Mmmh, warum schaffst Du es nicht, das Log "normal" zu posten? Also erst abspeichern, dann "Copy & Paste"?

Anyway...

Fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll

HTH,
Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

HA!!! dieses doofe letztere teil wars! es ist weg!!! daaankeeee yopie und shadow natürlich auch!!!

(der wollte immer irgendeinen html code nicht, deshalb ließ sich das log nicht richtig posten)

Habe das gleiche Problem, habe schon alles versucht, Updates, Adaware, Hijackthis ect.
nichts funkioniert !(Scanner: ANTIVIR XP)

Soweit ich es herausfinden konnte, ist es ein alter Bekannter "COOLWEBSEARCH" diesmal mit Zusatz "remover" !

Kann jemand helfen, bevor der PC aus dem Fenster fliegt !!! Für Hilfe wäre ich dankbar !!!

Hallo Rotz,

zunächst willkommen an Board.

Bitte wirf Deinen Computer nicht aus dem Fenster, das macht zuviel Krach und weckt die Nachbarn auf

Ich gebe Dir hier einen Link, der Dir vielleicht weiterhilft: http://www.trojaner-info.de/news/ntsearch.shtml hier ist alles gut beschrieben, was Du machen kannst, mit Links zu Tools, die Dir dabei helfen können, den IE wieder 'sauber' zu kriegen.

Denk auch mal über einen Browserwechsel nach, denn nur der Internet Explorer von Microsoft ist von diesem Browser-Hijacking betroffen.

Vielleicht gibst Du uns auch ein Logfile rein? Dann können wir Dir gezielter weiter helfen.

Lieben Gruss

Habe jetzt alles ausprobiert ! Nichts passiert !
Absolut hartneckig das teil !


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 23 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {9508A4F5-123B-4F96-A674-2995C65DF2DE} - C:\WINDOWS\System32\ocbmebb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O15 - Trusted Zone: hxxp://forum.dvd-inside.de
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37952.6563541667
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8FAF248-1AE5-42FA-B756-B41C446A9670}: NameServer = 217.5.100.100 194.25.2.129
-------------------------------------------------
Shredder v1.56.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
hxxp://filepony.de/download-hijackthis/
hxxp://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 )
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\micha\Anwendungsdaten
Username: micha

Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, R)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Registry value: DefaultPrefix (should be hxxp://) [] hxxp://
Registry value: WWW Prefix (should be hxxp://) [www] hxxp://
Registry value: Mosaic Prefix (should be hxxp://) [mosaic] hxxp://
Registry value: Home Prefix (should be hxxp://) [home] hxxp://
Found Win.ini file: C:\WINDOWS\win.ini (519 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A)

</font><blockquote>Zitat:</font><hr />Original erstellt von Rotz:
Soweit ich es herausfinden konnte, ist es ein alter Bekannter "COOLWEBSEARCH" diesmal mit Zusatz "remover" !</font>[/QUOTE]Hallo Rotz,

"remover" bedeutet "Entferner". Ich habe dunkel in Erinnerung, dass dieses Browser-Hijacking mittlerweile eine Möglichkeit anbietet, sich selbst wieder zu entfernen. Klick mal auf dieses "remover" und melde Dich dann bitte nochmal.

[edit] Das Fixen überlasse ich meinen Kollegen, die sich hier bestimmt bald einfinden und Dir da gezielt weiterhelfen können. Ich kann Dir aber drei alternative Browser anbieten, bei denen das Problem nicht auftritt, dann kannst Du erstmal weitersurfen und Dich später hier wieder einfinden, um das IE-Problem beseitigen zu lassen:

http://www.mozilla.kairo.at/
http://www.firebird-browser.de/
http://filepony.de/download-opera/ [/edit]

[ 09. April 2004, 07:07: Beitrag editiert von: Shadowdance ]

Ich lösche hier nun rauf und runter !!!

Nichts passiert !!!

mit "remover" ist auch nichts !!

Mein Kumpel meint, es könnte auch heißen;
sich wieder herstellen (remover)

Ich glaube, jetzt sind mein 20 Zigaretten alle !!

Mein erster Cool.... ließ sich ohne Probleme löschen ! Ich such schon mal einen Strick !!!!!!

Hätte ich fast vergessen;

Auf der Startpage steht auch nicht mehr "Coolwebsearch", sondern "search for..."

Hallo Rotz,

immer mit der Ruhe. Brauchst Du den IE momentan undbedingt? Ich hatte mein Posting editiert, aber das hast Du nicht gesehen, nehme ich an ..

also nochmal: Das Fixen überlasse ich meinen Kollegen, die sich hier bestimmt bald einfinden und Dir da gezielt weiterhelfen können. Ich kann Dir aber drei alternative Browser anbieten, bei denen das Problem nicht auftritt, dann kannst Du erstmal weitersurfen und Dich später hier wieder einfinden, um das IE-Problem beseitigen zu lassen:

http://www.mozilla.kairo.at/
http://www.firebird-browser.de/
http://filepony.de/download-opera/

Ich versuche zur Zeit einen Browser zu laden, leider scheint dieses "Programm" das zu verhindern !

Surfen geht zwar noch, auch unter Cool...,aber
wer weiß welche Daten gerade hin und her geschoben werden ! Außerdem scheint Cool...
auch andere Würmer magisch anzuziehen !
Ich hoffe, ich finde noch eine CD wo zb. Opera drauf ist !

Hallo Rotz,

coolwebsearch ist kein Wurm sondern ein Programm, das den Internet Explorer auf fremde Seiten entführt. Ich gebe Dir hier eine Auflistung von Online-Scannern an, um Deinen Computer online scannen zu lassen:

http://www.bul-online.de/av/onlinescan.shtml

Soweit war ich leider auch schon, habe schon mehrere Scanner benutzt, leider kein erfolg bis jetzt !

auf der Seite, die ich Dir vorhin angegeben hatte:

http://www.trojaner-info.de/news/ntsearch.shtml

gibt es das Tool Spoonweg, das hier kostenlos runtergeladen werden kann. Versuch's mal damit.

Fixen kannst Du:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {9508A4F5-123B-4F96-A674-2995C65DF2DE} - C:\WINDOWS\System32\ocbmebb.dll

alles Weitere, was noch auf Deiner Festplatte gefixt werden muss, überlasse ich denen, die sich damit perfekt auskennen.

Lies Dich bitte hier mal ein, da haben unsere Fachleute an Board sich sehr ausgiebig mit diesem Problem befasst. Vielleicht findest Du etwas, das Du noch nicht ausprobiert hast.

und schieb das hier bitte in den Mülleimer, aber lösche es erstmal nicht:

Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated)

... Näheres dazu müssen Dir die Fachleute an Board sagen, ich komme leider nicht weiter. Tut mir leid, alles Gute weiterhin.