hallo @ all!

habe wie so mancher probleme mit der einstellung der startseite "coolsearch" von HOMEOldSP. Habe bereits norton, adaware und spybot laufen lassen => nix hilft. habe nun HijackThis durchlaufen lassen. leider kenn ich mich weiter nicht aus, wie ich weiter vorgehen soll. Habe auch schon selbständig versucht die Datei "biob.dll" zu löschen, was aber aus datenschutzgründen nicht möglich war. kann mir bitte jemand helfen?

Logfile of HijackThis v1.97.7
Scan saved at 11:46:38, on 15.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Frank1\LOKALE~1\Temp\Rar$EX00.862\HijackThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\System32\services\services.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4E82FE25-51C4-4010-9CD0-DC7CED00C197} - C:\WINDOWS\System32\biob.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2208101852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

Fixe folgendes mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\biob.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\biob.dll/sp.html

O2 - BHO: (no name) - {4E82FE25-51C4-4010-9CD0-DC7CED00C197} - C:\WINDOWS\System32\biob.dll


Gehe in den abgesicherten Modus F8 beim hochfahren druecken)

Versuche dort diese biob.dll zu finden (unter System32\biob.dll )und zu loeschen., dann booten

Lade den CWShredder und scanne/fixe
http://download.freenet.de/archiv_c/cws ... 24c4bb995f



Dann lade den ClearProg und saeubere den Browser und stelle die Startseite unter InternetOptionen neu ein.
http://www.clearprog.de/

MfG
Nikita

Aktualisiere deine IE 6 mit SP1 .

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

musst du auch noch mit dem HijackThis fixen..

hab ich vergessen anzugeben.

Du solltest Java Sun laden denn alle diese CoolWebSearch-Hijacker sollen auf Grund eines Bugs von Microsoft VM im Internet Explorer beim Anklicken von "verseuchten" Sites auf den Comp. gelangen .
Und natuerlich, wie schon geschrieben, den IE 6 SP1 updaten , sonst besteht das Risiko, dass du beim naechsten Ausflug ins Net gleich wieder nen Hijacker draufhast.



Nikita