CoolWebSearch

Hi!

Ich hab auch das Problem mit CWS!
Was soll ich machen?
SpyBot hilft net!
CWShredder auch net!

Was jetz?

MB!

mfg
Crowl

haste auch die neueste Version von CWS Shredder (2.1)?

Jo, hab ich.
Der hat jetzt was gefunden und gelöscht, die Seite wird trotzdem noch aufgerufen!

Was jetzt?

help!

mfg
Crowl

Ich hab jetzt HijackThis durchlaufen lassen, par hab ich gefixt.
Hier die Log danach:

Logfile of HijackThis v1.98.2
Scan saved at 17:34:53, on 13.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Crowl\LOKALE~1\Temp\mshtm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Crowl\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSAgent] C:\DOKUME~1\Crowl\LOKALE~1\Temp\mshtm.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://209.8.20.130/dl/adv343/x.chm::/load.exe

Ich hoffe es hilft!

Please help!

mfg
Crowl

Also nochmal zum Problem:
Bei mir wird die Seite www.cool.com aufgerufen.
Das ist doch CWS, oder?

help!!!!

mfg
Crowl

du hast im HijackThis mindestens 3 Einträge, die du fixen solltest. 8)

Dein Hijacker heisst mshtm.exe (Browser hijacker - redirecting to buldog-search.com)

Welche denn???

Nu sag schon!

Ich muss den Kram loswerden!!!

mfg
Crowl

schmeiss mal dein HijackThis Protokoll in www.hijackthis.de zur Auswertung rein.

Nach dem Fixen und Neubooten nochmal mit HijackThis und MSConfig überprüfen.

Ok, hab ich gemacht.
Dateien gelöscht/gefixt.
Alles bis jetzt ok.

Danke.

mfg
Crowl

PS:ich meld mich nochmal wenn der wiederkommt..

Nimm dir die 10 goldenen Regeln zu Herzen, dann wird er nicht mehr wiederkommen!

Welche 10 goldenen Regeln?

PCDFlocke schrieb:

Welche 10 goldenen Regeln?

Zum Vergrößern anklicken....

auf big_surfer's Homepage :
http://www.comsafe.de/regeln.html

pan_fee

Danke Fee! Wirst in meinen Fanclub aufgenommen. ;D

Das Hauptproblem ist nämlich die fehlende Computersicherheit. Mit Hilfe dieses und anderer Foren wird vielen Usern geholfen, ihre Schädlinge auf dem Computer wieder los zu werden.

Aber wenn der User sich nicht grundlegende Gedanken über sein Verhalten im Internet macht, dann sind die Schädlinge (oder andere) sehr schnell wieder da.

Die grundsätzliche Verhaltensweise für ein sicheres Surfen im Internet habe ich auf meiner Seite in den zehn goldenen Regeln zur Computersicherheit so zusammengefasst, dass auch technisch nicht so Bewanderte sie nachvollziehen können.

@big_surfer,
schon mal von Brain 2.0 gehört ?
Quadratisch, praktisch, gut !

PCDpan_fee schrieb:

PCDFlocke schrieb:

Welche 10 goldenen Regeln?

Zum Vergrößern anklicken....

auf big_surfer's Homepage :
http://www.comsafe.de/regeln.html

pan_fee

Zum Vergrößern anklicken....

Danke, aber er sollte entweder die Dinger hier posten und nicht verlangen, dass man schlußfolgern muss, dass die Dinger wohl auf seiner HP stehen werden oder eben einen entsprechenden Link _im_ Posting, nicht in der Sig.

Auf Wunsche eines Moderators 8) :

Die zehn goldenen Regeln zur Computersicherheit

1) Benutzen Sie immer ein Virenschutzprogramm mit aktueller Virendatenbank.

2) Öffnen Sie keine Dateianhänge, die Sie nicht angefordert haben.

3) Spielen Sie immer alle verfügbaren Betriebssystem-Updates ein.

4) Deaktivieren Sie gefährliche Einstellungen in Ihren Internetprogrammen.

5) Verwenden Sie starke Passwörter.

6) Surfen Sie nie mit Administratorrechten - richten Sie ein eingeschränktes Konto ein.

7) Verwenden Sie ein sicheres Dateisystem.

8.) Schliessen Sie alle unnötigen Dienste und Ports.

9) Verwenden Sie eine Firewall - als zusätzliche Schutzmaßnahme.

10) Sichern Sie regelmäßig Ihre Daten.

Erstens benutze ich ein Antivirusprogramm, 8)
zweitens benutze ich eine Firewall, 8)
drittens is Windows auf dem neuesten Stand, 8)
viertens bin ich kein noob, 8)
und fünftens..äh..naja.. das Ding von Trojaner oder wat weiß ich
is immer noch da... :-[

Bitte helft mir doch!!

Hier meine Log:
Logfile of HijackThis v1.98.2
Scan saved at 18:03:50, on 15.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Crowl\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Hab schon par Progs gelöscht/gefixt..
Half nix, nach Neustart war dieses buldog-search wieder als Startseite da..

help!

mfg
Crowl

zum vorhanden Thread zusammengefügt

Crowl schrieb:

Erstens benutze ich ein Antivirusprogramm, 8)
zweitens benutze ich eine Firewall, 8)
drittens is Windows auf dem neuesten Stand, 8)
viertens bin ich kein noob, 8)
und fünftens..äh..naja.. das Ding von Trojaner oder wat weiß ich
is immer noch da... :-[

Zum Vergrößern anklicken....

1. nutzt ein antivirenprogramm recht wenig bei spyware oder hijacker.

2. hast du deine firewall dann nicht richtig konfiguriert.

3. das behaupten sie alle. ;D

4. wenn ich sehe, aus was du hijackthis gestartet hast, dann bekomme ich zweifel.

5. mußt du schon sagen, ob trojaner oder hijacker. das sind 2 große unterschiede.

hast du denn die R1 R0 einträge gefixt? hast du deinen msie richtig abgesichert? infos wie man dies tut, findest du hier auf der plattform zu hauf.

warum bist du mit dem msie unterweges, wenn du auch noch den firefox am laufen hast? der ist doch wesentlich bequemer und auch sicherer als der msie.

soweit fällt mir nichts auf. das log ist für mich sauber.

was ist dumeter.exe eigentlich für ein programm?

Starte Windows im abgesicherten Modus.
Entferne soweit vorhanden mit der Systemsteuerung die Programme
Active alert
ISTsvc
Internet Optimizer
Search Extender
Shopping Wizard
Sidefind
Slotchbar
The Bullseye Network
Uninstall 180searchassistant
Webrebates
Win AdTools

Starte HijackThis und fixe die unnötigen Einträge

Überprüfe MSConfig .

Boote neu

Entferne die Verzeichnisse:
C:\WINDOWS\system32\mshtm.exe
C:\Program Files\Windows AdTools\
C:\Program Files\Web_Rebates\
c:\temp\salm.exe
C:\Program Files\BullsEye Network\
C:\WINDOWS\xghohin.exe
C:\Program Files\Web_Rebates\

Überprüfe die ganze Angelegenheit mit einem aktuellen Virenscanner.

Merke: Eine Firewall hilft dir gegen solche Infektionen gar nichts. Da hast du schon selber was zu beigetragen. Finger weg von unbekannten Programmen, Tools, Search-Bars und drgl.!

»Bulldog-search« Removal Instructions:
http://www.bleepingcomputer.com/forums/....

pan_fee