Probleme mit Popup und Startseite im Internetexplorer

[fadmax]

Ich hab seit ca drei Tagen das Problem das ein POPup mit dem Namen (cool-web-search) meinen PC verseucht und teilweise meinen Exlorer zum Absturz bringt. Ich habe schon alle Freewaretools (adaware,Spybot,AVIR) dürber laufen lassen und esy wird immer gelöscht, sobald ich aber den IE wieder öffne hab ich das Teil wieder drauf. Ich hab schon die Reg durchsucht und xmal gelöscht, alle Updates, kein Sasser mehr drauf, ich weiss nicht mehr weiter. Zumal das Teil auf "about:blank" steht?

Wenn ich versuche ne Email übers MSN zu öffnen kackt er gz ab. Zudem habe ich jetzt eine Yahoo Startleiste, die ich nicht installiert hab???

anm.: ich möchte keinen Browser- oder Betriebssystemwechsel machen also kein Opera usw.!

[Doc]

Zitat:

Zitat von fadmax

anm.: ich möchte keinen Browser- oder Betriebssystemwechsel machen also kein Opera usw.!

Tja ...

Ich würde sagen, du fängst dir das Teil jedes Mal aufs Neue ein. Oder aber du wirst es nicht wirklich los. Probier mal die IE-Sicherheitseinstellungen auch wirklich auf sicher zu stellen. Damit meine ich, sämtliche ActiveX-Controls etc. auszuschalten.
Und natürlich sämtliche Sicherheitspatches zu installieren, wobei ich aber glaube, daß du die schon hast. Auch das muß aber nicht viel nützen, der IE ist selbst auf dem neuesten Stand immer noch so offen wie ein Scheunentor.

[TeamTanx]

hi,

kuck mal bei internet-explorer unter Extras, internetoptionen, und kuck ob da ne startseite drin steht mach Leere seite, ansonsten kuck mal bei autostart ob da wars auffälliges drin ist...

kuck auch mal bei sicherheit und verbindung ob da eventuell was verstellt wurde, mach alles auf stadart-stufe...

hast du ne FW ??? nachrichtendienst abgestellt, kannst ja mal nen screen posten das wir wissen wie der popo-up genau aussieht

cya

[Elrod Cater F-K]

öhh kuck mal auf der seite von den spam leuten meisten haben die da ein remove tool oder so was musst du mal auf der seite was kucken!! Damit müsste es weggehen

[fadmax]

Thx für die schnellen Antworten!

Ich habe schon die Sicherheitseinstellungen hoch gestellt, die active-x-elemente hab ich nicht verändert, weiss auch nicht genau was ich das einstellen solte? (was soll ich aktivieren und was nicht ) bzw wenn ich auf hohe Sicherheit stelle muss ich doch nicht noch manuell die Active-x-elemente deaktivieren?!?

Ich hab auch schon versucht die URL zu verbieten (über Datenschutzeinstellungen explitzit "(achtung!!!) h ttp://searchx.cc/search.php?pin=1&ww=anti+spyware" verboten) und auch über den Inhalsratgeber hab ich die Seite gesperrt ---> Das Ding taucht immer wieder auf!

Eine FW hab ich nicht, ND ist aus, Sicherheitspatches und Updates (WIN XP, und Virendefinitionen) sind alle drauf. Und auch wenn das Ding nicht besonders sicher ist sollte man doch ein Popup auch manuell ohne Blocker entfernen können? Ich will auch keinen Popupblocker, kann ja meine Maus bedienen. Wenn das Popup nicht meinen Rechner regelmäßig auf 98% Last treiben würde wär es auch nur ein kleines Problem. Teilweise ist nur noch möglich den IEXPLORER.exe-Prozess zu killen.

screen:

[Sven]

MicroSoft Internetsexplorer 6.6

Schau doch mal unter 'Systemsteuerung -> Software' ob du da nicht das ein oder andere Prog findest daß du nicht kennst....

[PlayFair]

cool-web-search ist wohl ein eigenständiger Browser und damit kann man im I-Explodierer einstellen was man will, es wird wohl nichts ändern.

CWShredder soll ihn entfernen können.

http://www.download.de/downloads/d_b..._11353796.html

Eine personal Firewall sollte aber Pflicht sein. Nicht so sehr um Eindringversuche zu verhindern, als vielmehr festzustellen welche lokale Anwendung in das Netz will.

[TeamTanx]

hi,

also ich glaub ja immer noch das es der nachrichtendienst ist, hast du XP antispy 3.8 da kannst du auch ActiveX und Java scripte sperren loade dir des teil mal

cya TanX

[PlayFair]

Cool-Web-Search ist ein echter Trojaner der Firma Coolweb aus Russland.

Über den Nachrichtendienst kann man nur einfache Textmeldungen übertragen, diese erscheinen dann in einer Windows Standard Message Box.Ist ja eigentlich auch nur für Lokale Netzadmins gedacht. Da reicht eine Textnachricht. Grafik oder gar klickbare Geschichten funktionieren nicht.Trotzdem sollte man den Nachrichtendienst abschalten, wenn man nicht grade diese Nachrichten benötigt. Alternativ kann man den Dienst auch nach aussen per FW abschotten.

Das generelle Abschalten von ActiveX und JaveScrip ist sicherlich sehr sicher, doch leider funktionieren dann viele Webangebote, wie z.B. Webshops nicht mehr richtig. Die Möglichkeit JS und ActiveX für Webseiten einzeln frei zu schalten ist schon ziemlich gut.
Aber zum Thema Cool-Web-Search. Auf folgender Seite erfährt man Einzelheiten. http://www.spywareinfo.com/~merijn/faq.html#cws4
Ist übrigens auch der Autor des o.g. Programms CWShredder.

[fadmax]

Dir könnt man schon fast nen Orden verleihen, Playfair! Das Teil ist verschwunden...

Zitat:

Das generelle Abschalten von ActiveX und JaveScrip ist sicherlich sehr sicher, doch leider funktionieren dann viele Webangebote, wie z.B. Webshops nicht mehr richtig. Die Möglichkeit JS und ActiveX für Webseiten einzeln frei zu schalten ist schon ziemlich gut.

Ich will ja meine Webshops haben, sonst gehen die PWs wieder nicht usw. und ausserdem hab ich ja die Popups lieb.

@Sven: mir war irgendwann mal Langweilig, und die Bezeichnung passt auch viel besser find ich!

...ach was bin ich jetzt wieder happy...

[Sepuku]

LÖSUNG DES PROBLEMS !!!

Hatte bis vor kurzem selbst damit zu kämpfen.
Das ding ist echt intelligent eingefädelt und genauso kompliziert.

Exact so kompliziert wie das Teil ist auch die bereinigung.
Nehmt euch Zeit und lest genau durch was ihr tun müsst.

Es handelt sich hierbei um eine Variante des Coolwebsearch.
Das ist ein Browser Hijacker.
Ihr könnt die cookies und temporären Dateien löschen wie ihr wollt aber die startseite wird immer wieder search for ... sein.
Das schlimme daran es steht auch noch in der Kommandozeile : about:blank

Also was ist zu tun:

Die searchseite wird durch eine dll hervorgerufen die in eurem Systemordner von Windows residiert. Diese dll wird mit einer zufälligen Buchstabenfolge generiert. z.b. pb.dll die dll ist ca. 31- 36 kb gross.

holt euch das freeware tool "hijackthis".
Und lasst euch anzeigen was im moment geladen wurde vom IExplorer.
Dieses tool zeigt euch auch an was sonst noch mit Systemstart geladen wurde.

Die Einträge R0/R1 sind die wichtigen da sie mit dem IExplorer zusammenhängen.Diese Einträge müsst ihr sorgfältigst überprüfen und checken ob es gewollte Einträge sind.
Wenn ihr nicht sicher seid schickt mir ne pm.
bei mir waren alle Einträge ungewollt also anhaken und Fix Problem gemacht.
Das Problem: keins der beiden Programme IExplorer sowohl explorer darf gestartet werden.
Das muss sofort nach Systemstart gecheckt werden.

Jetzt ist erstmal die zufällig generierte Datei weg , aber nur für kurze dauer nach ca, 3-4 Stunden kommt searchx.cc wieder.

Das liegt an einem Eintrag in der registry den der Trojaner vorgenommen hat.
Zu finden in folgender Position in der registry.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Wenn ihr euch mit regedit nicht gut auskennt benutzt folgendes Programm um die betreffende dll zu erkennen.

"reglite" auch freeware

tragt oben angegebene Zeile ein in der Adresse.
Und dann suchen lassen.
Unten im Bildschirm auf den Schlüsseleintrag "AppInit_DLLs" doppelklicken"!

Hier wird nun die Position der Quell-dll angezeigt.
befindet sich in: C oder D:Windows\System32\**(name der dll datei)**.dll

Notiert euch das!! sehr wichtig.

Jetzt in DOS löschen da windows die Löschung nicht zulässt.
Oder startet Win95\98 von CD und löscht es dann.

Oder baut die HD aus und steckt sie in den Rechner von nem Kumpel.
Und greifft dann auf die dll zu .
Löscht das Ding mit SHIFT+entf gefolgt von enter damit er nicht im Mülleimer landet.
Problem beseitigt.

Gruß euer Sepuku