Probleme mit Popup und Startseite im Internetexplorer

[TeamTanx]

hi,

also ich glaub ja immer noch das es der nachrichtendienst ist, hast du XP antispy 3.8 da kannst du auch ActiveX und Java scripte sperren loade dir des teil mal

cya TanX

[PlayFair]

Cool-Web-Search ist ein echter Trojaner der Firma Coolweb aus Russland.

Über den Nachrichtendienst kann man nur einfache Textmeldungen übertragen, diese erscheinen dann in einer Windows Standard Message Box.Ist ja eigentlich auch nur für Lokale Netzadmins gedacht. Da reicht eine Textnachricht. Grafik oder gar klickbare Geschichten funktionieren nicht.Trotzdem sollte man den Nachrichtendienst abschalten, wenn man nicht grade diese Nachrichten benötigt. Alternativ kann man den Dienst auch nach aussen per FW abschotten.

Das generelle Abschalten von ActiveX und JaveScrip ist sicherlich sehr sicher, doch leider funktionieren dann viele Webangebote, wie z.B. Webshops nicht mehr richtig. Die Möglichkeit JS und ActiveX für Webseiten einzeln frei zu schalten ist schon ziemlich gut.
Aber zum Thema Cool-Web-Search. Auf folgender Seite erfährt man Einzelheiten. http://www.spywareinfo.com/~merijn/faq.html#cws4
Ist übrigens auch der Autor des o.g. Programms CWShredder.

[fadmax]

Dir könnt man schon fast nen Orden verleihen, Playfair! Das Teil ist verschwunden...

Zitat:

Das generelle Abschalten von ActiveX und JaveScrip ist sicherlich sehr sicher, doch leider funktionieren dann viele Webangebote, wie z.B. Webshops nicht mehr richtig. Die Möglichkeit JS und ActiveX für Webseiten einzeln frei zu schalten ist schon ziemlich gut.

Ich will ja meine Webshops haben, sonst gehen die PWs wieder nicht usw. und ausserdem hab ich ja die Popups lieb.

@Sven: mir war irgendwann mal Langweilig, und die Bezeichnung passt auch viel besser find ich!

...ach was bin ich jetzt wieder happy...

[Sepuku]

LÖSUNG DES PROBLEMS !!!

Hatte bis vor kurzem selbst damit zu kämpfen.
Das ding ist echt intelligent eingefädelt und genauso kompliziert.

Exact so kompliziert wie das Teil ist auch die bereinigung.
Nehmt euch Zeit und lest genau durch was ihr tun müsst.

Es handelt sich hierbei um eine Variante des Coolwebsearch.
Das ist ein Browser Hijacker.
Ihr könnt die cookies und temporären Dateien löschen wie ihr wollt aber die startseite wird immer wieder search for ... sein.
Das schlimme daran es steht auch noch in der Kommandozeile : about:blank

Also was ist zu tun:

Die searchseite wird durch eine dll hervorgerufen die in eurem Systemordner von Windows residiert. Diese dll wird mit einer zufälligen Buchstabenfolge generiert. z.b. pb.dll die dll ist ca. 31- 36 kb gross.

holt euch das freeware tool "hijackthis".
Und lasst euch anzeigen was im moment geladen wurde vom IExplorer.
Dieses tool zeigt euch auch an was sonst noch mit Systemstart geladen wurde.

Die Einträge R0/R1 sind die wichtigen da sie mit dem IExplorer zusammenhängen.Diese Einträge müsst ihr sorgfältigst überprüfen und checken ob es gewollte Einträge sind.
Wenn ihr nicht sicher seid schickt mir ne pm.
bei mir waren alle Einträge ungewollt also anhaken und Fix Problem gemacht.
Das Problem: keins der beiden Programme IExplorer sowohl explorer darf gestartet werden.
Das muss sofort nach Systemstart gecheckt werden.

Jetzt ist erstmal die zufällig generierte Datei weg , aber nur für kurze dauer nach ca, 3-4 Stunden kommt searchx.cc wieder.

Das liegt an einem Eintrag in der registry den der Trojaner vorgenommen hat.
Zu finden in folgender Position in der registry.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Wenn ihr euch mit regedit nicht gut auskennt benutzt folgendes Programm um die betreffende dll zu erkennen.

"reglite" auch freeware

tragt oben angegebene Zeile ein in der Adresse.
Und dann suchen lassen.
Unten im Bildschirm auf den Schlüsseleintrag "AppInit_DLLs" doppelklicken"!

Hier wird nun die Position der Quell-dll angezeigt.
befindet sich in: C oder D:Windows\System32\**(name der dll datei)**.dll

Notiert euch das!! sehr wichtig.

Jetzt in DOS löschen da windows die Löschung nicht zulässt.
Oder startet Win95\98 von CD und löscht es dann.

Oder baut die HD aus und steckt sie in den Rechner von nem Kumpel.
Und greifft dann auf die dll zu .
Löscht das Ding mit SHIFT+entf gefolgt von enter damit er nicht im Mülleimer landet.
Problem beseitigt.

Gruß euer Sepuku