Søg
Avatar billede pwn Forsker
23. januar 2007 - 20:02 Der er 19 kommentarer og
2 løsninger

CoolWebSearch i registreringsdatabasen

Hvordan fjerner jeg denne. Bullguard har fundet den og dele af rapport er her:

Malware:    CoolWebSearch.CameUp
    <System>=>HKEY_CLASSES_ROOT\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

Maskinen er geninstalleret fra recovery-disk og efter en første skanning var den der stadig. Kan den blot slettes fra reg.basen eller hvad?




Jeg har kørt en hijackthis og log er her:

Logfile of HijackThis v1.99.1
Scan saved at 19:59:45, on 23-01-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Intel\Wireless\Bin\EvtEng.exe
C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\admServ.exe
C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\BullGuard Software\BullGuard\bullguard.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Marlene\Dokumenter\wdf\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.byport.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Programmer\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programmer\BullGuard Software\BullGuard\bullguard.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169570626390
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Programmer\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe
Avatar billede Slettet bruger
23. januar 2007 - 20:07 #1
det lyder som om at du har lavet en "reparation" i stædet for en fuld geninstallation.

hvad for en maskine er det?
Avatar billede pwn Forsker
23. januar 2007 - 20:11 #2
Travelmate Acer - jeg har brugt den gendannelsesdisk, man selv brænder efter første installation
Avatar billede pwn Forsker
23. januar 2007 - 20:12 #3
Der stod på skærmen, at den gendannede til fabriksstanddard og at alle data ville gå tabt.
Avatar billede ejvindh Ekspert
23. januar 2007 - 20:31 #4
Fix denne linie i Hijackthis:
O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll

Og slet filen:
C:\WINDOWS\system32\ToolBand.dll

Så tror jeg ikke Bullguard finder mere.
Avatar billede pwn Forsker
23. januar 2007 - 20:38 #5
Jeg kan ikke få lov til at slette ToolBand.dll. Er der noget jeg skal ændre for at få lov til dette.
Avatar billede johnstigers Seniormester
23. januar 2007 - 20:42 #6
Genstart i fejlsikker tilstand UDEN netværk og slet den derfra.
Avatar billede Slettet bruger
23. januar 2007 - 20:44 #7
mærkeligt, den burde formaterer hdd når det er en acer.
Avatar billede ejvindh Ekspert
23. januar 2007 - 20:46 #8
Jeg tror simpelthen at værktøjslinien kommer med Acer ;-)

Stiger's metode til at slette filen, burde virke.
Avatar billede Slettet bruger
23. januar 2007 - 20:51 #9
det kan være....  har nu ikke lagt mærke til den på min egen. Men man ved aldrig
Avatar billede pwn Forsker
23. januar 2007 - 21:03 #10
Ja, jeg tror også det var en Acer-værktøjslinie, men den kan vi godt undvære.
Jeg har scannet igen og den er der stadig. Bullguard kan ikke fjerne den, men her er loggen:

___________________________________________________________

BullGuard Scan Report
Scan Profile: "Denne computer"
___________________________________________________________


----[  System Info  ]------------

OS Version:    Microsoft Windows XP Professional - Service Pack 2 (Build 2600) [1 * x86 CPUs]
Physical memory:    504 MB
System up-time:    0 days, 00 hours, 07 minutes, 43 seconds
BullGuard up-time:    0 days, 00 hours, 06 minutes, 45 seconds
TopLayer Version:    7, 0, 0, 3
FileSpy5 Version:    N/A
BdFileSpy Version:    2.2.0.45 built by: WinDDK
BsFileScan Version:    7, 0, 0, 15
Reconn Version:    1.1.0.5 built by: WinDDK
MailProxy Version:    7, 0, 0, 9
AntiVirus Version:    7, 0, 0, 22

----[  Scan Parameters  ]------------

Folders to scan:
    C:\
    D:\

Excluded folders:
    None

Files to scan:
    None

Scan type:
    [o] Scan all files
    [ ] Scan program files only
    [ ] Scan custom extensions:

    [X] Exclude user extensions: lnk

    [X] Scan boot sectors
    [X] Scan packed files
    [X] Scan archives
    [X] Scan emails
    [X] Scan running processes
    [X] Scan registry
    [X] Scan IE cookies
    [X] Enable heuristic detection

    [ ] Scan default action
___________________________________________________________

Scan Statistics
___________________________________________________________

Scan started:    Tuesday, January 23, 2007 20:52:40
Scan duration:    0 days, 00 hours, 06 minutes, 11 seconds
Completion status:    Aborted by user

Total files scanned:    24835
Total files skipped:    0
Identified viruses:    1
Scan speed:    66.94 files/sec

___________________________________________________________

Infected Files
___________________________________________________________

----[  Infected Registry Entries  ]------------

Malware:    CoolWebSearch.CameUp
    <System>=>HKEY_CLASSES_ROOT\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

___________________________________________________________

Results after ROUND 0
___________________________________________________________

Scan started:    Tuesday, January 23, 2007 20:52:40
Scan duration:    0 days, 00 hours, 06 minutes, 11 seconds
Infections solved:    0
Infections left:    1
Viruses left:    1

----[  Registry Entries Still Infected  ]------------

Malware:    CoolWebSearch.CameUp
    <System>=>HKEY_CLASSES_ROOT\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

___________________________________________________________

Results after ROUND 1
___________________________________________________________

Scan started:    Tuesday, January 23, 2007 20:58:57
Scan duration:    0 days, 00 hours, 00 minutes, 02 seconds
Infections solved:    0
Infections left:    1
Viruses left:    1

----[  Registry Entries Still Infected  ]------------

Malware:    CoolWebSearch.CameUp
    <System>=>HKEY_CLASSES_ROOT\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

___________________________________________________________

Results after ROUND 2
___________________________________________________________

Scan started:    Tuesday, January 23, 2007 20:59:03
Scan duration:    0 days, 00 hours, 00 minutes, 59 seconds
Infections solved:    0
Infections left:    1
Viruses left:    1

----[  Registry Entries Still Infected  ]------------

Malware:    CoolWebSearch.CameUp
Status:        Deletion Failed
    <System>=>HKEY_CLASSES_ROOT\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
Avatar billede Slettet bruger
23. januar 2007 - 21:09 #11
det lyder lige umiddelbart til at den kommer med acer

en hurtig google
http://www.google.com/search?q=coolwebsearch+for+acer+travelmate&rls=com.microsoft:da:IE-SearchBox&ie=UTF-8&oe=UTF-8&sourceid=ie7
Avatar billede pwn Forsker
23. januar 2007 - 21:17 #12
OK. Skal jeg forstå det sådan, at CoolWebSearch.CameUp gerne må være, at den er installeret af Acer?
Avatar billede Slettet bruger
23. januar 2007 - 21:26 #13
Det tror jeg ikke, jeg kan ikke helt se hvad den skulle gøre godt for selv om den skulle kommer på en "frisk" acer maskine.
Avatar billede pwn Forsker
23. januar 2007 - 21:48 #14
... men jeg kan jo se, hvor den er i Reg.basen - hjælper det at slette den der fra?
Avatar billede ejvindh Ekspert
23. januar 2007 - 22:25 #15
Hvis jeg skal være ærlig så vil jeg mene at Bullguard blander nogle ting sammen. Der findes en CWS-infektion, der bruger det samme clsid-nummer som denne toolbar, men det er bare ikke CWS-infektionen, der findes på din computer. Jeg kan godt fixe den entry, hvis du meget gerne vil have det, men hvis den O3-linie, som jeg angav ovenfor er væk, så vil jeg ikke mene, at det er nødvendigt.
Avatar billede pwn Forsker
23. januar 2007 - 22:37 #16
Ja, den forsvandt via Hijackthis, men jeg har gendannet den fra papirkurven, da jeg er ret sikker på, at den hører til Aceren.
Jegb har kørt et program, der hedder cwshredder, og det fandt ingenting ud over en filAlcmtr.exe, som jeg skulle tage stilling til. Den lod jeg være.
Jeg kan sagtens leve med, at Bullguard finder denne fil og betegner den som alvorlig - og maskinen kører tilsyneladnede som den skal.
Avatar billede Slettet bruger
23. januar 2007 - 22:48 #17
nu når vi snakker om en acer computer, har du patchet den for denne sikkerhedsfejl

http://us.acer.com/acereuro/page92.do;jsessionid=01529CE09B9615F9C2371159C5EB3E0B?sp=page74&dau42.oid=8644&UserCtxParam=0&GroupCtxParam=0&dctx1=25&CountryISOCtxParam=US&LanguageISOCtxParam=en&ctx3=-1&ctx4=United+States&crc=973080635
Avatar billede pwn Forsker
23. januar 2007 - 23:09 #18
Nej, den kendte jeg ikke - de er nu gjort:-)

Delatgere med bidrag - send et svar, så fordeler jeg points
Avatar billede ejvindh Ekspert
23. januar 2007 - 23:31 #19
Bemærk dog, at også toolband er klassificeret som Adware:
http://www.castlecops.com/tk685-SToolbar.html
http://www.symantec.com/security_response/writeup.jsp?docid=2005-042516-0814-99&tabid=2
http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=ADW_FASTLOOK.A

...så jeg ville nok fixe den, selvom den altså ikke er en CWS-fil...
Avatar billede Slettet bruger
24. januar 2007 - 07:01 #20
synes ikke jeg fortjæner nogle point her.
Avatar billede Slettet bruger
26. januar 2007 - 10:37 #21
men du skal huske at accepterer og lukke spørgsmålet !
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 13:13 Batch OCR Af KurtG i Billedbehandling
I dag 10:42 AI integreret i Access Af per2edb i Access
04/0409:43 AI google.com Af Peter Olsen i Andre onlineløsninger
31/0310:22 Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45 Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
White papers
Flere white papers »