|
also ich hab folgendes problem: auf irgendeiner seite hab ich mir einen trojaner gezogen, der mich jetzt ständig auf die startseite linklist.cc lenkt. hatte mir daraufhin cwshredder geholt und durchlaufen lassen, er hat das ding auch gelöscht und alles war wieder im lot - allerdings, wenn ich jetzt den inetexplorer starte lande ich schon wieder auf der seite und im browser wird nur noch about:blank angezeigt. :confused: wenn ich cwshredder wiederlaufen lasse löscht er auch wieder etwas, aber wenn ich dann den explorer wieder starte bin ich genauso weit wie vorher. einfach die startseite zu ändern bringt auch nichts, er übernimmt es einmal, danach ists es wieder about:blank... (die seite ist trotzdem die von linklist.cc, die ich vorher auch hatte) nebenbei gesagt, ich hab davon absolut keine ahnung, wenn in einem andren thread schon so etwas vorkam, hab ichs wohl übersehen [img]graemlins/balla.gif[/img] ich hoffe mal, hier weiß jemand etwas damit anzufangen... :rolleyes: |
Hallo und Willkommen an Board. Dein Fall ist hier gut ausgeschildert: hxxp://w3studi.informatik.uni-stuttgart.de/~schrotrf/mpdshfaq/mpdshfaq.html#SECTION000120000000000000000 |
erst mal danke für die schnelle antwort! allerdings.. wie ich zuvor erwähnte bin ich blutiger anfänger mit solchen sachen und verstehe jetzt größtenteils nur bahnhof, bzw. ich seh nich richtig was genau ich zu tun hab (sorry! :( )... soll ich mir jetzt ein patch runterladen, wenn ja welches... und was genau hab ich da jetzt eigentlich, nen wurm, nen trojaner..? (entschuldigung, ich stell mich vermutlich etwas dämlich an.. :confused: ) |
@ BlackWolf - Welcome on Board [img]smile.gif[/img] </font><blockquote>Zitat:</font><hr />entschuldigung, ich stell mich vermutlich etwas dämlich an.. </font>[/QUOTE]Jeder hat mal angefangen :rolleyes: Frage : Hast du überhaupt schon mal Patches gezogen ? Auf JEDENFALL die notwendigen Patches ziehen !! Hijack This auch empfehlenswert Welche Windows Version hast du ? Welches Anti Viren Programm ? Solltest mal über ein Browserwechsel nachdenken ! <a href="http://www.firebird-browser.de/" target="_blank">Firefox </a> Opera [ 07. April 2004, 13:12: Beitrag editiert von: Nangie ] |
danke für die antwort, nangie [img]smile.gif[/img] ich hab hier xp drauf, aber irgendwie hab ich das gefühl, das ich hier keine anti virus programm hab... ich bin mit sowas nur mal durch ntsearch in berührung gekommen, war demnach leichtsinnig... :( an patches die ich mir gezogen hab kann ich mich nicht erinnern, glaube nicht, dass ich das schon gemacht hab... wo bekomm ich denn die her, die ich brauch? hijack this hab ich eben durchlaufen lassen, ich kopier die laufenden prozesse jetzt einfach mal hier rein in der hoffnung, dass man da vielleicht was findet... (beim logfile will er irgendeinen html-code nicht :confused: ) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Kazaa\kazaa.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\DownloadWare\dw.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\WebDrive\wdservice.exe C:\WINDOWS\DitExp.exe C:\Programme\MLH\launcher.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\WebDrive\webdrive.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Orbit\update.exe C:\Programme\n-CASE\msbb.exe C:\Programme\Orbit\view.exe C:\WINDOWS\System32\SWMonitor.exe C:\Programme\ICQPlus\vplus.exe C:\WINDOWS\System32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\hijackthis1977\HijackThis.exe [ 07. April 2004, 13:55: Beitrag editiert von: BlackWolf ] |
Bei der Auswertung von HijackThis kann ich dir leider nicht helfen - aber keine Bange,die Experten können das prima - Die Patches findest du HIER und dann `Updates suchen`anklicken - solltest du so schnell wie möglich machen !! Wird sicher etwas Zeit in Anspruch nehmen. Hier ist ein Online Scan Ein Antiviren Programm solltest du auch so schnell wie möglich installieren ! Ich z.B. habe NOD32 und a² drauf und bin damit sehr zufrieden - beides gibt es auch als Test Version |
Da fehlen leider sehr entscheidende Teile, bitte nocheinmal versuchen zur Not (aber bitte nur zur Not da dann sehr klein) über CODE einfügen (unten bei UBB-Codes: in der rechten Buttonspalte, mittig) |
C:\Programme\MLH\launcher.exe schaut schon mal nicht gut aus! (Spyware) C:\Programme\DownloadWare\dw.exe Brauchst Du dass? C:\Programme\Orbit\update.exe C:\Programme\Orbit\view.exe Ob das was gutes ist? Glaube jetzt mal eher nicht Fixe mal die Eintrage in HiJackThis (auch den Downloader, wenn Du ihn nicht als gutes Programm kennst und nutzt) Lasse mal AdAware und Spybot S&D laufen, Quelle siehe meine Signatur. Downloaden, installieren, updaten, durchlaufen lassen Vor dem nächsten HighJackThis Log bitte alle(!) nicht benötigten Fenster und Programme schließen. [ 07. April 2004, 15:10: Beitrag editiert von: Shadow ] |
okay, vielen dank für die links etc... hab die angegebenen dateien gelöscht, ist aber immer noch da... hier noch mal der log... Logfile of HijackThis v1.97.7 Scan saved at 15:53:45, on 07.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Kazaa\kazaa.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\DitExp.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\WebDrive\webdrive.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Orbit\update.exe C:\Programme\Orbit\view.exe C:\WINDOWS\System32\SWMonitor.exe C:\Programme\WebDrive\wdservice.exe C:\Programme\ICQPlus\vplus.exe C:\WINDOWS\System32\cidaemon.exe C:\hijackthis1977\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;"> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://de.rd.companion.yahoo.com/slv/ycheck/as/*hxxp://search.yahoo.com/search?p=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: OESearchHook Class - {341FB59F-3507-443b-8147-423B4E3B2B15} - C:\Programme\Gemeinsame Dateien\OE\search.dll O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1311.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {702AD576-FDDB-4d0f-9811-A43252064684} - C:\Programme\Gemeinsame Dateien\OE\toolbar.dll O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll O2 - BHO: (no name) - {D48F2E28-68E2-4920-9848-D6E6C7AB3EB7} - C:\Programme\Gemeinsame Dateien\OE\redirector.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O3 - Toolbar: &Search Toolbar - {702AD576-FDDB-4d0f-9811-A43252064684} - C:\Programme\Gemeinsame Dateien\OE\toolbar.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v2\se.EXE" /U O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\WebDrive\webdrive.exe /trayicon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [msbb] C:\Programme\n-CASE\msbb.exe O4 - HKCU\..\Run: [SWUpdateMonitor] C:\WINDOWS\System32\SWMonitor.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: Sidesearch (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: START_PAGE_URL=hxxp://www.medion.de O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/222bd7c2536d411e1c15/netzip/RdxIE601_de.cab O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - hxxp://secure.goodthinxx.com/(tsffwrzshji3wc45t3jyiznj)/secureweb/securewebgt.cab O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - hxxp://kit.carpediem.fr/20429/Italie/ParisVoyeur.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38084.2094097222 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://a532.g.akamai.net/7/532/6712/2.0.0.33/player.virtools.com/downloads/player/Install2.0/Installer.exe O16 - DPF: {D7B3E460-9968-4191-BD6F-BEED1BC18482} (Loader Class) - hxxp://www.orbitexplorer.com/OELoader.cab O16 - DPF: {DBAE7000-01EC-4162-8FEB-8A27AC937CA0} (HDPluginCtrl Class) - hxxp://webpdp.gator.com/4/download/hdplugin_1015_bundle43v2d12.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.stardialer.de/StarInstall.ocx O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - hxxp://www.whenusearch.com/WUInstSEWC.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - hxxp://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6DAC41-2198-4C12-A59E-EB7230E4A73E}: NameServer = 192.168.1.1 </pre>[/QUOTE]oh gott dieses orbit zeug ist ja schon wieder da... [ 07. April 2004, 16:20: Beitrag editiert von: BlackWolf ] |
Versuch mal den OnlineScan ---> hier klicken ********************************************* NOD32 Testversion ---> hier klicken Nach dem Installieren bitte SOFORT updaten ! a² Free ---> hier klicken Nach dem Installieren bitte SOFORT updaten ! |
@ Board-Admins: Habt Ihr Euch so einen "Code" eigentlich schon mal mit der "echten" (Hardware)Auflösung (1280*1024) an einem 18/19" TFT-Display angeschaut? [img]graemlins/heulen.gif[/img] na gut unter dem Microscop erkenne ich kurz vor der Erblindung erstmal: alle R1 und R0 fixen! R3 auch weg. Du benutzt zwar wohl einen DSL-Router aber weg damit: 16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx (ein DIALER stört nur mit DSL, verursacht aber keine direkten Kosten) auch alle andere o16 würde ich fixen, falls Du das was brauchst (Yahoo) kannst es ja ausnehmen. Der MS-Eintrag würde (wie auch alle anderen) beim ersten bewussten Neuaufruf wieder angelegt aber wennDu diesen O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x8.... nicht fixed ist es natürlich okay. O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v2\se.EXE" /U Kenst Du das näher? ohne Google-recherche würdei ch mal sage, ab in die Tonne. Alles mit Promulgate / Delfin fixen! ist Adware Und warum schließt Du nicht ALLEn Müll, auch aus dem Systray, es würde für UNS übersichtlicher (und allgemein würde es Deiner Kiste auch nicht schaden. Wer braucht schon den real-Player-Scheduler, nagut LKazaa und den Medoin-Sch*** brauche ICH auch nicht :D Also bitte: schließe alle Programme und Fenster Schau im Systray (bei der Uhr unten rechts normal) und schließe per rechte Maus alles außer Netzwerk, und kontrolliere dabei auch gleich was das Zeug ist und was Du da wirklich IMMER benötigst. [ 07. April 2004, 17:16: Beitrag editiert von: Shadow ] |
sorry, ansonsten wollte er das partou nicht posten... ;) also... erst mal hat a² zwei malwares von meinem pc gelöscht... den ganzen kram mit o16, o4 etc. hab ich gelöscht, hat sich auch verzogen - aber mit den r1 un r0 dingern hab ich nen problem.. ich hab alle anwedungen beendet bis auf netzwerk eben und hab es gelöscht. aber als ich dann wieder alles gestartet hab und ins internet ging um nachzusehehn obs ging ist da jetzt schon wieder linklist - und r1 un r0 sind wieder da... hab ich wieder irgendwas falsch gemacht? *hüstel* (viieeeelen dank für die geduld, vielen dank! ;) ) |
nein, du hast nichts falsch gemacht, es wird "einfach" bei dir bei jedem Start ein Programm gestartet welches die Schei*e wieder aktiviert, ist "üblich". Aber kannst Du mal nicht "alles" beenden und noch mal einen Hijack-Log hier reinstellen? Dann siehtr man was noch übrig ist. Ansonsten vorher (?) (wenn Du Adawre und Spybot S&D schon durchlaufen hast lassen): STart => ausführen => "MSCONFIG" (ohne ") + Entertaste Dort auf "Systemstart" Wenn Du dort was mit "orbit" findest, Häkchen raus. Wenn Du nichts findest oder es nicht hilft den Inhalt hier mal Posten, leider gibt es kein Log/File-Funktion |
also adaware findet immer tewas namens windows (was ich irgendwie nicht löschen wollte, der name kam mir da doch komisch vor) und etwas namens "coolwebsearch"... das kann ich löschen so oft ich will, das kommt immer wieder. der log von hijackthis (in der hoffnung endlich mal alles beendet zu haben ;) )... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\WebDrive\wdservice.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\WINDOWS\System32\SWMonitor.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe C:\hijackthis1977\HijackThis.exe C:\WINDOWS\System32\cidaemon.exe </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;"> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\WebDrive\webdrive.exe /trayicon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKCU\..\Run: [SWUpdateMonitor] C:\WINDOWS\System32\SWMonitor.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yaho...bio5_0_2_7.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6DAC41-2198-4C12-A59E-EB7230E4A73E}: NameServer = 192.168.1.1</pre>[/QUOTE]und in dem msconfig find ich nix das orbit im namen hat... ich hab da einen seltsamen namenlosen... und ansonsten wkufind und dit.exe, die hab ich beide beendet. (ich hoffe ich hab keinen übersehen, die anderen konnte ich eigentlich zuordnen) (ich sollte noch mal versuchen dieses namenlose zu beenden...) |
</font><blockquote>Zitat:</font><hr />Original erstellt von BlackWolf: also adaware findet immer tewas namens windows (was ich irgendwie nicht löschen wollte, der name kam mir da doch komisch vor) und etwas namens "coolwebsearch"... das kann ich löschen so oft ich will, </font>[/QUOTE]=> probiers doch mal mit CWShhredder (siehe Signatur)! Ach ja und schreinb mal genauer die AdAware-Windows-Meldung [ 07. April 2004, 20:38: Beitrag editiert von: Shadow ] |
Mmmh, warum schaffst Du es nicht, das Log "normal" zu posten? Also erst abspeichern, dann "Copy & Paste"? Anyway... Fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll HTH, Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
HA!!! dieses doofe letztere teil wars! es ist weg!!! daaankeeee yopie und shadow natürlich auch!!! :D (der wollte immer irgendeinen html code nicht, deshalb ließ sich das log nicht richtig posten) |
Habe das gleiche Problem, habe schon alles versucht, Updates, Adaware, Hijackthis ect. nichts funkioniert !(Scanner: ANTIVIR XP) Soweit ich es herausfinden konnte, ist es ein alter Bekannter "COOLWEBSEARCH" diesmal mit Zusatz "remover" ! Kann jemand helfen, bevor der PC aus dem Fenster fliegt !!! Für Hilfe wäre ich dankbar !!! |
Hallo Rotz, zunächst willkommen an Board. Bitte wirf Deinen Computer nicht aus dem Fenster, das macht zuviel Krach und weckt die Nachbarn auf ;) Ich gebe Dir hier einen Link, der Dir vielleicht weiterhilft: http://www.trojaner-info.de/news/ntsearch.shtml hier ist alles gut beschrieben, was Du machen kannst, mit Links zu Tools, die Dir dabei helfen können, den IE wieder 'sauber' zu kriegen. Denk auch mal über einen Browserwechsel nach, denn nur der Internet Explorer von Microsoft ist von diesem Browser-Hijacking betroffen. Vielleicht gibst Du uns auch ein Logfile rein? Dann können wir Dir gezielter weiter helfen. Lieben Gruss |
Habe jetzt alles ausprobiert ! Nichts passiert ! Absolut hartneckig das teil ! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 23 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9508A4F5-123B-4F96-A674-2995C65DF2DE} - C:\WINDOWS\System32\ocbmebb.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O15 - Trusted Zone: hxxp://forum.dvd-inside.de O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37952.6563541667 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A8FAF248-1AE5-42FA-B756-B41C446A9670}: NameServer = 217.5.100.100 194.25.2.129 ------------------------------------------------- Shredder v1.56.0 scan only report Please understand that a CWShredder 'Scan only' report might not be sufficient to troubleshoot an infected system. You can use HijackThis for that: hxxp://filepony.de/download-hijackthis/ hxxp://www.spywareinfo.com/~merijn/files/hijackthis.zip Windows XP (5.01.2600 ) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Dokumente und Einstellungen\micha\Anwendungsdaten Username: micha Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, R) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Registry value: DefaultPrefix (should be hxxp://) [] hxxp:// Registry value: WWW Prefix (should be hxxp://) [www] hxxp:// Registry value: Mosaic Prefix (should be hxxp://) [mosaic] hxxp:// Registry value: Home Prefix (should be hxxp://) [home] hxxp:// Found Win.ini file: C:\WINDOWS\win.ini (519 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Rotz: Soweit ich es herausfinden konnte, ist es ein alter Bekannter "COOLWEBSEARCH" diesmal mit Zusatz "remover" !</font>[/QUOTE]Hallo Rotz, "remover" bedeutet "Entferner". Ich habe dunkel in Erinnerung, dass dieses Browser-Hijacking mittlerweile eine Möglichkeit anbietet, sich selbst wieder zu entfernen. Klick mal auf dieses "remover" und melde Dich dann bitte nochmal. [edit] Das Fixen überlasse ich meinen Kollegen, die sich hier bestimmt bald einfinden und Dir da gezielt weiterhelfen können. Ich kann Dir aber drei alternative Browser anbieten, bei denen das Problem nicht auftritt, dann kannst Du erstmal weitersurfen und Dich später hier wieder einfinden, um das IE-Problem beseitigen zu lassen: http://www.mozilla.kairo.at/ http://www.firebird-browser.de/ http://filepony.de/download-opera/ [/edit] [ 09. April 2004, 07:07: Beitrag editiert von: Shadowdance ] |
Ich lösche hier nun rauf und runter !!! Nichts passiert !!! mit "remover" ist auch nichts !! Mein Kumpel meint, es könnte auch heißen; sich wieder herstellen (remover) Ich glaube, jetzt sind mein 20 Zigaretten alle !! Mein erster Cool.... ließ sich ohne Probleme löschen ! Ich such schon mal einen Strick !!!!!! |
Hätte ich fast vergessen; Auf der Startpage steht auch nicht mehr "Coolwebsearch", sondern "search for..." |
Hallo Rotz, immer mit der Ruhe. Brauchst Du den IE momentan undbedingt? Ich hatte mein Posting editiert, aber das hast Du nicht gesehen, nehme ich an .. also nochmal: Das Fixen überlasse ich meinen Kollegen, die sich hier bestimmt bald einfinden und Dir da gezielt weiterhelfen können. Ich kann Dir aber drei alternative Browser anbieten, bei denen das Problem nicht auftritt, dann kannst Du erstmal weitersurfen und Dich später hier wieder einfinden, um das IE-Problem beseitigen zu lassen: http://www.mozilla.kairo.at/ http://www.firebird-browser.de/ http://filepony.de/download-opera/ |
Ich versuche zur Zeit einen Browser zu laden, leider scheint dieses "Programm" das zu verhindern ! Surfen geht zwar noch, auch unter Cool...,aber wer weiß welche Daten gerade hin und her geschoben werden ! Außerdem scheint Cool... auch andere Würmer magisch anzuziehen ! Ich hoffe, ich finde noch eine CD wo zb. Opera drauf ist ! |
Hallo Rotz, coolwebsearch ist kein Wurm sondern ein Programm, das den Internet Explorer auf fremde Seiten entführt. Ich gebe Dir hier eine Auflistung von Online-Scannern an, um Deinen Computer online scannen zu lassen: http://www.bul-online.de/av/onlinescan.shtml |
Soweit war ich leider auch schon, habe schon mehrere Scanner benutzt, leider kein erfolg bis jetzt ! |
auf der Seite, die ich Dir vorhin angegeben hatte: http://www.trojaner-info.de/news/ntsearch.shtml gibt es das Tool Spoonweg, das hier kostenlos runtergeladen werden kann. Versuch's mal damit. Fixen kannst Du: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9508A4F5-123B-4F96-A674-2995C65DF2DE} - C:\WINDOWS\System32\ocbmebb.dll alles Weitere, was noch auf Deiner Festplatte gefixt werden muss, überlasse ich denen, die sich damit perfekt auskennen. |
Lies Dich bitte hier mal ein, da haben unsere Fachleute an Board sich sehr ausgiebig mit diesem Problem befasst. Vielleicht findest Du etwas, das Du noch nicht ausprobiert hast. |
und schieb das hier bitte in den Mülleimer, aber lösche es erstmal nicht: Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm Infected data: res://C:\WINDOWS\System32\ocbmebb.dll/sp.html (obfuscated) ... Näheres dazu müssen Dir die Fachleute an Board sagen, ich komme leider nicht weiter. Tut mir leid, alles Gute weiterhin. |
@Rotz: Shadowdance hat Dir die problematischen Einträge genannt. Diese mit Hijackthis fixen. Und dann folgende Datei löschen: C:\WINDOWS\System32\ocbmebb.dll Spätestens nach einem Neustart sollte alles wieder ok sein! Danach Windowsupdate (falls nicht auf aktuellem Stand) und Browserwechsel! @SD: Passt doch alles. ;) Hast nur doppelt gepostet; die Einträge sind nämlich gleich. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
danke @ Yopie [img]graemlins/daumenhoch.gif[/img] |
Leider funktioniert das auch nicht ! gefixed/gelöscht/runtergefahren/raufgefahren ...alles wieder da ! ich habe mir aber nochmal die Startseite angesehen, wenn ich mit dem Mauszeiger auf ein link gehe, erscheint in der Leiste: javasript: go software ect. Ich bin jetzt wirklich alle Möglichkeiten durch !! Nun sitzte ich schon 6 Stunden an dem Problem ! |
Hast Du diesen Eintrag auch gefixt? O2 - BHO: (no name) - {9508A4F5-123B-4F96-A674-2995C65DF2DE} - C:\WINDOWS\System32\ocbmebb.dll Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
ja, das ist ja das perverse, ich kriege den sch...nicht von meiner Festplatte ! |
:( Von CWShredder gibst 'ne neue Version (1.56.1), mach mal Update und fixe direkt damit! Vielleicht klappts so! Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Danke Yopie, habe ich auch schon gemacht, bleibt immer gleich, ob gefixed oder geshreedert,alle gelöschten (befallenen) Einträge, sind wie mit Zaunberhand, wieder da ! |
Hallo! Ich hab auch das Problem mit der Startseite. Der CW Shredder hat immer ein Teil entfernt aber ich bekomme immer wieder diese Startseite. Der Spybot hat jetzt nach dem Durchsuchen einige Einträge angegeben. Kann ich die angegebenen Probleme alle beheben lassen oder ist da was dabei was da so bleiben sollte? Kann auch mal die Einträge hier angeben, ist aber relativ viel! |
Hi Eclipse, willkommen an Board. [img]smile.gif[/img] Am besten postest Du Dein Problem mal in einem seperatem Thread, ist übersichtlicher. Bei Spybot werden Sicherheitskopien angelegt, Du solltest also alles wiederherstellen können, wenn etwas nicht läuft. Bei speziellen Problemen frag nochmal nach. Und poste mal eine HijackThis-Log! (in einem neuen Thread!) Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
"coolwebsearch trojan remover" Diesen Titel zeigte mir shreeder beim Scan an ! |
Du hast natürlich recht, bin schon total durch den Wind ! Sitze jetzt schon 20 Stunden an der sch... ! Ich hoffe, es gibt irgendwo ein radikaleres Programm, um diesen Parasiten loszuwerden ! Wie in meinen letzten postings, habe ich schon alle Möglichkeiten ausprobiert ! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Rotz: Ich hoffe, es gibt irgendwo ein radikaleres Programm, um diesen Parasiten loszuwerden ! </font>[/QUOTE]Natürlich! zum Beispiel Format.com zu finden auf Deiner Windows-CD |
Nachdem Du hier in einen Thread eingestiegen bist ist es nicht gerade übersiichtlich. hast Du Dein Windows und Deinen IE schon upgedated? |
Ja, das ist aber auch das Problem, ich habe jetzt fast alles versucht Update/Virenscanner/Adaware ect. ! In dem Moment, wo ich glaube durch die diversen Progamme alles gelöscht zu habe, ist der ganze Dreck wieder da ! Ich könnte natürlich die Festplatte neu formatieren und alles wieder aufspielen, da ich aber in zwei Tagen auf Kur fahre, fehlt mir leider auch die Zeit ! Ich habe gehofft, jemanden zu finden, der das gleiche Problem hat und schon einen erfolg verbuchen konnte ! Wäre schön, wenn ich ohne "Coolwebsearch" wegfahren könnte ! Trotzdem Danke an alle für die Hilfestellung !!! |
Das Problem ist immer die Ferndiagnose... Sitzt man selber am Computer kann man sich halt auch alles ansehen und stößt so auf manches. Hast Du jetzt Dein Windows upgedated oder nicht? Wenn nein, warum nicht! Wenn ja poste noch mal ein aktuelles kompletes HJT-Logfile steht was "interessantes" in 'ausführen => msconfig > Systemstart' drin? Dort auch mal die config.sys. und autoexec.bat checken mal bei "Dienste" alle MS-Dienste ausblenden und schauen was übrig bleibt Zur Not musst Du auch die System.ini und Win.ini durchsuchen. Aller Einträge in der Registry mit "RUN" oder "RUNONCE" mal ansehen |
</font><blockquote>Zitat:</font><hr />Original erstellt von Rotz: "coolwebsearch trojan remover" Diesen Titel zeigte mir shreeder beim Scan an ! </font>[/QUOTE]Vielleicht solltest Du auch das Programm starten? "CHShredder Coolwebsearch trojan remover" ist, welch Überraschung der Titel des Programmes, es ist nämlich sowohl der Titel eines Programmes wie auch die Titelleiste dafür gedacht, den Titel eines Programmes in der Titelleiste anzuzeigen. :cool: Und wie startet man "CHShredder Coolwebsearch trojan remover"? Zuerst mal "unten" auf 'Check for update' klicken und sich überraschen lassen. Entweder Updaten, wenn es eines gibt (1.56.1 sollte aktuellst sein), entpacken und neu starten. Dann gehst Du "rechts unten" auf Fix, VORHER alle IE-Fenster schließen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board