CoolWebSearch

Dieses Thema CoolWebSearch im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von N3tR0n, 5. Dez. 2004.

Thema: CoolWebSearch Ich besitzte einen Laptop für die Schule. Daten Acer Travelmate 292 LMI Intel Pentium 1,5 Centrino Intel 855 PM...

  1. Ich besitzte einen Laptop für die Schule.

    Daten

    Acer Travelmate 292 LMI

    Intel Pentium 1,5 Centrino
    Intel 855 PM Chipsatz
    512 DDR

    Mein Problem sind folgende Arten von Cool Web Search Programmen (ka was des genau ist)

    CoolWWWsearch.Msconfd
    CoolWWWsearch.Oslogo
    CoolWWWsearch.Tapicfg
    CoolWWWsearch.Xmlmimefilter


    Im Ordner Windows\System32\Drivers\etc. ist eine Datei namens hosts ... Diese ist meiner Meinung nach der Übeltäter. Inhalt dieser Datei ist

    127.0.0.1 code.ignphrases.com
    127.0.0.1 clear-search.com
    127.0.d0.1 dlrsch.com
    69.20.16.183 ieautosearch
    69.20.16.183 ieautodsearch
    127.0.0.1 www.igetnet.com
    127.0.0.1 r1.clrsch.com
    127.0.0.1 sds.clrsch.com
    127.0.0.1 status.clrsch.com
    127.0.0.1 www.clrsch.com
    127.0.0.1 clr-sch.com
    127.0.0.1 sds-qckads.com
    127.0.0.1 status.qckads.com
    69.20.16.183 auto.search.msn.com
    69.20.16.183 search.netscape.com
    69.20.16.183 ieautosearch
    69.20.16.183 ieautosearch

    lösche ich den Inhalt dieser Datei erstellt sie sich sofort neu. Auch wenn ich den Dateiname ändere.

    Folgende Programme hab ich drüber laufen lassen

    Ad-Aware 1.5SE
    Spybot 1.3
    Spy Sweeper
    CWShredder
    HijackThis

    jeweils mit dem neuesten Update...

    Das Problem ist das sie die Datei zwar finden und löschen jedoch erstellt sich die Datei wie oben gesagt immer wieder neu.


    Was kann ich also tun, ich benötige den Laptop für die Schule... daher ist eine Neuaufsetzung bis Weihnachten einmal ausgeschlossen. Vielen Dank für Vorschläge


    Hier noch mein LOG von HijackThis

    Logfile of HijackThis v1.98.2
    Scan saved at 10:53:44, on 05.12.2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Tune Up Utilitys\WinStylerThemeSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\ltmoh\Ltmoh.exe
    C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Programme\NetPumper\NetPumperIEProxy.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\Spy Sweeper\SpySweeper.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\HIjackthis\hijackthis1982\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///I:\index.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.1.254:8080
    O1 - Hosts: 127.0.d0.1 dlrsch.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautodsearch
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [tuloxFreeWBF] C:\Programme\Tulox\Französisch\FreeDict.exe AUTOSTART
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [NetPumper] C:\Programme\NetPumper\NetPumperIEProxy.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
    O4 - HKCU\..\Run: [TransTask] C:\Programme\Tweak-XP Pro 4\transtask.exe
    O4 - HKCU\..\Run: [areslite] E:\Ares\Ares Lite Edition\AresLite.exe -h
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: LG SyncManager.lnk = ?
    O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{94BCE562-1F34-4952-8AC9-5683BAB7FBAC}: NameServer = 192.168.0.1
     
  2. hp
    hp
  3. hmm ... naja ganz gleich ist das alles nicht

    und wenn ich index.htm eingebe kommen ca. 100 Funde (von Macromedia etc.)

    auch das löschen der ganzen Daten in der File host hat keinen sinn (ich hab ja nicht mal einen Eintrag mit local host... hingegen mehrere Einträge mit 127.0.0.1)


    Naja ... falls dir langweilig ist kannst es ja schreiben was genau zu tun ist.. ich wäre dir sehr dankbar weil ich doch eher in Sachen viren etc. sehr sehr schlecht am Weg bin ...! aber falls du keine lust hast danke ich dir trotzdem für deinen Beitrag
     
  4. hp
    hp
    ganz gleich kanns ja auch nicht sein, nur die vorgehensweise hab ich z.b. in dem post genau beschrieben ... du mußt jetzt nur das 1:1 auf dein problem umsetzten, dann bist du die dinger wieder los ... als erstes dein log hier http://hijackthis.de/ checken lassen, die anleitungen und lösungen befolgen, dann das von mir im zitierten post befolgen:

    die host-einträge löschen: unter %systemroot%\system32\drivers\etc\hosts mit notepad öffnen und alle eintrage bis auf den eintrag 127.0.0.1 localhost löschen ...

    greetz

    hugo
     
  5. soll ich den eintrag 127.0.0.1 localhost reinschreiben? weil der steht gar nicht drinnen ....


    weißt du auch was das für ein programm ist (C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE) ?

    -------------------------------------------------------------------------------------------------------------------------

    nochmal eine Hinweis ... es funktioniert nicht

    ich habe nun alle dateien bei Hijackthis gelöscht und bei Host alles bis auf 127.0.0.1 localhost (hab ich einfach rein geschrieben) gelöscht ... kaum öffne ich die Datei kommt steht wieder alles drinnen...

    es muss ein programm laufen das diese wieder aktualisiert .. bevor ich nicht weiß welches hat das löschen dieser Einträge schätzungsweise keinen sinn ... ich hoffe du kannst mir helfen ..
     
  6. hp
    hp
    im normalfall soll da nur

    127.0.0.1 localhost

    drinstehn und sonst nichts ... wenn man natürlich im lokalen netzwerk namensauflösung braucht, ohne einen dns-server zu betreiben, muß man die ip-adressen und die passenden namen in die hosts - datei eintragen. das sind meistens ip-adressen die mit 172... oder 192.... beginnen, alles andere sollte gelöscht werden, vor allem wenn dir nicht bewußt ist, daß du in der hosts datei was geändert hast.

    das prog CPLBCL53.EXE könnte der verursacher sein. lösch das mal, zu windows gehörts nicht ...

    was ist das für eine startseite?

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///I:\index.htm

    greetz

    hugo
     
  7. also file index.htm is weg

    das eine Programm is weg und ausm Autostart herausn

    PROBLEM: alles is noch da ... im Spybot kann ichs nicht löschen (weils angewendet wird) .... ich muss also das Prog finden das diesen Hijacker andwendet ... hat jemand eine Idee wie ich die finden könnte?
     
  8. MultiMedia Keyboard Launch-Manager
    http://www.wintotal.de/Spyware/index.php#Spyware1510

    pan_fee
     
  9. Steganos spyware hat a nix gfundn ...


    HMM I KANNT WEINEN :D
     
  10. hp
    hp
    du hast ja xpsp2 installiert, da kannst du doch die bho verwalten, vielleicht kannst du dort was deaktivieren ... und du mußt die kiste im abgesicherten modus scannen. deaktivier auch mal die wiederherstellung, dann werden die wiederherstellungspunkte mitgelöscht, falls die infizierten code enthalten sollten. und wenn du die hosts bereinigt hast, setzt sie mal auf schreibgeschützt, dann sollte auch ein prog nicht mehr darauf zugreifen können. und poste mal das hijackthis log nach den getroffenen maßnahmen nochmal hier rein, vielleicht sehen wir dann mehr ...

    greetz

    hugo