Virus? Cool Web Search

hallo, habe gerade win neu installiert. jetzt habe ich wohl einen virus oder so..
unten recht auf dem desktop ist jetzt ein sucheingabefenter das nicht weggeht, das cool web search heisst
richtet sich auch immer wieder als startseite ein
habe schon spybot und ad-aware rüberlaufen lassen

was soll ich nur tun??

please help

_________________
winxp home

* Conny: Verschoben aus Sonstiges rund ums Internet *

WinTotal Tipparchiv:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

und das Hijack-Log hier im Thread posten oder selbst auswerten lassen, hier:
http://www.hijackthis.de/

pan_fee

Logfile of HijackThis v1.99.1
Scan saved at 19:43:23, on 11.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\isrvs\desktop.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Sebastian Ostermann\Anwendungsdaten\tasa.exe
C:\WINDOWS\System32\?ti2evxx.exe
D:\Programme\AVGUARD.EXE
D:\Programme\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sebastian Ostermann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 81.222.131.49/index.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Anwendungen\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {F4D4F698-4E21-46F9-5F88-1753045F10CD} - C:\WINDOWS\System32\blcviou.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [type32] C:\Programme\Microsoft IntelliType Pro\type32.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [bwfzoz] c:\windows\system32\bwfzoz.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Srus] C:\Dokumente und Einstellungen\Sebastian Ostermann\Anwendungsdaten\tasa.exe
O4 - HKCU\..\Run: [Oxdktx] C:\WINDOWS\System32\?ti2evxx.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 81.222.131.59
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1105464567716
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E43649F9-1F3A-4256-B3DE-3D103D314F7D}: NameServer = 217.237.150.225 217.237.150.141
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

R1 und R0 Einträge editiert, da der Virenscanner Alarm schlägt

Alina, wie bist du denn nach der Neuinstallation ins Netz
gegangen, mit aktiver Firewall oder ohne?
Rolfs

ersteinmal ohne weil ich doch win neu installiert hatte


:-[

Die sauberste Lösung wäre eine Neuinstallation und vor dem ersten Onlinegang die Installation des SP2, bzw. Aktivierung der Windowseigenen FW und Besuch der Update-Seite von Microsoft

Ohne Firewall ins Netz, das ist ein großer Fehler.

Du solltest jetzt noch einmal neu installieren
und mit aktiver Firewall sofort alle updats von Microsoft
ziehen. (ganz wichtig das SP2)

Rolfs

okay dankeschön

mach ich dann

CoolWebSearch ist afaik ein Browserhijacker, den die Firewall selber eh nicht blocken kann, da der IE selber dran Schuld ist.

Vielleicht wäre ein Alternativbrowser anzuraten - die haben zwar auch ab und an Lücken, aber die werden meist zeitnah geschlossen.