Hallo Leute,

ich habe mir den extrem nervigen Dialer Coolwebsearch eingefangen.
Wie werde ich ihn wieder los?
Ich habe meinen pc mit ad-aware und hijekthis gecheckt.
Die Ergebnisse sind in diesen Threat sichtbar:
http://www.chip.de/forum/thread.html?bwthreadid=739727

Er hat sich als Startseite im IE eingenistet.
Es hat sich unter extras/internetoptionen/startseite mit der Adresse:http://213.159.117.134/index.php
eingetragen.

Die startseite vom IE lässt sich nicht mehr ändern. Andere Adresse wie z.b. www.heise.de lassen sich nicht mehr eintragen. die eintragunge werden nicht gespeichert. Ich habe versucht den dialer per hand zu löschen. Es hatte sich das programm: c:\programme\websiteview auf meinen rechner installiert. das habe ich manuel gelöscht. den dialer bin ich immer noch nicht los..

Ich habe es mit den verschiedenen anti-dialer programmen: spybot search&destroy, spywareBlaster, a-squared versucht den dialer loszuwerden. das hat bisher nicht geklappt. Der Dialer wird von den anti-dailer programmen nicht erkannt.

bevor der dialer hat sich eingenistet hatte ich die firewall:zonealarm auf mittlerer sicherheitsstufe zu laufen gehabt und benutze: AntiVir als anti-viren programm.

........................................................................................................


Meine Ergebnisse mit hijekthis

Hallo,

ich habe jetzt den computer mit hijekthis gecheckt.
Es kamen ähnliche Ergebnisse:

Logfile of HijackThis v1.98.2
Scan saved at 17:55:00, on 12.11.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Picasa\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\internat.exe
C:\Programme\a2\a2guard.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: C:\WINNT\lbbho.dll - {095DB703-C8DD-4ABD-97F9-75281B965B72} - C:\WINNT\lbbho.dll
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINNT\System32\deuaba.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {4D1EF412-1144-013E-59E8-A58D646974CF} - C:\WINNT\System32\ludanax.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINNT\questmod.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LifeScape Media Detector] C:\Programme\Picasa\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\System32\systime.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - w*w.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {0C4A9D28-66B5-4A70-B915-B6AEA5112472} (Icon02 Control) - webschool.netian.com/icon02.cab
O16 - DPF: {469079B2-974B-3DDA-F760-16CD3D6A19DF} - 213.159.117.150/1/gdnDE10.exe
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - w*w.browserplugin.com/plugin/exe/access_special.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4379/mcfscan.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - install.power-url.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D42EE59-0F28-45B1-ACAA-53A564C94826}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F92EB7CB-7374-4606-B166-F766A16648A1}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D42EE59-0F28-45B1-ACAA-53A564C94826}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D42EE59-0F28-45B1-ACAA-53A564C94826}: NameServer = 192.168.122.252,192.168.122.253

[edit]
links entfernt
[/edit]

Lasse zunächst mal eScan im abg. Modus scannen: http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche die gefundenen Dateien manuell.

Sollten Probleme mit der Internet-Verbindung auftreten, benutze dieses Tool:

http://www.cexx.org/lspfix.htm LSP reparieren

Hallo. Hatte bis gestern auch mit dem Cool WEB SEarch zu kämpfen.
Unter Trojaner-info.de gibts einen Download link für eine Schredderer Maschine. Diese ist kostenlos und hat in Null Komma Nix Diesen Mist gekillt...
Gruß Holgi 74

Leider ist der auch bei mir aufen Rechner gelandet.

Wie heisst dieser Schredder oder besser noch wie ist der Link zu diesem?

Am besten bitte per mail antworten.

Hier geht naturlich auch. Bin kein Computerexperte

Servus, morano!
Gratuliere - Du hast einen thread aus dem Jahre Schnee hervorgekramt!
Ich gehe davon aus, dass der Highjacker, welcher Dich jetzt plagt, mit dem damals geschilderten nur noch verwandt ist. Also zur Problemsuche bei Dir:
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

Ich glaub nicht das ich das so hin bekomme.

Aber das Program heisst genau so vielleicht kann mir wer einfach doch den schredder nennen dann versuche ich das damit einfach mal.

Hallo,

poste doch mal ein HJT file wie beschrieben.
dann sehen wir weiter...
vielleicht hast du ja noch mehr ungereimtheiten im system.

gruß