Cool Web Search

plage · 20.10.2004

hallo zusammen,

ich bzw ne freundin von mir hat folgendes problemchen und zwar wird als startseite immer die COOL WEB SEARCH seite (CWS) angezeigt...

so ich hab stundenlang rumgegooglet und auch hier im forum rumgelesen und angeblich soll das teil ein trojaner bzw mit diesem zusammenhängen der sp.exe...

sie hat aber die SP.EXE nicht und wir sind zusammen die registry durchgegangen und haben alle möglichen programme my.... spoon-weg,hijackthis...CWSchredder,adaware...tuneup utilities... und und und versucht.... nix half... immer noch is diese scheiss startseite dort

also bisher mitm bisschen googlen und diversen tools oder fixes hat sowas immer geklappt...aber das dingen kriege ich einfach nicht weg...

nun habe ich auch sowas hier gelesen...

ausführen -> msconfig -> autostart einstellungen -> autostart der sp.exe deaktivieren.

taskmanager aufrufen, sp.exe killen. die datei selbst befindet sich afaik in deinem windows root ordner...

bla bla aber die hat diese SP.EXE halt nicht... und wir kriegen die startseite nicht weg

also ich weiss nich mehr was ich dort noch machen kann,kann mir vielleicht wer hilfestellung geben =)

und ne frage........ kann man diesen betreiber der website eigentlich nicht rechtlich belangen? isses erlaubt was der macht? ich mein das is ja ned so als wäre es einfach nur en virus oder so sondern das teil bringt einen ja immer auf die CWS seite und der betreiber muss doch irgendwie ma en paar vor den latz bekommen.... oder isses erlaubt?!? :-X

Flocke · 20.10.2004

Poste mal das Log von HijackThis.

plage · 20.10.2004

Logfile of HijackThis v1.97.7
Scan saved at 14:14:07, on 20.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Esther\Eigene Dateien\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\systime.exe
C:\Program Files\Win Comm\WinComm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\systime.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Esther\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:XX213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:XX213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:XX213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:XX213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:XX213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:XX213.159.117.134/index.php

ich denke mal die sind es

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-544243544243} - (no file)
O2 - BHO: (no name) - {C158D2B2-094F-4682-A293-62E735AFE94C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-544243544243} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [WinampAgent] C:\Dokumente und Einstellungen\Esther\Eigene Dateien\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)

Trojaner-Links unkennlich gemacht

Flocke · 20.10.2004

plage schrieb:
Logfile of HijackThis v1.97.7
Scan saved at 14:14:07, on 20.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Wow, ein total ungepatchtes System, da wundert mich mal gar nichts mehr...

Running processes:
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\systime.exe

Kenn ich nicht, ist aber auch keine Systemdatei. Abschiessen im Task-Manager.

C:\Programme\Internet Explorer\iexplore.exe

Soll geschlossen sein während der Überprüfung.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:XX213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:XX213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:XX213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:XX213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:XX213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:XX213.159.117.134/index.php

fixen
Trojaner-Links unkennlich gemacht PCDpan_fee

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-544243544243} - (no file)
O2 - BHO: (no name) - {C158D2B2-094F-4682-A293-62E735AFE94C} - (no file)

fixen

O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-544243544243} - (no file)

fixen

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN

Bei dem bin ich mir nicht ganz sicher.

O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe

fixen

O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe

fixen

Dakota · 20.10.2004

Hallo Flocke,

Braten richtig gerochen:
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\system32\wintime.exe

Die beiden Programme sind Trojanische Pferde

Quelle:
http://www.trojaner-board.de/archive/index.php/t-7224.html

Gruss
Dakota

plage · 20.10.2004

so danke

nach stundenlangem basteln... hats geklappt aber erst nachdem die beiden exe dateien beendet und gelöscht worden sind

ich werde ihr jetzt erstmal sagen das sie ein windoofupdate machen soll

danke für die schnelle hilfe!

Longney · 20.10.2004

wie, Trojanisches Pferd ?? Mach bitte die Gäule nicht scheu ! ;D ;D ;D

@dakota

http://www.kephyr.com/filedb/index.php?viewtopic=LXSUPMON.EXE

Link klickbar gemacht

Dakota · 20.10.2004

Hi Longney

kann deine Verwunderung gut verstehen. :

Ich hab auch gestaunt und konnt's nicht glauben, hab ja zu Haus auch ne Lexmark-Kiste und die Datei kam mir bekannt vor.
Drum hab ich ja die Quelle angegeben. :-X

Na ja, wenn's falscher Alarm war, sorry.
Haha ..... so wie ich ausseh mach ich nicht nur Gäule scheu... ;D ;D ;D

Longney · 20.10.2004

;D
hallo dakota,
nimm's locker,
ich dachte nur, bevor andere User aufgrund von Deiner Meldung einen Fast-Herzstillstand erleiden, sollte man dem zuvorkommen. ;D

Dakota · 20.10.2004

Longney schrieb:
;D
hallo dakota,
nimm's locker,
ich dachte nur, bevor andere User aufgrund von Deiner Meldung einen Fast-Herzstillstand erleiden, sollte man dem zuvorkommen. ;D

Na da haste aber Recht, das kann man nicht verantworten. :

plage · 21.10.2004

sorry wegen den links oben!

also öhm ich weiss nich wie ich das sagen soll :

gestern hat alles gefunzt und war wieder normal

dann haben wir SP2 installiert ... und

die lustiger systime.exe is wieder da.... gleiche prozedur nochmal gemacht....aber die kommt immer wieder.... weiss noch wer rat?

ich hab hier noch was in einem us board gefunden

hxxp://xxw.bleepingcomputer.com/forums/topict3373.html

und das is exakt das was wir gemacht haben...aber dieser doofe trojaner kommt immer wieder

Dakota · 21.10.2004

Hallo Plage,

deaktivier mal deine Systemwiederherstellung und mach dann den Scan und boote neu.
Vielleicht hilfts. Manche Übeltäter sitzen im Restore-Ordner von Windows. Ein Versuch ist es wert.

plage · 31.10.2004

so nächste patient

alles deppen die MSN MESSENGER + installieren und zu doof sind während der installation die werbung auszuschalten

kann mir bitte nochmal jemand bei auswertung des logfiles helfen

was kann da gelöscht werden?

Logfile of HijackThis v1.97.7
Scan saved at 19:27:35, on 31.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\PicoZip\PicoZipTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\eMule\emule.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Dokumente und Einstellungen\Anika.MIR\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = XXXX://XXX.idmvhcndlnaamof.com/PquoUvcAX_dinmy0/BLBoG5kSN/NkWUDQR8Q5FYDooBzx/dGX8zhTyc3PJoHZu3D.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8C7F854C-7E0D-5F09-10A1-C265D349A813} - C:\DOKUME~1\Anika.MIR\ANWEND~1\BAITCA~1\toolcast.exe
O2 - BHO: (no name) - {D7BC70EA-E3D3-5B51-4698-D983179C30DF} - C:\DOKUME~1\Anika.MIR\ANWEND~1\BAITCA~1\Glue Locks.exe (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MessengerPlus3] C:\Programme\Messenger Plus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ABOUT SAFE DOES BIKE] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Isotitleaboutsafe\ModeCake.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MessengerPlus3] C:\Programme\Messenger Plus! 3\MsgPlus.exe /WinStart
O4 - HKCU\..\Run: [Setup User] C:\DOKUME~1\Anika.MIR\ANWEND~1\16TICK~1\SCRNURBPLATFORM.exe
O4 - HKCU\..\Run: [PicoZip] C:\Programme\PicoZip\PicoZipTray.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra->Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: Yahoo! Chat - XXXX://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - XXXX://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - XXXX://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9681CFDB-577F-4EFF-8D65-0E7E8FB8AC10}: NameServer = 192.168.2.1

dieser R1 schlüssel kommt immer wieder :-\

hp · 01.11.2004

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = XXXX://XXX.idmvhcndlnaamof.com/PquoUvcAX_dinmy0/BLBoG5kSN/NkWUDQR8Q5FYDooBzx/dGX8zhTyc3PJoHZu3D.php
O2 - BHO: (no name) - {8C7F854C-7E0D-5F09-10A1-C265D349A813} - C:\DOKUME~1\Anika.MIR\ANWEND~1\BAITCA~1\toolcast.exe
O2 - BHO: (no name) - {D7BC70EA-E3D3-5B51-4698-D983179C30DF} - C:\DOKUME~1\Anika.MIR\ANWEND~1\BAITCA~1\Glue Locks.exe (file missing)

fixen

O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe

fixen, exe suchen und löschen, info´s hier http://www.doxdesk.com/parasite/KeenValue.html und hier http://www.pestpatrol.com/PestInfo/e/euniverse.asp

O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local

win32 - win32.exe - Process Information
Process File: win32 or win32.exe
Process Name: RATEGA virus
Description:
win32.exe is added to the system as a result of the RATEGA virus. It is a Trojan horse give a remote user access to your computer

O4 - HKLM\..\Run: [ABOUT SAFE DOES BIKE] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Isotitleaboutsafe\ModeCake.exe
O4 - HKCU\..\Run: [Setup User] C:\DOKUME~1\Anika.MIR\ANWEND~1\16TICK~1\SCRNURBPLATFORM.exe

kennst du das? wenn nicht fixen, exe löschen

das fixen wird leider nicht viel nutzen ... wenn die user nicht ihr surfverhalten ändern, ist jede weitere aktion perlen vor die säue werfen ...

greetz

hugo

plage · 25.11.2004

das fixen wird leider nicht viel nutzen ... wenn die user nicht ihr surfverhalten ändern, ist jede weitere aktion perlen vor die säue werfen ...

greetz

hugo

cool web search hat nix mit dem surfen an sich zu tun

das is scheiss werbesoftware die bei dem MSN+ zusatzkack für MSN messenger mitinstalliert wird*g

allerdings kann man die bei der installation auch ausschalten,dann wird sie nicht mitinstalliert - schnallt nur nich jeder - aber ansonsten haste recht der restliche kram kommt vom surfen

Flocke · 25.11.2004

plage schrieb:
das is sch*** werbesoftware die bei dem MSN+ zusatzkack für MSN messenger mitinstalliert wird*g

Is klar, erzähl mir mehr. Bzw. beweis es mir.

Wie ich hier schon geschrieben habe, glaube ich das absolut nicht.

plage · 10.12.2004

guckst du hier http://www.wintotal-forum.de/?board=35;action=display;start=0;threadid=56529#msg316794

Freudi · 10.12.2004

plage schrieb:
guckst du hier http://www.wintotal-forum.de/?board=35;action=display;start=0;threadid=56529#msg316794

Das wiederum hat nun aber nicht wirklich etwas mit MSN bzw. einem ominösen Plus-Paket von MSN zu tun. Es handelt sich schlicht um Drittsoftware.

Bye,
Freudi

little helper · 11.12.2004

Sucht nach den Dateien

toolbar.exe = suchbar von coolwebsearch

package8032_SIAC.exe = hersteller: eXact Advertising (nomen est omen)

und löscht diese,
dann kann man auch mit den hier genannten Tools
die Registrieeinträge dauerhaft löschen.

Bei mir sind gleichzeitig auch folgende Trojaner aufgetaucht:

VT00.exe = trojaner Small.QD.2
dktibs.exe = trojaner Delf.CB.1

Damit wars bei mir aus mit coolwebsearch !

PS: Im IE sollte auch die Startseite wieder nach eigenen Wünschen eingestellt werden.

Cool Web Search

plage

Flocke

plage

Flocke

Dakota

plage

Longney

Dakota

Longney

Dakota

plage

Dakota

plage

hp

plage

Flocke

plage

Freudi

little helper

Cool Web Search

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums