Forum
Tipps
News
Menu-Icon

Eine mysteriöse CWShredder-Meldung

Ich hatte vor ca. 2 Wochen schon mal hier geschrieben, dass wenn ich den CW Shredder öffnen will manchmal so eine seltsame Meldung kommt. Hier ist sie nun:

"You have a variant of the Coolwebsearch trojan (CWS.Smartsearch.2) that has attempted to close CWShredder. To counter this, CWShredder is now starting with a random string of text in the title bar. CWShredder is still functioning fine, it has not been corrupted. If you feel you should not be getting this error and you are not infected, restart CWShredder and this warning should not appear again."

Also irgendwie werde ich aus dieser Meldung nicht schlau. Diese Meldung ist IMO total widersprüchlich...

Nighty, Dr. Nope: Könnt ihr mir vielleicht erklären, was diese Meldung zu bedeuten hat??



Antworten zu Eine mysteriöse CWShredder-Meldung:

Hier escan und Sysclean im abges.-Modus laufen lassen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Gruß

Okay mach ich gleich.
Hier übrigens mein HijackthisLogfile.

Logfile of HijackThis v1.98.0
Scan saved at 17:22:12, on 18.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\LEXPPS.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\slserv.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\system32\sstray.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Trojancheck 6\tcguard.exe
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
E:\Programme\Lexmark X1100 Series\lxbkbmon.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Messenger\msmsgs.exe
E:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\PROGRA~1\ICQ\ICQ.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Winamp\Winamp.exe
E:\Dokumente und Einstellungen\Kolja\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=36524
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.150.97 194.25.2.129

Schaut IMO sauber aus, oder?

Achja, ich wollte noch anmerken, dass diese Meldung nicht immer erscheint wenn ich den Shredder nicht öffne, sondern nur sehr selten.

hi,
mal eine kleine zwischenfrage,
was ist das bei Kolja22 für eine 017 meldung?
also die hier meine ich
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.150.97 194.25.2.129

O17 steht für Domain-Hijack. Aber die Nummer die da steht ist schon richtig.

@ Nighty: Ich komm bei diesem escan nicht weiter:

Die downgeloadete exe mit winzip/Winrar in c:\bases entpacken-> in den Ordner gehen

Also ich hab das runtergeladen, dann ist das Symbol auf dem Desktop gewesen, und dann hab ich da drauf geklickt und jetzt komm ich nicht mehr weiter.

Jo steht doch dran in c:\bases entpacken nicht auf den desktop, dann im Explorer den Ordner c:\bases suchen -> in den Ordner gehn(links bases markieren, rechts is der Inhalt) dann im Inhalt kavupd.exe (Anwendung) suchen und mit nem Doppelklick ausführen.

Dann werden die Signaturen upgedatet und danach kannste mwavscan ausführen.

Gruß

« Letzte Änderung: 18.08.04, 18:57:14 von Nighty »

Sorry, wenn ich langsam damit nerve aber ich kann c:/bases nicht finden.

Oder muss ich den Ordner c:\bases erstmal erstellen?

Nochmal zur Erklärung:

1. Ich gehe auf diesen Download Link
2. Mozilla Firefox erscheint mit der Meldung, was ich nun machen will. Ich habe nur eine Möglichkeit: AUf Diskette/Festplatte speichern.
3. Es wird runtergeladen und das Symbol ist dann anschließend direkt auf dem Desktop.

Das runtergeladene ist ein Archiv...

Mit Winrar/Winzip nach c:\bases entpacken.
Wenn er nicht existiert wird er von Winrar/Winzip angelegt wenn du einen nicht existierenden Ordner zum entpacken angibst.

Kannst ihn natürlich auch vorher erstellen und dann dort rein entpacken.

Gruß

Sorry, Nighty ich will dir nicht auf die Nerven gehen - ich will ja selbst, dass ich das so schnell wie möglich hier gebacken kriege - aber:

Das Symbol ist auf dem Desktop. Was soll ich nun als nächstes machen?

Draufklicken soll ich ja noch nicht, aber was dann?

Hast du die Datei auf den Desktop gespeichert (download->speichern unter / Ziel)?

Hast du Winrar oder Winzip?

Gruß

Zu Frage 1) Ja.
Zu Frage 2) Ob ich WinRAR hab, weiß ich nicht. WinZIP müsste ich eigentlich haben, denn sonst hätte ich mir ja auch gar nicht Hijackthis runterladen können, da man da ja zum Entpacken WinZIP braucht.


« win ME....PC hängt sich dauernd auf, außer ich deaktiviere alle programmetrojaner Keenval.1 »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Haarstrich
Der Begriff Haarstrich stammt aus dem Bereich der Typographie. Bei Schriften, wie zum Beispiel der Antiquaschrift mit unterschiedlichen Strichstärken, wird zwischen ...

YouTube
Ist ein 2005 gegründetes, in zwölf Sprachen verfügbares Internet-Videoportal, dass sich weltweiter Popularität erfreuen darf. Durchschnittlich werden ...