Mein Internet dreht durch - CoolWebSearch schlägt zu!

  • Das Szenario: Die Startseite des IE (MS Internet Explorer) verändert sich, man wird mit Porno-Popups zugeschüttet, die Favoriten wandeln sich zu Quellen erotischer Schmuddel-Links, vor allem wird alles schleppend langsam. Bestimmte Webseiten bauen gar nicht mehr auf oder bleiben ohne Inhalt, Online-Webdienste sind funktionslos. Gratulation! "CWS", auch als "HTML/StartPage.B-Virus" hat zugeschlagen! Es handelt sich um einen äußerst aggressiven Scriptviurus, der sich mit herkömmlichen Mitteln weder blocken noch vernichten lässt! Selbst Virenprogramme sind machtlos. Sie erkennen den Virus, können ihn isolieren oder überschreiben, aber wie von Geisterhand ist er im nächsten Augenblick wieder da. Ist man wirklich machtlos ? Nein...Bei CWS handelt es sich in erster Linie um Malware. Beim Betreten bestimmter Internetseiten, vor allem solcher mit erotischen oder illegalen Inhalten, lädt er sich automatisch ins System. Einziger Schutz ist der völlige Verzicht auf Java und Script (Sicherheitseinstellungen im IE). Das bedeutet aber auch den Verzicht auf sehr viele Inhalte im Internet, ist also unakzeptabel. Der Virus hat aus recht harmlosen Anfängen zu einem perfiden Monster mutiert, welches fast alle Sicherheitsschranken umgeht, Virenprogramme versagen lässt und in letzter Konsequenz (HTML/StartPage.B) auch als gefährlich einzustufen ist. Folgende Varianten sind bekannt (in der Reihenfolge ihrer Entwicklung und damit der Gefährlichkeit) : CWS.Datanotary / CWS.Bootconf / CWS.Oslogo / CWS.Msspi / CWS.Vrape / CWS.Oemsyspnp / CWS.Svchost32 / CWS.Dnsrelay / CWS.Msinfo / CWS.Ctfmon32 / CWS.Tapicfg / CWS.Svcinit / CWS.Msoffice / CWS.Dreplace / CWS.Mupdate / CWS.Addclass / CWS.Googlems / CWS.Xplugin / CWS.Alfasearch / CWS.Loadbat / CWS.Qttasks / CWS.Msconfd / CWS.Therealsearch / CWS.Control / CWS.Olehelp / CWS.Smartsearch / CWS.Yexe / CWS.Gonnasearch / CWS.Smartfinder - Teilnehmervarianten: CWS.Aff.iedll / CWS.Aff.Winshow / CWS.Aff.Madfinder / CWS.Aff.Tooncomics - Sind wir aber wirklich machtlos? Nein. Bereits im November habe ich im Forum eine Schritt-für-Schritt Anleitung veröffentlicht, wie man per Hand den Virus killt. Diese Anleitung war aus der Not geboren und auch nichts für Laien (Registry editieren etc.). Damals hatte ich aber noch nichts anderes zur Hand und der Erfolg bei meinen "Testpersonen" ließ dies als einziges Mittel zur Wahl zu. Nunmehr gibt es ein Tool, welches diesen Plagegeist in allen Varianten eliminiert. Manchmal sind mehrere Neustarts des Systems notwendig, bis der PC clean ist. Aber das Tool arbeitet 100% zuverlässig (hier einen Dank an Merijn-Org). In der Hoffnung, dem Einen oder Anderen geholfen zu haben.

  • Moin,


    "Hallo,nachdem man Coolwebsurch mit dem Patch erfolgreich bekämpfen kann,tut sich ein neuer Virus auf,den man nicht wegbekommt:http://i-lookup/com/.Er zeigt genau dieselben Symptome.Warte sehnsüchtig auf die Lösung."


    unter der Adresse http://www.computerhilfen.de/handbuch-spyware.php3 sind mehrere Programme zum Löschen von Spyware wie auf Deinem PC aufgelistet. Besonders die Hinweise zu den Programme "Spybot-Search & Destroy" oder "CWS-Shredder" solltest du beachten :).


    Bye, Benjamin

  • Hallo erstmal!
    Da ich auch diesen Mist auf meinem Rechner hatte und das auch in den Griff bekommen habe, wollte ich mal hier wieder vorbeischauen, um noch eine Ergänzung zu machen.
    Nach dem man so schön mit dem Tool "GWshredder" die Datei gelöscht hat und auch den "HijackThis" durchlaufen hat. Habe ich ein Programm gefunden, das änlich wie "TweakXP" arbeitet, nur kann man dort die Startseite des IE sperren somit wird diese nicht mehr überschrieben. Es ist zwar nur ein kleiner Trick, aber ich denke er kann eine ganze Menge bewirken. Das Programm heißt: XP-Clean und ist unter folgender URL zu finden:


    http://www.zdnet.de/downloads/programs/e/n/de0EEN-wc.html


    So ich hoffe ich habe wie immer ein wenig dazu beigetragen, dass man nicht mehr so verzweifeln muss :)
    Euer Nicklas

  • Hallo Nicklas,
    danke für den Tip.Klappt jetzt alles wunderbar.Bei dem Junior seinem Rechner
    war ich schon fast am verzweifeln,aber jetzt läuft alles.
    Grüße
    Roland
    ----- Original Message -----
    From: "Nicklas (nicklas@west.de)" <helpline@pc-special.net>
    To: "Roland" <fam_heinrich@arcor.de>
    Sent: Tuesday, February 10, 2004 3:41 PM
    Subject: [32333] 62: Neue Version Coolwebsurch!!
    >
    > Hallo erstmal!
    > Da ich auch diesen Mist auf meinem Rechner hatte und das auch in den Griff
    bekommen habe, wollte ich mal hier wieder vorbeischauen, um noch eine
    Ergänzung zu machen.
    > Nach dem man so schön mit dem Tool "GWshredder" die Datei gelöscht hat und
    auch den "HijackThis" durchlaufen hat. Habe ich ein Programm gefunden, das
    änlich wie "TweakXP" arbeitet, nur kann man dort die Startseite des IE
    sperren somit wird diese nicht mehr überschrieben. Es ist zwar nur ein
    kleiner Trick, aber ich denke er kann eine ganze Menge bewirken. Das
    Programm heißt: XP-Clean und ist unter folgender URL zu finden:
    >
    > http://www.zdnet.de/downloads/programs/e/n/de0EEN-wc.html
    >
    > So ich hoffe ich habe wie immer ein wenig dazu beigetragen, dass man nicht
    mehr so verzweifeln muss :)
    > Euer Nicklas
    >
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnavQ.62.32648.1
    >

  • Hallo Benjamin,
    vielen,vielen Dank für die Info.Mittlerweile laufen die 3 Rechner wieder
    einwandfrei.
    Gruß
    Roland
    ----- Original Message -----
    From: "Benjamin Stoffers (benjamin@pc-special.net)"
    <helpline@pc-special.net>
    To: "Roland" <fam_heinrich@arcor.de>
    Sent: Wednesday, February 04, 2004 8:59 PM
    Subject: [32333] 62: Neue Version Coolwebsurch!!
    >
    > Moin,
    >
    > "Hallo,nachdem man Coolwebsurch mit dem Patch erfolgreich bekämpfen
    kann,tut sich ein neuer Virus auf,den man nicht
    wegbekommt:http://i-lookup/com/.Er zeigt genau dieselben Symptome.Warte
    sehnsüchtig auf die Lösung."
    >
    > unter der Adresse http://www.computerhilfen.de/handbuch-spyware.php3 sind
    mehrere Programme zum Löschen von Spyware wie auf Deinem PC aufgelistet.
    Besonders die Hinweise zu den Programme "Spybot-Search & Destroy" oder
    "CWS-Shredder" solltest du beachten :).
    >
    > Bye, Benjamin
    >
    >
    > --
    > Link zum PC-Special.net Forum:
    > http://www.pc-special.net/?idart6&fnavQ.62.32426.1
    >

  • hab das teil CWSchredder durchlaufen lassen
    scheint auch geholfen zu haben aber die kommische Datei HH.exe is immer noch da und läßt sich auch nicht löschen


    ????


    Vielen Dank für Hildfe !!!


    Viele Grüsse


    Manfred

  • Vielen Dank für die Beschreibung und besonders den Link.
    Habe mir das Biest wahrscheinlich bei coolsearch eingefangen.
    Dank des Programms und vor allem des links konnte ich jedoch
    dem Biest den Gar ausmachen.


    Beste Grüße
    Juergen!

  • LOL, das ist also das tolle Tool... Ich suche überall nach einem wirklich effektiven Mittel gegen diese CWS Kacke.
    Mein Problem: Ich habe seit 3 Tagen den CWS.Addclass (IE Startseite = "http://195.225.176.14/def.html" = A-SEARCH SYSTEM HQ SERVICES) und er geht nicht weg. Auch nicht mit CWShredder. Ist das vielleicht eine neue Version von dem CWS.Addclass??? 10 Mal Neustarten bringt auch nix!!! Sobald das Teil gelöscht ist, ist es auch wieder da :(
    BITTE HELFT MIR!!!

  • Hallo,
    bitte rede nicht so abwertend über ein kostenloses Tool, dass etwas kann, was 1000 andere nicht können!!! ;)


    CWShredder kann viel, aber vielleicht auch nicht alles, so wie jedes Programm. Hattest du denn beim Scan von CWShredder alle Ordnerfenster, Internet Explorer Fenster und sonstige Programme geschlossen??? Das kann nämlich verursachen, dass der Hijacker nicht richtig gelöscht werden kann. Hast du ausserdem mal in den Systemstart geschaut, ob da irgendwas anormales geladen wird??? (Startup cpl ist dafür ein gutes Programm) Hast du schon mal geschaut, welche Dateien in den letzten 3-4 Tagen auf deinem Rechner installiert wurden??? (dafür gibts eine Option in der Suchfunktion von Windows) Hast du mal mit dem Programm Hijackthis geschaut, was da so auf deinem Rechner an IE-Plugins oder Registryeinträgen verändert wurde???


    Vielleicht konnte ich ja noch einen zusätzlichen Lösungsansatz bieten ;)


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • PS.: Wenn du XP verwendest, dann könnte auch die Systemwiederherstellung das Wiederauftauchen des CWS verursachen. ;)


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Hi Leute,


    ich bin neu hier und habe wenig Ahnung von Viren, Spyware usw.


    Nach Schilderung meines Problems gab mir ein Bekannter diese Adresse.
    Ich habe dann brav alles gemacht, heruntergeladen und das Tool ausgeführt, so um die 5 oder 6 mal. Passiert ist aber leider nix, die Startseite bleibt vor wie nach festgeschweißt im I-Explorer. Frage:


    -Gibts ne neue Version von CWS?
    -Wie stell ich fest, welche Version ich von dem Sch... hab?
    -Könnte es auch was anderes sein?
    -Gibt´s noch irgendwo die Anleitung, wie ich das Ding (falls ich es finde :? ) per hand löschen kann?


    Für Hilfe wäre ich sehr dankbar, ist ja so nicht schlimm das Ding, nur sehr sehr nervig!


    schönen Gruß


    hwd

  • ich hab wohl dasselbe problem....


    ich hab den shredder probiert,,, funzt net... danach einige spyremover bis mir der soybot kundtat das meine version CWS_NS3 heißt und der ist auch nicht in der shredder liste...


    im netz find ich hierzu nur ne asiatische seite die der ie nicht übersetzt....


    wenns also n tip gibt, bitte helft

  • Ich HATTE das Problem !!!


    habe mir auch verschiedene Antispysoft heruntergeladen, entdeckt hatten sie es alle, aber entfernt hat es keiner!!! Habe mich deshalb mal wieder selber auf die Suche in der Registry gemacht. Unter dem Schlüssel [HKEY_CLASSES_ROOTprotocolsfilter ext/html] war eine CLSID {651C7BBE-0E26-4805-AB50-7277DAEB600F} zu finden die abermals auf eine Datei llnemcb.dll im Verzeichnis C:WINNTsystem32 verweist die sich nich löschen läßt, weil sie [bc2bb3ca795]anscheinend[/bc2bb3ca795] vom BS benötigt wird. Habe die registry vorher gesichert und nach dem String llnemcb.dll in der registry gesucht und alle CLSIDs die darauf verweisen gelöscht. danach neustart in der Wiederherstellungskonsole oder mit ERD-Commander CD, die Datei löschen und neu starten. Danach nochmals mit AntiSpy darüber laufen lassen, er fand dann noch einen Eintrag den ich gelöscht habe, aber seither war alles clean!


    Hoffe euch geholfen zu haben
    mfg
    mailmir :lol:

  • Könnte Euch vielleicht weiterhelfen: Hatte das Problem auch: Was bei mir half: 1;Löschen der Datei: bkp.dll.2; Eure Favoriten im Explorer: Erstellt ein neues Verzeichnis. Kopiert Euch dann alle "Favoriten" in dieses neue Verzeichnis. 3; Löscht den Inhalt: Links. Das Verzeichnis läßt sich selbst nicht löschen. 4; Verwendet nicht die direkte Eingabe im Feld "Adresse". Legt Euch zum Beispiel "Google" oder "Web.de" an, im neu erstellten Verzeichnis, sucht dort!
    Bei mir hat es so funktioniert.
    Viel Glück, das Teil ist wirklich übel.
    Grüße,
    Charly

  • Danke erstmal für den Tipp, könnte durchaus mal nützlich werden, aber welchen CWS meinst du? Ist es ein spezieller, der von CWShredder nicht erkannt oder behoben werden kann? und wie hat er sich geäussert? Welche Seite wurde dir angezeigt und/oder wurden Viren von der Seite auf dich losgeschickt? Das würde mich halt interessieren, da es ja massig CoolWebSearcher gibt ;)


    Gruß und Dank
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)