Das Szenario: Die Startseite des IE (MS Internet Explorer) verändert sich, man wird mit Porno-Popups zugeschüttet, die Favoriten wandeln sich zu Quellen erotischer Schmuddel-Links, vor allem wird alles schleppend langsam. Bestimmte Webseiten bauen gar nicht mehr auf oder bleiben ohne Inhalt, Online-Webdienste sind funktionslos. Gratulation! "CWS", auch als "HTML/StartPage.B-Virus" hat zugeschlagen! Es handelt sich um einen äußerst aggressiven Scriptviurus, der sich mit herkömmlichen Mitteln weder blocken noch vernichten lässt! Selbst Virenprogramme sind machtlos. Sie erkennen den Virus, können ihn isolieren oder überschreiben, aber wie von Geisterhand ist er im nächsten Augenblick wieder da. Ist man wirklich machtlos ? Nein...Bei CWS handelt es sich in erster Linie um Malware. Beim Betreten bestimmter Internetseiten, vor allem solcher mit erotischen oder illegalen Inhalten, lädt er sich automatisch ins System. Einziger Schutz ist der völlige Verzicht auf Java und Script (Sicherheitseinstellungen im IE). Das bedeutet aber auch den Verzicht auf sehr viele Inhalte im Internet, ist also unakzeptabel. Der Virus hat aus recht harmlosen Anfängen zu einem perfiden Monster mutiert, welches fast alle Sicherheitsschranken umgeht, Virenprogramme versagen lässt und in letzter Konsequenz (HTML/StartPage.B) auch als gefährlich einzustufen ist. Folgende Varianten sind bekannt (in der Reihenfolge ihrer Entwicklung und damit der Gefährlichkeit) : CWS.Datanotary / CWS.Bootconf / CWS.Oslogo / CWS.Msspi / CWS.Vrape / CWS.Oemsyspnp / CWS.Svchost32 / CWS.Dnsrelay / CWS.Msinfo / CWS.Ctfmon32 / CWS.Tapicfg / CWS.Svcinit / CWS.Msoffice / CWS.Dreplace / CWS.Mupdate / CWS.Addclass / CWS.Googlems / CWS.Xplugin / CWS.Alfasearch / CWS.Loadbat / CWS.Qttasks / CWS.Msconfd / CWS.Therealsearch / CWS.Control / CWS.Olehelp / CWS.Smartsearch / CWS.Yexe / CWS.Gonnasearch / CWS.Smartfinder - Teilnehmervarianten: CWS.Aff.iedll / CWS.Aff.Winshow / CWS.Aff.Madfinder / CWS.Aff.Tooncomics - Sind wir aber wirklich machtlos? Nein. Bereits im November habe ich im Forum eine Schritt-für-Schritt Anleitung veröffentlicht, wie man per Hand den Virus killt. Diese Anleitung war aus der Not geboren und auch nichts für Laien (Registry editieren etc.). Damals hatte ich aber noch nichts anderes zur Hand und der Erfolg bei meinen "Testpersonen" ließ dies als einziges Mittel zur Wahl zu. Nunmehr gibt es ein Tool, welches diesen Plagegeist in allen Varianten eliminiert. Manchmal sind mehrere Neustarts des Systems notwendig, bis der PC clean ist. Aber das Tool arbeitet 100% zuverlässig (hier einen Dank an Merijn-Org). In der Hoffnung, dem Einen oder Anderen geholfen zu haben.
Mein Internet dreht durch - CoolWebSearch schlägt zu!
-
-
-
Hallo,nachdem man Coolwebsurch mit dem Patch erfolgreich bekämpfen kann,tut sich ein neuer Virus auf,den man nicht wegbekommt:http://i-lookup/com/.Er zeigt genau dieselben Symptome.Warte sehnsüchtig auf die Lösung.
Grüße
Roland -
Moin,
"Hallo,nachdem man Coolwebsurch mit dem Patch erfolgreich bekämpfen kann,tut sich ein neuer Virus auf,den man nicht wegbekommt:http://i-lookup/com/.Er zeigt genau dieselben Symptome.Warte sehnsüchtig auf die Lösung."
unter der Adresse http://www.computerhilfen.de/handbuch-spyware.php3 sind mehrere Programme zum Löschen von Spyware wie auf Deinem PC aufgelistet. Besonders die Hinweise zu den Programme "Spybot-Search & Destroy" oder "CWS-Shredder" solltest du beachten :).
Bye, Benjamin
-
Hallo erstmal!
Da ich auch diesen Mist auf meinem Rechner hatte und das auch in den Griff bekommen habe, wollte ich mal hier wieder vorbeischauen, um noch eine Ergänzung zu machen.
Nach dem man so schön mit dem Tool "GWshredder" die Datei gelöscht hat und auch den "HijackThis" durchlaufen hat. Habe ich ein Programm gefunden, das änlich wie "TweakXP" arbeitet, nur kann man dort die Startseite des IE sperren somit wird diese nicht mehr überschrieben. Es ist zwar nur ein kleiner Trick, aber ich denke er kann eine ganze Menge bewirken. Das Programm heißt: XP-Clean und ist unter folgender URL zu finden:http://www.zdnet.de/downloads/programs/e/n/de0EEN-wc.html
So ich hoffe ich habe wie immer ein wenig dazu beigetragen, dass man nicht mehr so verzweifeln muss
Euer Nicklas -
Hallo Nicklas,
danke für den Tip.Klappt jetzt alles wunderbar.Bei dem Junior seinem Rechner
war ich schon fast am verzweifeln,aber jetzt läuft alles.
Grüße
Roland
----- Original Message -----
From: "Nicklas (nicklas@west.de)" <helpline@pc-special.net>
To: "Roland" <fam_heinrich@arcor.de>
Sent: Tuesday, February 10, 2004 3:41 PM
Subject: [32333] 62: Neue Version Coolwebsurch!!
>
> Hallo erstmal!
> Da ich auch diesen Mist auf meinem Rechner hatte und das auch in den Griff
bekommen habe, wollte ich mal hier wieder vorbeischauen, um noch eine
Ergänzung zu machen.
> Nach dem man so schön mit dem Tool "GWshredder" die Datei gelöscht hat und
auch den "HijackThis" durchlaufen hat. Habe ich ein Programm gefunden, das
änlich wie "TweakXP" arbeitet, nur kann man dort die Startseite des IE
sperren somit wird diese nicht mehr überschrieben. Es ist zwar nur ein
kleiner Trick, aber ich denke er kann eine ganze Menge bewirken. Das
Programm heißt: XP-Clean und ist unter folgender URL zu finden:
>
> http://www.zdnet.de/downloads/programs/e/n/de0EEN-wc.html
>
> So ich hoffe ich habe wie immer ein wenig dazu beigetragen, dass man nicht
mehr so verzweifeln muss
> Euer Nicklas
>
>
> --
> Link zum PC-Special.net Forum:
> http://www.pc-special.net/?idart6&fnavQ.62.32648.1
> -
Hallo Benjamin,
vielen,vielen Dank für die Info.Mittlerweile laufen die 3 Rechner wieder
einwandfrei.
Gruß
Roland
----- Original Message -----
From: "Benjamin Stoffers (benjamin@pc-special.net)"
<helpline@pc-special.net>
To: "Roland" <fam_heinrich@arcor.de>
Sent: Wednesday, February 04, 2004 8:59 PM
Subject: [32333] 62: Neue Version Coolwebsurch!!
>
> Moin,
>
> "Hallo,nachdem man Coolwebsurch mit dem Patch erfolgreich bekämpfen
kann,tut sich ein neuer Virus auf,den man nicht
wegbekommt:http://i-lookup/com/.Er zeigt genau dieselben Symptome.Warte
sehnsüchtig auf die Lösung."
>
> unter der Adresse http://www.computerhilfen.de/handbuch-spyware.php3 sind
mehrere Programme zum Löschen von Spyware wie auf Deinem PC aufgelistet.
Besonders die Hinweise zu den Programme "Spybot-Search & Destroy" oder
"CWS-Shredder" solltest du beachten :).
>
> Bye, Benjamin
>
>
> --
> Link zum PC-Special.net Forum:
> http://www.pc-special.net/?idart6&fnavQ.62.32426.1
> -
hab das teil CWSchredder durchlaufen lassen
scheint auch geholfen zu haben aber die kommische Datei HH.exe is immer noch da und läßt sich auch nicht löschen????
Vielen Dank für Hildfe !!!
Viele Grüsse
Manfred
-
Hallo,
unter der Adresse http://www.computerhilfen.de/handbuch-spyware.php3 sind mehrere Programme zum Löschen von Spyware wie auf Deinem PC aufgelistet. Besonders die Hinweise zu den Programme "Spybot-Search & Destroy" oder "CWS-Shredder" solltest du beachten.
Bye André
-
Vielen Dank für die Beschreibung und besonders den Link.
Habe mir das Biest wahrscheinlich bei coolsearch eingefangen.
Dank des Programms und vor allem des links konnte ich jedoch
dem Biest den Gar ausmachen.Beste Grüße
Juergen! -
LOL, das ist also das tolle Tool... Ich suche überall nach einem wirklich effektiven Mittel gegen diese CWS Kacke.
Mein Problem: Ich habe seit 3 Tagen den CWS.Addclass (IE Startseite = "http://195.225.176.14/def.html" = A-SEARCH SYSTEM HQ SERVICES) und er geht nicht weg. Auch nicht mit CWShredder. Ist das vielleicht eine neue Version von dem CWS.Addclass??? 10 Mal Neustarten bringt auch nix!!! Sobald das Teil gelöscht ist, ist es auch wieder da
BITTE HELFT MIR!!! -
Hallo,
bitte rede nicht so abwertend über ein kostenloses Tool, dass etwas kann, was 1000 andere nicht können!!!CWShredder kann viel, aber vielleicht auch nicht alles, so wie jedes Programm. Hattest du denn beim Scan von CWShredder alle Ordnerfenster, Internet Explorer Fenster und sonstige Programme geschlossen??? Das kann nämlich verursachen, dass der Hijacker nicht richtig gelöscht werden kann. Hast du ausserdem mal in den Systemstart geschaut, ob da irgendwas anormales geladen wird??? (Startup cpl ist dafür ein gutes Programm) Hast du schon mal geschaut, welche Dateien in den letzten 3-4 Tagen auf deinem Rechner installiert wurden??? (dafür gibts eine Option in der Suchfunktion von Windows) Hast du mal mit dem Programm Hijackthis geschaut, was da so auf deinem Rechner an IE-Plugins oder Registryeinträgen verändert wurde???
Vielleicht konnte ich ja noch einen zusätzlichen Lösungsansatz bieten
Gruß
Back -
PS.: Wenn du XP verwendest, dann könnte auch die Systemwiederherstellung das Wiederauftauchen des CWS verursachen.
Gruß
Back -
Hi Leute,
ich bin neu hier und habe wenig Ahnung von Viren, Spyware usw.
Nach Schilderung meines Problems gab mir ein Bekannter diese Adresse.
Ich habe dann brav alles gemacht, heruntergeladen und das Tool ausgeführt, so um die 5 oder 6 mal. Passiert ist aber leider nix, die Startseite bleibt vor wie nach festgeschweißt im I-Explorer. Frage:-Gibts ne neue Version von CWS?
-Wie stell ich fest, welche Version ich von dem Sch... hab?
-Könnte es auch was anderes sein?
-Gibt´s noch irgendwo die Anleitung, wie ich das Ding (falls ich es finde :? ) per hand löschen kann?Für Hilfe wäre ich sehr dankbar, ist ja so nicht schlimm das Ding, nur sehr sehr nervig!
schönen Gruß
hwd
-
Hallo,
ich nehme mal an, dass mit deinem "CWS" Spyware o.ä. gemeint ist. Diese Programme lassen sich gut mit dem Programm "SpyBot-Search & Destroy" finden und entfernen ( Download z.b. unter http://www.chip.de/downloads/c_downloads_8833199.html -> Lowspeed-Download ).
-
Spybot s&d hab ich probiert, geht nicht. Ich bezieh mich aber eigentlich auch auf Eure (PC-Special-Net) folgende Seite:
www.pc-special.net/?idart=2155
d.h. das Problem der nicht mehr veränderbaren I.E. Startseite.
hwd
-
ich hab wohl dasselbe problem....
ich hab den shredder probiert,,, funzt net... danach einige spyremover bis mir der soybot kundtat das meine version CWS_NS3 heißt und der ist auch nicht in der shredder liste...
im netz find ich hierzu nur ne asiatische seite die der ie nicht übersetzt....
wenns also n tip gibt, bitte helft
-
Ich HATTE das Problem !!!
habe mir auch verschiedene Antispysoft heruntergeladen, entdeckt hatten sie es alle, aber entfernt hat es keiner!!! Habe mich deshalb mal wieder selber auf die Suche in der Registry gemacht. Unter dem Schlüssel [HKEY_CLASSES_ROOTprotocolsfilter ext/html] war eine CLSID {651C7BBE-0E26-4805-AB50-7277DAEB600F} zu finden die abermals auf eine Datei llnemcb.dll im Verzeichnis C:WINNTsystem32 verweist die sich nich löschen läßt, weil sie [bc2bb3ca795]anscheinend[/bc2bb3ca795] vom BS benötigt wird. Habe die registry vorher gesichert und nach dem String llnemcb.dll in der registry gesucht und alle CLSIDs die darauf verweisen gelöscht. danach neustart in der Wiederherstellungskonsole oder mit ERD-Commander CD, die Datei löschen und neu starten. Danach nochmals mit AntiSpy darüber laufen lassen, er fand dann noch einen Eintrag den ich gelöscht habe, aber seither war alles clean!
Hoffe euch geholfen zu haben
mfg
mailmir :lol: -
Sorry, aber ich bin genug laie um nix verstanden zu haben, bzw. schon verstanden aber keine ahnung wie ichs machen soll.... :cry:
trotzdem danke für den tip
:wink:
walter -
Könnte Euch vielleicht weiterhelfen: Hatte das Problem auch: Was bei mir half: 1;Löschen der Datei: bkp.dll.2; Eure Favoriten im Explorer: Erstellt ein neues Verzeichnis. Kopiert Euch dann alle "Favoriten" in dieses neue Verzeichnis. 3; Löscht den Inhalt: Links. Das Verzeichnis läßt sich selbst nicht löschen. 4; Verwendet nicht die direkte Eingabe im Feld "Adresse". Legt Euch zum Beispiel "Google" oder "Web.de" an, im neu erstellten Verzeichnis, sucht dort!
Bei mir hat es so funktioniert.
Viel Glück, das Teil ist wirklich übel.
Grüße,
Charly -
Danke erstmal für den Tipp, könnte durchaus mal nützlich werden, aber welchen CWS meinst du? Ist es ein spezieller, der von CWShredder nicht erkannt oder behoben werden kann? und wie hat er sich geäussert? Welche Seite wurde dir angezeigt und/oder wurden Viren von der Seite auf dich losgeschickt? Das würde mich halt interessieren, da es ja massig CoolWebSearcher gibt
Gruß und Dank
Back