Vorher fixe: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ilh.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {D6DEBA55-3190-4C0A-B7A9-ADE11FCC91AE} - C:\WINDOWS\System32\ilh.dll O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot dann neustarten ------------------------------------------------------------------------- #mit mwav.exe scannen #In der Registry  gendes loeschen:Start<Ausfuehren<regedit -netstat.exe -{D6DEBA55-3190-4C0A-B7A9-ADE11FCC91AE} #mit der Suchfunktion von Windows :netstat.exe loeschen ------------------------------------------------------------------------ #OnlineScann: http://housecall.trendmicro.com/ #mit WebWasher den IE saeubern und unter InternetOptionen die Startseite neu einstellen http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html #Firefox als Zweitbrowser laden (keine HijackerProbleme mehr) http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.05.2004 um 14:50 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.05.2004, 16:39
...neu hier
Beiträge: 9 |
#51
also jetzt habe ich das alles gemacht.
und er ist erstmal wieder weg. mal sehen wie lange?? danke für die hilfe nochmal. john |
|
|
|
|
|
|
12.05.2004, 17:47
Member
Beiträge: 1095 |
#52
@chiefjohn
Wir sind dem Problem auf der Spur. Leider gibts noch keine Knopfdrucklösung Man muß erst mal schauen, welcher HiJacker dich erwischt hat. Probiere mal folgendes Zitat Öffne die Registry aber mit regedt32 WICHTIG!!!!!! nicht mit "regedit"Wenn du den Eintrag "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" nicht findest, suche bitte alle Einträge in der Registry mit "AppInit_Dlls" Diese Einträge merken und auf das obige untersuchen. Kannst dich auch mal in diesem Thread umsehen, dastehen noch einige Sachen die man untersuchen kann. Wenn Fragen sind, einfach posten oder PM Schicken Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 12.05.2004 um 17:53 Uhr von paff editiert.
|
|
|
|
|
|
|
13.05.2004, 08:24
...neu hier
Beiträge: 9 |
#53
so, das habe ich jetzt mal überprüft.
ich habe "AppInit_Dlls" kontrolliert. da steht nix drin. ist leer. ist doch alles irgendwie sehr merkwürdig, oder? hier noch mal ein aktuelles logfile: Logfile of HijackThis v1.97.7 Scan saved at 08:22:56, on 13.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\tp4mon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\meins\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {76369B28-09E4-4823-89AB-CBF8076AFEB1} - C:\WINDOWS\System32\hld.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38113.3405555556 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{86990440-0F01-4A7E-A34C-CCBC310BED50}: NameServer = 192.168.1.1 obwohl da immer wild lösche, kommen die gelöschten einträge jedesmal wieder??? |
|
|
|
|
|
|
13.05.2004, 08:36
Moderator
Beiträge: 7805 |
#54
Wenn du "mutig" genug bist, schreib mir eine Email (Adresse kannst du in meinem Profil finden, einfach Links auf raman klicken)
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
13.05.2004, 08:48
Ehrenmitglied
Beiträge: 29434 |
#55
Fix (wieder mal):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hld.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {76369B28-09E4-4823-89AB-CBF8076AFEB1} - C:\WINDOWS\System32\hld.dll ------------------------------------------------------------------------- #Dann neustarten , mit AdAware, Spybot(updaten vor dem Scannen) und CWShredder http://www.spywareinfo.com/~merijn/downloads.html http://lavasoft.element5.com/german/support/download/ #Onlinescann mit PestPatrol http://www.pestscan.com/Scan.asp #Webwasher , den IE saeubern http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html ------------------------------------------------------------------------------- #BHO: (no name) - {76369B28-09E4-4823-89AB-CBF8076AFEB1} - C:\WINDOWS\System32\hld.dll Diese Dll muss vom Comp. runter Start<Ausfuehren<regedit reinschreiben {76369B28-09E4-4823-89AB-CBF8076AFEB1} suchen und loeschen. ------------------------------------------------------------------------- #Schritt fuer Schritt abarbeiten http://www.trojaner-info.de/anleitungen/hijackthis/yellow_page.html MfG Sabina  hoffentlich hast du diesmal mehr Erfolg!__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.05.2004, 09:10
Member
Beiträge: 1095 |
#56
@chiefjohn
Du bist sicher das du "regedt32" und nicht "regedit" benutzt hast. Schreib auf jeden Fall raman die Mail Grußm paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
13.05.2004, 14:48
Member
Themenstarter Beiträge: 32 |
#57
hi chief,
bist du wirklich sicher das dort nix unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_Dlls eingetragen ist? mit regedt32 nachsehen und lasse dir das bitte in der binär darstellung anzeigen. bei mir war es das! gruß t.gorke |
|
|
|
|
|
|
14.05.2004, 17:54
...neu hier
Beiträge: 9 |
#58
ich habe gerade nochmal nachgeguckt. da steht nix drin.
das ist doch alles sehr merkwürdig, oder? ob ich das ding jemals wieder loswerde? john |
|
|
|
|
|
|
21.05.2004, 15:23
Ehrenmitglied
Beiträge: 29434 |
#59
http://www.diamondcs.com.au/index.php?page=apm
Lade mal dieses Tool Dann klickst du die einzelnen Programme an. So kannst du die C:\WINDOWS\System32\hld.dll finden und loeschen. Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.05.2004, 21:07
...neu hier
Beiträge: 9 |
#60
ich habe die datei schon im abgesicherten modus gelöscht. und weg war sie!
diesen search for ..... kram ist ebi mir gott sei dank nicht wieder aufgetaucht. danke nochmal für eure hilfe! john |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Überprüfe mal bitte diese Datei noch bei einem Onlinescan
O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe
Kaspersky Onlinescan
http://www.kaspersky.com/remoteviruschk.html
Wenn Virus dann Fixen
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware