Coolwebsearch about:blank

Xychor · 11.01.2005, 21:12

Hallo!

diesmal bin nicht ich selbst (oder vielmehr mein Computer) betroffen sondern der PC meines Vaters! Wie bereits in der Topic angekündigt handelts es sich um ein Problem mit Coolwebsearch. Ich habe bereits die "gängigsten" Anti
-spy,-virus,-trojaner und -hijack Programme durchlaufen lassen (also z.B. Spybot, A adware usw.) diese haben zwar alle etwas gefunden, haben es auch gelöscht aber nach einem Neustart war alles wie vorher (obwohl Systemwiederherstellung (wie aus anderer Quelle empfohlen) deaktiviert ist)
nunja ich hoffe ein weiteres mal auf eure Hilfsbereitschaft

Hijackthis log wie folgt:

Logfile of HijackThis v1.99.0
Scan saved at 21:02:34, on 11.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bütefür\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BTEFR~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BTEFR~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {277B79E2-6141-4D0B-B0FB-56C43F6BAD09} - C:\WINDOWS\system32\mjgo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] C:\Programme\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=011605 serial=ES02WBG-0090091-CML
O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://de.trendmicro-europe.com/ente...secall_pre.php (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file...CallButton.CAB
O18 - Filter: text/html - {63284374-A951-423A-AC37-DB41AF856DCE} - C:\WINDOWS\system32\mjgo.dll
O18 - Filter: text/plain - {63284374-A951-423A-AC37-DB41AF856DCE} - C:\WINDOWS\system32\mjgo.dll
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe

ich kann damit wie gesagt nur bedingt etwas mit anfangen ^^
Im Voraus schonmal vielen Dank!

MfG
Xy

Shadowdance · 11.01.2005, 22:31

@ Xychor

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BTEFR~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BTEFR~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - h**p://de.trendmicro-europe.com/ent...usecall_pre.php (file missing)

boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

____________________

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\system32\mjgo.dll

--> teile uns das Ergebnis der Überprüfung mit.

DonQuijano · 11.01.2005, 22:54

Zitat:

Zitat von Shadowdance

O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - h**p://de.trendmicro-europe.com/ent...usecall_pre.php (file missing)

Warum soll Housecall von Trendmicro gefixt werden?

Shadowdance · 11.01.2005, 23:01

@ DonQuijano

dieser file ist unvollständig, die Datei ist nicht vorhanden. Solche Einträge werden gefixed.

Xychor · 12.01.2005, 15:32

Hallo!

hab alles gemacht wie vorgeschrieben (ausser die .dll überprüft da die Seite momentan wohl down ist. Dafür habe ich aber mit KL Online Virekscanner die Datei überprüft allerdings hat dieser nichts gefunden.)
Das Problem besteht jedoch weiterhin...

Coolwebsearch about:blank

Log-Analyse und Auswertung: Coolwebsearch about:blank