|
Plagegeister aller Art und deren Bekämpfung: about:blank?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.04.2004, 19:32 | #16 |
Moderator, a.D. | about:blank? Mmmh, warum schaffst Du es nicht, das Log "normal" zu posten? Also erst abspeichern, dann "Copy & Paste"? Anyway... Fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll HTH, Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
07.04.2004, 19:37 | #17 |
| about:blank? HA!!! dieses doofe letztere teil wars! es ist weg!!! daaankeeee yopie und shadow natürlich auch!!!
__________________(der wollte immer irgendeinen html code nicht, deshalb ließ sich das log nicht richtig posten) |
09.04.2004, 04:08 | #18 |
| about:blank? Habe das gleiche Problem, habe schon alles versucht, Updates, Adaware, Hijackthis ect.
__________________nichts funkioniert !(Scanner: ANTIVIR XP) Soweit ich es herausfinden konnte, ist es ein alter Bekannter "COOLWEBSEARCH" diesmal mit Zusatz "remover" ! Kann jemand helfen, bevor der PC aus dem Fenster fliegt !!! Für Hilfe wäre ich dankbar !!! |
09.04.2004, 04:47 | #19 |
| about:blank? Hallo Rotz, zunächst willkommen an Board. Bitte wirf Deinen Computer nicht aus dem Fenster, das macht zuviel Krach und weckt die Nachbarn auf Ich gebe Dir hier einen Link, der Dir vielleicht weiterhilft: http://www.trojaner-info.de/news/ntsearch.shtml hier ist alles gut beschrieben, was Du machen kannst, mit Links zu Tools, die Dir dabei helfen können, den IE wieder 'sauber' zu kriegen. Denk auch mal über einen Browserwechsel nach, denn nur der Internet Explorer von Microsoft ist von diesem Browser-Hijacking betroffen. Vielleicht gibst Du uns auch ein Logfile rein? Dann können wir Dir gezielter weiter helfen. Lieben Gruss |
09.04.2004, 05:31 | #20 |
| about:blank? Habe jetzt alles ausprobiert ! Nichts passiert ! Absolut hartneckig das teil ! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 23 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9508A4F5-123B-4F96-A674-2995C65DF2DE} - C:\WINDOWS\System32\ocbmebb.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O15 - Trusted Zone: hxxp://forum.dvd-inside.de O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37952.6563541667 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A8FAF248-1AE5-42FA-B756-B41C446A9670}: NameServer = 217.5.100.100 194.25.2.129 ------------------------------------------------- Shredder v1.56.0 scan only report Please understand that a CWShredder 'Scan only' report might not be sufficient to troubleshoot an infected system. You can use HijackThis for that: hxxp://filepony.de/download-hijackthis/ hxxp://www.spywareinfo.com/~merijn/files/hijackthis.zip Windows XP (5.01.2600 ) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Dokumente und Einstellungen\micha\Anwendungsdaten Username: micha Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, R) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Registry value: DefaultPrefix (should be hxxp://) [] hxxp:// Registry value: WWW Prefix (should be hxxp://) [www] hxxp:// Registry value: Mosaic Prefix (should be hxxp://) [mosaic] hxxp:// Registry value: Home Prefix (should be hxxp://) [home] hxxp:// Found Win.ini file: C:\WINDOWS\win.ini (519 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A) |
09.04.2004, 05:39 | #21 |
| about:blank? </font><blockquote>Zitat:</font><hr />Original erstellt von Rotz: Soweit ich es herausfinden konnte, ist es ein alter Bekannter "COOLWEBSEARCH" diesmal mit Zusatz "remover" !</font>[/QUOTE]Hallo Rotz, "remover" bedeutet "Entferner". Ich habe dunkel in Erinnerung, dass dieses Browser-Hijacking mittlerweile eine Möglichkeit anbietet, sich selbst wieder zu entfernen. Klick mal auf dieses "remover" und melde Dich dann bitte nochmal. [edit] Das Fixen überlasse ich meinen Kollegen, die sich hier bestimmt bald einfinden und Dir da gezielt weiterhelfen können. Ich kann Dir aber drei alternative Browser anbieten, bei denen das Problem nicht auftritt, dann kannst Du erstmal weitersurfen und Dich später hier wieder einfinden, um das IE-Problem beseitigen zu lassen: http://www.mozilla.kairo.at/ http://www.firebird-browser.de/ http://filepony.de/download-opera/ [/edit] [ 09. April 2004, 07:07: Beitrag editiert von: Shadowdance ] |
09.04.2004, 06:04 | #22 |
| about:blank? Ich lösche hier nun rauf und runter !!! Nichts passiert !!! mit "remover" ist auch nichts !! Mein Kumpel meint, es könnte auch heißen; sich wieder herstellen (remover) Ich glaube, jetzt sind mein 20 Zigaretten alle !! Mein erster Cool.... ließ sich ohne Probleme löschen ! Ich such schon mal einen Strick !!!!!! |
09.04.2004, 06:08 | #23 |
| about:blank? Hätte ich fast vergessen; Auf der Startpage steht auch nicht mehr "Coolwebsearch", sondern "search for..." |
09.04.2004, 06:10 | #24 |
| about:blank? Hallo Rotz, immer mit der Ruhe. Brauchst Du den IE momentan undbedingt? Ich hatte mein Posting editiert, aber das hast Du nicht gesehen, nehme ich an .. also nochmal: Das Fixen überlasse ich meinen Kollegen, die sich hier bestimmt bald einfinden und Dir da gezielt weiterhelfen können. Ich kann Dir aber drei alternative Browser anbieten, bei denen das Problem nicht auftritt, dann kannst Du erstmal weitersurfen und Dich später hier wieder einfinden, um das IE-Problem beseitigen zu lassen: http://www.mozilla.kairo.at/ http://www.firebird-browser.de/ http://filepony.de/download-opera/ |
09.04.2004, 06:33 | #25 |
| about:blank? Ich versuche zur Zeit einen Browser zu laden, leider scheint dieses "Programm" das zu verhindern ! Surfen geht zwar noch, auch unter Cool...,aber wer weiß welche Daten gerade hin und her geschoben werden ! Außerdem scheint Cool... auch andere Würmer magisch anzuziehen ! Ich hoffe, ich finde noch eine CD wo zb. Opera drauf ist ! |
09.04.2004, 06:43 | #26 |
| about:blank? Hallo Rotz, coolwebsearch ist kein Wurm sondern ein Programm, das den Internet Explorer auf fremde Seiten entführt. Ich gebe Dir hier eine Auflistung von Online-Scannern an, um Deinen Computer online scannen zu lassen: http://www.bul-online.de/av/onlinescan.shtml |
09.04.2004, 06:49 | #27 |
| about:blank? Soweit war ich leider auch schon, habe schon mehrere Scanner benutzt, leider kein erfolg bis jetzt ! |
09.04.2004, 06:54 | #28 |
| about:blank? auf der Seite, die ich Dir vorhin angegeben hatte: http://www.trojaner-info.de/news/ntsearch.shtml gibt es das Tool Spoonweg, das hier kostenlos runtergeladen werden kann. Versuch's mal damit. Fixen kannst Du: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9508A4F5-123B-4F96-A674-2995C65DF2DE} - C:\WINDOWS\System32\ocbmebb.dll alles Weitere, was noch auf Deiner Festplatte gefixt werden muss, überlasse ich denen, die sich damit perfekt auskennen. |
09.04.2004, 07:15 | #30 |
| about:blank? und schieb das hier bitte in den Mülleimer, aber lösche es erstmal nicht: Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) ... Näheres dazu müssen Dir die Fachleute an Board sagen, ich komme leider nicht weiter. Tut mir leid, alles Gute weiterhin. |
Themen zu about:blank? |
about, about:blank, absolut, ahnung, bla, blank, browser, confused, cwshredder, einfach, explorer, folge, folgendes, gelöscht, hoffe, inetexplorer, keine ahnung, nichts, problem, seite, starte, startseite, thread, troja, trojaner, übernimmt, übersehen, ändern |