CoolWWWSearch.WinRes lässt sich nicht löschen

S

Stelu44

New member
Hallo,
ich benutze Spybot 1.3 und hat CoolWWWSearch.WinRes gefunden,was sich aber nicht löschen läßt.
Beim Versuch, diese Datei zu löschen,kommt die Meldung,"es konnten nicht alle Dateien gelöscht werden,soll Spybot beim nächsten Systemstart erneut scannen?".Beim erneuten Systemstart und scannen ist die Datei wieder da.Sie lässt sich einfach nicht löschen.
Wer weiß Rat?:scratch:

Viele Grüße:
Stelu44.
 
Hallo raman,
habe Spybot nun mit der Systemsteuerung-Software entfernt, neu gestartet und mit Hand im Explorer den verbliebenen Ordner unter Programme- Spybot-Search&Destroy-gelöscht.
Wie wird nun die Registry gesäubert?Wenn ich nun "das kleine Werkzeug"im Link anklicke,kommt lediglich nur eine Seite mit Registryeinträgen wo oben als erstes Regedit4 steht.Darunter dann Registryeinträge.
Was muß ich damit machen?

Viele Grüße:
Stelu44.
 
Du musst die Datei mit der rechten Maustaste anklicken und ziel speichern unter waehlen. dann die heruntergeladene Datei doppelt anklicken und die abfrage mit Ja beantworten. Das sollte es gewesen sein....
 
Hallo raman,
habe also alles nach Deiner Anleitung durchgeführt.
Spybot 1.4 gedownloadet und entsprechend dem Assistenten installiert und upgedatet und immunisiert.
Leider hat Spybot wieder CoolWWWSearchWinResgefunden und konnte die Datei oder den Registryeintrag nicht löschen.
Des weiteren hat Spybot noch 2 weitere Probleme entdeckt:
1. Windows SecurityCenter.AntiVirusDisableNotify
2.Windows SecurityCenter.FirewallDisableNotify.
jeweils 1 Eintrag.
Ich benutze NAV mit der Einstellung des "Internetwurmschutzes"und da muß die Windowseigene Firewall abgeschaltet sein.Den Schutz der Firewall übernimmt der Internetwurmschutz von NAV.Vermutlich beziehen sich diese beiden Einträge darauf.
Ich habe sie deshalb noch nicht gelöscht,vielleicht kann man sie ja in die Produktausnahmen eintragen?

Viele Grüße:
Stelu44.
 
Diese beiden Dinge kannst du in die Ausnamhmelist anhaken, so das sie nicht mehr gemeldet werden. Zu dem dritten Eintrag haette ich gerne das Spybotlog/Report gesehen. Dazu im weissen ergebnissfeld nach dem scannen die rechte Maustaste druecken "Ergebnisse in die Zwischenablage kopieren" waehlen und hier in eine Antwort von dir einfuegen.

Packe auch zusaetzlich noch ein Hijackthis log dazu:
http://www.cidres-security.de/hijackthis.html
 
Hallo Ralf,
zuerst mal von Hijack This das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:10:58, on 17.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\Dit.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Lutzle\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{46ACEDB7-A744-45D3-8871-7282DA958B52}: NameServer = 217.237.151.161 217.237.150.188
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE

Wie bekomme ich jetzt den Bericht/Report von der Zwischenablage hier herein?
CoolWWWSearch.WinRes: Trusted Site (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2212413462-436321949-3341562259-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\offshoreclicks.com\*!=W=4

Common Dialogs: History (8 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Datei sichern, nothing done)
C:\WINDOWS\imsins.log

Log: Install: comsetup.log (Datei sichern, nothing done)
C:\WINDOWS\comsetup.log

Log: Install: ocgen.log (Datei sichern, nothing done)
C:\WINDOWS\ocgen.log

Log: Install: setupapi.log (Datei sichern, nothing done)
C:\WINDOWS\setupapi.log

Log: Install: wmsetup.log (Datei sichern, nothing done)
C:\WINDOWS\wmsetup.log

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Cookie: Cookie (5) (Cookie, nothing done)


Cookie: Cookie (28) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-17 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-14 Includes\Cookies.sbi (*)
2006-04-14 Includes\Dialer.sbi (*)
2006-04-14 Includes\Hijackers.sbi (*)
2006-04-14 Includes\Keyloggers.sbi (*)
2006-04-14 Includes\Malware.sbi (*)
2006-04-14 Includes\PUPS.sbi (*)
2006-04-14 Includes\Revision.sbi (*)
2006-04-14 Includes\Security.sbi (*)
2006-04-14 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-04-14 Includes\Trojans.sbi (*)

Ich glaube,es hat geklappt?:scratch:

Grüße:
Stelu44.
 
Hallo Ralf,
Das mit Spybot soll sich Buster mal ansehen...

heißt das,daß Du oder Buster sich wieder melden?

Grüße:
Stelu44.
 
Hallo Stelu44,

bei diesem Eintrag will Spybot die Domäne offshoreclicks.com in die "eingeschränkten Seiten" des Internet Explorer einfügen. Ich hab gesehen, dass du unter anderem auch MS Antispyware benutzt. Leider meldet MS AS gelegentlich, dass Spybot eine böse Seite zu den "vertrauenswürdiger Seiten" hinzufügen will. Wenn das der Fall gewesen ist, hast du vielleicht diese Änderung verboten. Schau doch bitte mal nach. Dazu MS Antispyware öffnen auf "Tools"->"Internet Agent"->"View Blocked Events" clicken.

Gruß,
Buster
 
Hallo Buster,
entsprechend Deiner Anleitung ist unter "View Blocked Events" kein Eintrag.
Die Seite ist leer.

Gruß:
Stelu44.
 
Hallo Stel44,

starte bitte das Windowsregistrierungstool regedit. Dazu clickst du auf "start" --> "ausführen" und gibst "regedit" ein und dann auf "ok". Jetzt navigiere bitte zu "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\offshoreclicks" und ändere den Namen "http" in "*" um.
Das sollte es dann schon gewesen sein.
 
Hallo Buster,

habe in der Registry Deinen Vorschlag durchgeführt und unter offshoreclicks.com
dann auf der rechten Seite "http" umbenannt auf "*"
Anschließend Registry geschlossen,PC neu gestartet und mit Spybot gescannt.
Spybot hat nach wie vor CoolWWWSearchWinRes gefunden.Versucht zu löschen,ging nicht und System neu gestartet mit Spybotscan.CoolWWWSearchWinRes ist immer noch da.:mad:
Die Registry nach dem geänderten Eintrag("*")gecheckt,alles ok.
Bin verzweifelt.

Viele Grüße:
Stelu44.
 
Hallo Stelu44,

vielleicht müssen wir zu etwas radikaleren Mitteln greifen. Unter diesem Link findest du eine .inf Datei, die zunächst einmal alle Domäne aus den eingeschränkten Seiten entfernt. http://www.mvps.org/winhelp2002/DelDomains.inf

Starte hierzu bitte im abgesicherten Modus und führe die Datei dann aus. Um den abgesicherten Modus zu starten musst du während des Systemstarts "F8" drücken. Dann erscheint ein Menü wo du "abgesicherter Modus" auswählen kannst.
Um die Datei zu installieren "Rechtsklick" auf die datei und "installieren" auswählen.
Sollte dies auch nicht zum gewünschter Erfolg führen, deinstalliere bitte Spybot und MSAS und installiere sie erneut.
 
Hallo Buster,
habe die"DelDomains.inf"wie beschrieben herunter geladen und im abgesicherten Modus ausgeführt.Anschließend Neustart und Spybot gestartet und gescannt.Spybot hat kein CoolSearchWinRes mehr gefunden.Alles war sauber!:)
Habe also Spybot und MASP nicht deinstallieren müssen.
Dafür zuerst mal herzlichen Dank.
Allerdings ist jetzt die Liste der "Eingeschränkten Sites" im IE leer.
Hatte mit dem Tool "Spysites"die eingeschränkten Sites dem IE eingefügt.
Soll ich jetzt dieses Tool nicht mehr anwenden,um eingeschränkte Sites dem IE zuzufügen.
Benütze hauptsächlich den Firefox.

Viele Grüße:
Stelu44.
 
Hallo raman,
wenn es mit der Immunisierung von Spybot getan ist,wär mir das schon lieber.Momentan sind 9741 Produkte blockiert.
Leider kann ich mit Deinem Link bez.der Hostsliste nicht viel anfangen,da die Seite auf englisch und meine Englischkenntnisse sehr dürftig sind.
Wie und was müßte man da tun?:scratch:

Viele Grüße:
Stelu44.
 
Es ist im Grunde recht einfach. Du musst die dort angebotene Hosts Liste: http://www.mvps.org/winhelp2002/hosts.zip einfach mit deiner derzeitigen ersetzen. unter Windows 2000/xp befindet sie sich C:\WINDOWS\SYSTEM32\DRIVERS\ETC, bzw wo du halt dei Windows installiert hast. Du solltest deine derzeitige hostsliste sichern, bevor du sie ueberschreiben laesst.
 
You must log in or register to reply here.
Back
Top