coolwebsearch ??? wie bekomme ich des weg ?

DJ_HighTec

hallöchen an alle

ich hab hier ein problem ...
und zwar ist bei meinem internet explorer normalerweise immer "about: blank" eingestellt. aber seit neuestem kommt immer eine suchmaschine, mit der sich auch gleich eine werbung öffnet!!
hab schon probiert unter internetoptionen wieder die "leere seite" einzustellen, oder auch ne andere startseite, aber immer wieder kommt des gleiche bild wenn ich den explorer neu öffne.
nach langem suchen hab ich dann einfach mal ad-aware durchlaufen lassen und siehe da, es wurden 9 dateien gefunden! (alle mit dem titel "coolwebsearch"). nachdem ich sie gelöscht hatte war alles wieder so, wie es seien sollte... -na dann is ja alles in ordung?- pech gehabt !
immer wieder (spätestens nach 2 tagen) kommt wieder das gleiche von vorne. und ich hab echt kein bock mehr, des jedesmal zu löschen, um meine ruhe vor der sch*** suchmaschine zu haben !!
also bitte helft mir ich werd des einfach net los :cry:

vielen dank schonmal im voraus für eure hilfe :wink:

THX

Freddie

Hi.

Benutze den CWShredder: http://www.spywareinfo.com/~merijn/cwschronicles.html
Siehe unter downloads.

Freddie

hyrican

Hallo.
Ergänzend zu Nichtswissers Post - Um das Hijacken des IE dauerhaft zu verhindern solltest du auf einen anderen Browser umsteigen. IMHO empfehlenswert sind Opera, Mozilla oder Firefox.

hyrican

DJ_HighTec

das ging ja schnell

danke nichtswisser für den link :wink: hab das prog mal durchlaufen lassen. mal schauen ob coolwebsearch jetzt wieder kommt, oder obs für immer wegbleibt.
auch danke an hyrican, aber ich möchte eigentlich beim IE bleiben.
aber noch ne frage, gibt es eigentlich kein allgemeines prog, welches dauerhaft verhindert, dass z.B. coolwebsearch o.ä. sich bei mir einnistet

hyrican

Du solltest mindestens ActiveX deaktivieren und nur für's Windowsupdate einschalten( wenn du manuell updatest). Es gibt auch verschiedene Browseraufsätze für den IE wie den Avantbrowser und andere, da der IE aber nunmal der unsicherste Browser ist( ungepatchte Lücken im IE: http://www.safecenter.net/UMBRELLAWEBV4/…trie/index.html ) mag ich nichts empfehlen was auf dem IE aufsetzt/ dessen Engine nutzt.
Spybot Search&Destroy bietet in der aktuellen Beta( 1.3RC5) auch ein paar Einstellungen für den IE aber das ist auch nicht das wahre.
Natürlich bleibt es jedem selbst überlassen was er tut....

hyrican

DJ_HighTec

ich hab schonmal activeX mit dem xpAntiSpy deaktiviert, aber dann kann ich in meinem lieblingsforum weder smilies, noch andere sachen wie hyperlink etc. anklicken. von daher "muss" des leider anbleiben :wink:
aber da der IE wohl doch ziemlich unsicher ist, versuch ich glaub mal die anderen browser :roll:
wo bekomme ich denn opera, mozilla, firefox ger

thx

hyrican

Google hilft *grins* aber weil ich ein netter Mensch bin hier die Links:
-aktuelle Opera Final: http://www.golem.de/0405/31262.html
-Mozilla: http://mozilla.kairo.at/
- Firefox: http://firebird-browser.de/

hyrican

DJ_HighTec

google ? stimmt :oops: sorry

war in dem moment von meiner freundin abgelenkt :wink:
trotzdem danke für deine bemühungen ... bist wirklich ein netter mensch.

BIG THX an euch

DJ_HighTec

ja nee, oder ?

dachte jetzt is ne ruhe und jetzt? schon wieder da :x
habs versucht diesmal nur mitm CWShredder zu löschen, aber der hat gar nichts gebracht, war immernoch da. mit ad-aware gings dann wieder weg :roll:
habt ihr noch irgendwelche vorschläge wie ich des coolwebsearch dauerhaft loswerde ?
ansonsten bleint mir wohl nichts anderes übrig als den browser zu wechseln .... :cry:

hyrican

Schau dich mal hier: http://www.computerhilfen.de/magazin_spyware.php3 um. Interessant für dich könnte Spybot Search&Destroy sein( wegen der Immunisierungsfunktion, obs wirkt weiß ich nicht, bin Operauser, krieg keine Spyware) und eventuell könntest du mal ein Log von HijackThis posten dann kann man dir helfen die Reste von Coolwebsearch zu entfernen. Gegen Neuinfektion hilft das aber auch nicht, wenn du Google bemühst wird dir immer derselbe Ratschlag gegeben - Browserwechsel( sag ich doch*grins*).

hyrican

DJ_HighTec

spybot s&d hatte ich schon, aber selbst nach neuinstallation wollte der keine neuen updatessuchen ? *grrr* habs aumit ner anderen version versucht, kams gleiche raus. dann bin ich zu ad-aware gegangen, der läuft wie er soll :wink:
log von highjackthis ?? wie bekomm ich des ?
ich kann ein logfile bei ad-aware dir anbieten :wink: des andere sagt mir nichts

hyrican

Ja, für Spybot gibts momentan keine Updates. Welche Version hast du denn? Wenn es die 1.2 ist nimm mal die hier: http://www.chip.de/downloads/c_downloads_11477470.html das ist die neueste Beta und ziemlich aktuell. Aber sei vorsichtig damit, die kann bissel mehr als die 1.2 und dementsprechend auch mehr kaputtmachen. Also auf jeden Fall einen Systemwiederherstellungspunkt setzen.
HijackThis kriegst du auf der von mir verlinkten Seite aus dem vorigen Post, ist halt weiter unten. Ein Log erstellst du indem du HijackThis startest, auf Scan klickst, dann auf Save Log und den Inhalt der Logdatei kopierst und hier einfügst. Ich schau es mir dann morgen an. AdAware Logfile nützt mir nichts denn das sagt nichts über dein System aus. Guats Nächtle derweil, nur nicht den Kopf verlieren.

hyrican

DJ_HighTec

Code

Logfile of HijackThis v1.97.7
Scan saved at 00:35:33, on 13.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton AntiVirus2004\navapsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\ATI Multimedia\main\launchpd.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Norton AntiVirus2004\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PCWELT\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {751BC334-3897-499B-AFFD-D5D1D0C71665} - C:\WINDOWS\System32\oiajfnb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus2004\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus2004\NavShExt.dll
O3 - Toolbar: &amp;Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O8 - Extra context menu item: &amp;iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6090EB59-8B18-4D3B-939E-EAC771D6639C}: NameServer = 217.237.151.161 194.25.2.129

Alles anzeigen

hoffe des is richtig so
also bei dem scan war der coolwebsearch noch drauf. (müssten die oberen sein, oder? )
den spybot hab ich bis jetzt noch net durchlaufen lassen. meld mich au morgen mal wieder :wink:

hyrican

Fixe mal bitte folgende Einträge:

Code

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated) 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated) 
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated) 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated) 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated) 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\oiajfnb.dll/sp.html (obfuscated) 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {751BC334-3897-499B-AFFD-D5D1D0C71665} - C:\WINDOWS\System32\oiajfnb.dll
O8 - Extra context menu item: &amp;iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML

und dann benennst du die Datei oiajfnb.dll in C:\WINDOWS\System32 um in oiajfnbold.dll( falls du nach einem Neuboot Probleme hast kannst du sie einfach wieder in die alte Bezeichnung umbenennen, ich denk aber sie gehört zu Cws).
Auf Dauer wird das aber alles wie gesagt nicht helfen, der IE ist nunmal anfällig fürs Hijacking und wenn du nichtmal ActiveX deaktivieren willst hast du schon verloren.

hyrican

DJ_HighTec

hmmm, bis jetzt scheint alles wieder ok
aber wenn ich ad-aware durchlaufen lasse, dann findet er immernoch die cws dateien, wird dennoch nicht gestartet wenn ich den browser öffne. kann ich die jetzt einfach drin lassen? oder soll ich die jetzt löschen ?

hyrican

Lösch sie. Mit HijackThis werden ja nur die Registryeinträge entfernt.
Aber wie gesagt - ich glaub nicht das dein Rechner auf Dauer clean ist wenn du beim IE bleibst. Naja, mehr kann ich für dich nicht tun, verstehen und umsetzen mußt du es schon selber*grins*.

hyrican

DJ_HighTec

ohhh man ...
habs jetzt endgültig eingesehen, dass es mit dem IE kein wert hat :wink:
des sch*** CWS is schon wieder da
dann wechsel ich mal zu nem anderen.
trotzdem danke für deine bemühungen
man sieht sich bestimmt bald wieder *g*

THX

HighTec

coolwebsearch ??? wie bekomme ich des weg ?

Wie finde ich die besten Fototapeten für mein Zuhause?

Was habt ihr euch zuletzt gekauft?

Word 2010: Silbentrennung aktivieren

Die Kunst des Einschenkens von Bier.

"Foundation" bei Apple TV+: Zwei Folgen so teuer wie ein Kinofilm