CoolWebSearch Hijacker akafep.dll

Joey · 07. April 2004, 11:19:03 Uhr

Mahlzeit Jungz uns Mädelz,

Mein Cheffe hat sich mal wieder (zum ca. 1000. mal

) 'nen Hijacker eingefangen, aber so ein hartnäckiges Biest ist mir noch nicht untergekommen...

Die Startseite wird auf about:blank geändert und im Browserfenster erscheint eine Seite mit dem Titel "Search for.." ... anscheinend eine Art von CoolWebSearch.

Das ganze scheint sich um eine Datei namens akafep.dll im System32 Ordner zu drehen, die laut WinPatrol als Hilfsprogramm für den Internet Explorer installiert ist. Versuche, diese Datei zu Löschen, enden in der Fehlermeldung, dass die Datei von Windows verwendet wird (auch im abgesicherten Modus).

Spybot S&D findet gar nix.
CWShredder, Ad-aware und etliche andere Tools finden zwar was, entfernen das angeblich auch, aber es funktioniert leider nicht.

Das IE-Hilfsprogramm akafep.dll lässt sich unter WinPatrol auch entfernen, ist aber trotzdem noch da.

Es tauchen auch in der Registry unter Current_User\Software\Microsoft\Internet Explorer\Main merkwürdige einträge auf:

Die normalerweise eingestellte Startseite findet sich im Key Start_Page_bak. Start_Page ist auf about:blank gesetzt.
Search_Bar und noch ein par andere Keys enthalten kryptische Werte wie res://%1%2%3...

Das Ändern dieser Werte bringt herzlich wenig, da diese sich kurze Zeit später wieder von selbst verändern.

Es laufen keinerlei verdächtige Prozesse im Hintergrund und auch unter HKEY_LOCAL_MACHINE\blablabla\Current Version\Run steht nix verdächtiges.

Also ich bin irgendwie mit meinem Latein am Ende

... auch Google gibt nix her....

Falls jemand eine Idee hat ... ich bin für jeden Vorschlag dankbar.

Perfect Pascha · 07. April 2004, 11:36:26 Uhr

versuch doch die datei unter linux zu löschen

Joey · 07. April 2004, 11:51:04 Uhr

Ich hab's hinbekommen *freu*

Eine Anleitung dafür gibt's von mir per Mail gegen einen kleinen Kostenbeitrag von 10€

*scherz*

Hier die Anleitung:

Windwos starten und direkt nach dem Start die Eingabeaufforderung starten (Start->Ausführen->cmd)

Hier jetzt die akafep.dll löschen (z.B.: del C:\WINDOWS\SYSTEM32\AKAFEP.DLL)

Anschließend mit WinPatrol unter IE-Helper nochmals die AKAFEP.DLL entfernen.

Nun noch einmal CWShredder und Ad-Aware drüberlaufen lassen um die Registry-Einträge des Hijakers zu entfernen.

Sollten zwischendurch Hinweise von WinPatrol kommen, dass die Startseite oder Suchseite geändert wurde, diese mit "Ja" beantworten.

Und schon ist das Problem gelöst.

gabbo · 23. April 2004, 01:29:38 Uhr

:'(Hallo
hört sich gut an ,endlich mal was über diese -Search For...-Seite
die ist unlöschbar (die reinste Nötigung ,man sollte CWS verklagen!!!!!!!!!!!!!!!!!!!!!!!).
Werde deine Lösung anwenden ,hab ihn nur grad wieder mit --
CWS
Spybot
Ad-Aware
Hijack-This
Win-Patrol
Purge-ID
Spoon-weg
Spy-Hunter
und Tune up Utilities gelöscht ,was aber nichts bringt.

Mal sehen was passiert, werde mein Ergebnis mitteilen.

freue mich schon wenn nach einem Tag das sch***ding wieder da ist.

------

-------

JoeK · 16. Juni 2004, 13:26:04 Uhr

HI,
hab mir auch so ein coolwebsearch Biest eingefangen. AdAware scannt, aber nix tut sich. Seite geht beim Start des IE wieder auf about:blank mit einer Suchmaschine.

Bin ziemlich ratlos. Ideen?

MfG,
JoeK

JoeK · 16. Juni 2004, 18:33:54 Uhr

HI, glaube, bin das Dreckding los. Nach Joey Tip hab ich im System32 Ordner nachgeschaut und über Start>Ausführen>cmd die Datei dpbeb.dll entfernt. Nochmal AdAware laufen lassen, nun ist offenabr alles OK.

1000 Dank für Joeys Tipps!!!

Joek

American · 17. Juni 2004, 03:23:36 Uhr

Ich frag mich, wo man die Dinger nur herbekommt...

ich surfe den ganzen tag im Netz rum, auf allmöglichen seiten, nur bekomme ich nie sowas, und wie ich weiß sucht TMK sowas auch verzweifelt

American

TMK · 17. Juni 2004, 10:51:44 Uhr

Jep, würde mich auch mal interessieren wo die Sachen herkommen?!

JoeK · 18. Juni 2004, 09:49:45 Uhr

Hi,
wo ich das herhabe, wüsste ich auch gerne. Jedenfalls ist es eine hartnäckige Sache. About.Blank Seite kam heute morgen plötzlich wieder, und aller möglicher Dreck poppte auf. Hatte vorgestern alle ActiveX-Steuerelemente auf deaktivieren gestellt, bis auf die mit den sicheren Scriptings und als ich eben schaute waren sie alle wieder aktiviert... Sh..

Im System-32 Ordner war diesmal nichts Auffälliges. AdAware hat 4 TrackingCookies gefunden, irgend ein Ding mit dem Namen asl.falkag.txt ist immer dabei.

Habe alle ActiveX-Steuerelemente deaktiviert, was letztlich auch nicht befriedigend ist, aber erst mal ist Ruhe.

WinPatrol, Spybot usw. kann ich nicht runterladen, da kommt eine Fehlermeldung "193", was auch immer das bedeutet.
Bin massiv genervt

Vieilleicht hat jmd. nützliche Tipps?!?
J.

TMK · 18. Juni 2004, 11:14:10 Uhr

Könntest mal mit RegCleaner nachsehen, was bei Dir alles so im Autostart (Startup List) angezeigt wird:

http://www.hardwareecke.de/forum/attachments/RegCleaner.exe (http://www.hardwareecke.de/forum/attachments/RegCleaner.exe)

JoeK · 18. Juni 2004, 15:34:06 Uhr

Hi TKM,
hab mal den Regcleaner laufen lassen. Die Startup List zeigt folgendes:

A², "C:\Programme\a2\a2guard.exe", HKEY_CU\Run
Acrobat Assistant, N/A, Start Menu (Common User)
Application Explorer, N/A, Start Menu (Common User)
Em_exec, C:\progra~1\mousew~1\system\em_exec.exe, HKEY_LM\Run
Mdac_runonce, C:\WINNT\System32\runonce.exe, HKEY_LM\Run
Microsoft-Indexerstellung, N/A, Start Menu (Common User)
Nwtray, Nwtray.exe, HKEY_LM\Run
Office-Start, N/A, Start Menu (Common User)
RemotePrinter, C:\PROGRA~1\EPRINT~1\REMOTE~1\RemPrn.exe, HKEY_LM\Run
SystemTray, SysTray.Exe, HKEY_LM\Run
Vptray, C:\PROGRA~1\Navnt\vptray.exe, HKEY_LM\Run
Winhost, C:\WINNT\winh.exe, HKEY_LM\Run

Ist da was Verdächtiges bei?

Übrigens hat sich mein IE-Explorer, nachdem die Search Site About:Blank hochpoppte, immer wieder selbst gestartet und mich auf diverse miese Seiten geführt. Da kommt Freude auf...

Im Moment ist Ruhe im Kasten, aber wie lange noch??
Gruß, J

TMK · 18. Juni 2004, 16:16:13 Uhr

winh.exe scheint nicht ok zu sein, der Rest ist zwar teilweise überflüssig, sind aber keine Viren bzw. Würmer: siehe: --> http://www.kephyr.com/spywarescanner/library/lolaweb.winhost/index.phtml

Kontrolliere vielleicht auch mal unter "C:\WINNT\SYSTEM32\DRIVERS\ETC" die hosts-Datei, mit einem Editor (z.B. Notepad) kannst Du dir den Inhalt anzeigen lassen.

Würde aus Sicherheitsgründen auch generell auf einen anderen Internet Browser umsteigen, Firefox ist zu empfehlen:

http://firebird-browser.de/

JoeK · 18. Juni 2004, 18:02:51 Uhr

1000 Dank für Deine schnelle Antwort!!!

rchob · 22. Juli 2004, 17:13:05 Uhr

Hi,

ich hab dieses Sch... CWS-Teil jetzt auch seit ca. einer Woche drauf und bin am verzweifeln. $:-\$

zu Gabbo: Also wenn du klagst, ich bin dabei. Da könnte man ne schöne Sammelklage draus machen.

Wie schon beim anderen topic angemerkt, hat mir bis jetzt am meisten Spy Sweeper geholfen´, welcher mir wenigstens macht nach jedem Neustart mein system wieder arbeitsfähig zu machen (war vorher wohl aufgrund von CWS ultralahm) und meine Standartseite wiederherzustellen. Aber nach jedem Neustart - wie sollte es auch anders sein - ist der verdammte !"$%$%& wieder da! Mitunter reproduziert sich das Ding auch bei längerer Laufzeit und ohne Neustart. Ich hab sowas noch nicht erlebt. Hat igendjemand noch eine Idee??

Es muss doch was anderes als "Format C:\" geben?!?!?

TMK · 22. Juli 2004, 17:56:06 Uhr

Sollte in Kombination mit HijackThis, RegCleaner und SpyBot sicherlich möglich sein:

http://www.spywareinfo.com/%7Emerijn/downloads.html

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

skyline · 22. Juli 2004, 19:12:16 Uhr

1 Als erstes würde ich mal einen Virenscan im abgesicherten Modus durchführen.
z. B mit der Demo von http://www.gdata.de/filemanager/list/4/%3Ewww.gdata.de/filemanager/list/4
(AntivirenKit 2004) und gleich updaten.

2 Sicherheitspatche Installieren

wenn das allein noch nichts gebracht hat

wie TMK schon vorgeschlagen hat.. Hijack This runterladen
hier gibt es auch noch ein Anleitung
http://hjt.klaffke.de/

und den Report mal posten (kann eine lange Liste sein)

und suche auch mal über die Suchfunktion die Datei hosts (ohne Endung)
die kann mit dem Texteditor geöffnet werden.

evtl stehen dort auch die Ip umleitungen

Gruß Skyline

rchob · 23. Juli 2004, 00:57:48 Uhr

Danke TMK und Skyline für die Antworten.

Hier die Log-File vor der Entfernung:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {2A4D2681-D695-11D8-B551-0003CB29992D} - C:\WINDOWS\SYSTEM\JNF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spyware Detection\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISSERV.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Danach hab ich in dieser Reihenfolge folgende Programme ausgeführt:

gefunden:

Spy Sweeper 3 Dateien
Ad-Aware (erweiterte Suche) keine
Spybot- Search & Destroy nur security hole (genannt DSO)
CWShredder keine

(alle Programme mit den aktuellsten Updates)

Danach sah die Hijackthis-Log so aus:
(nach Spy Sweeper unverändert)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {2A4D2681-D695-11D8-B551-0003CB29992D} - C:\WINDOWS\SYSTEM\JNF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spyware Detection\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISSERV.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Mit regcleaner konnte ich leider nicht viel anfangen. Zusätzlich hab ich noch Norton Antivirus upgedatet und drüberlaufen lassen, der auch nichts gefunden hat.

Im Vergleich der Log-Files wurden offensichtlich die oben farbig makierten Zeilen gelöscht.

Und was war das Ende vom Lied? Nach dem nächsten Neustart waren die Dateien wieder da!! Da muss irgendwo ne versteckte Datei sein die immer wieder die Interneteinstellungen ändert (vielleicht sogar ne .exe?

)

Ich hab mich noch gefragt, was es mit dem NameServer- Eintrag auf sich hat. Hat da jemand Ahnung?

Bin für jede weitere Idee dankbar. $:-\$

rchob · 23. Juli 2004, 01:02:08 Uhr

Sorry hab die falsche Log-File gepostet!!

Nach der Entfernung sah sie so aus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {2A4D2681-D695-11D8-B551-0003CB29992D} - C:\WINDOWS\SYSTEM\JNF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spyware Detection\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISSERV.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

TMK · 23. Juli 2004, 01:13:40 Uhr

Wie wirkt sich das "CWS-Teil" denn momentan bei Dir genau aus?

P.S.: Du kannst deine eigenen Beiträge auch editieren.

rchob · 23. Juli 2004, 12:31:01 Uhr

Also wenn ich die Dateien nach dem Neustart entfernt habe (manchmal muss ich sie mehrmals entfernen [die reprodiziert sich wohl immer gleich zweimal nach dem Neustart]) gibts eigentlich keine Probleme und ich kann System und Internet normal benutzen.

Allerdings sind die Dateien nach jedem Neustart wieder da (Spy Sweeper [im Hintergrund] zeigt mir wenigstens ne Warnmeldung, wenn in den Internetoptionen etwas geändert wird so dass ich weiss, wann die Dateien sich wieder installiert haben.

Ist aber ziemlich lästig (ich muss jedesmal wieder die Suchfunktion in Spy Sweeper auführen (2x), und dann die Objekte löschen). Wenn ich das nicht mache, wird mein System so lahm, dass ich nicht mal den Explorer öffnen kann und mein Internet wird ebenfalls langsam und zeigt die site adresszeile: about:blank und im Seiteninhalt eine Seite mit der Überschrift "Search for...." an die auch im offline-modus verfügbar ist.

CoolWebSearch Hijacker akafep.dll

07. April 2004, 11:19:03 Uhr Letzte Bearbeitung: 07. April 2004, 11:20:12 Uhr von Joey

07. April 2004, 11:36:26 Uhr #1

07. April 2004, 11:51:04 Uhr #2 Letzte Bearbeitung: 07. April 2004, 11:52:47 Uhr von Joey

23. April 2004, 01:29:38 Uhr #3

16. Juni 2004, 13:26:04 Uhr #4

16. Juni 2004, 18:33:54 Uhr #5

17. Juni 2004, 03:23:36 Uhr #6 Letzte Bearbeitung: 17. Juni 2004, 03:23:50 Uhr von American

17. Juni 2004, 10:51:44 Uhr #7

18. Juni 2004, 09:49:45 Uhr #8

18. Juni 2004, 11:14:10 Uhr #9

18. Juni 2004, 15:34:06 Uhr #10

18. Juni 2004, 16:16:13 Uhr #11

18. Juni 2004, 18:02:51 Uhr #12

22. Juli 2004, 17:13:05 Uhr #13

22. Juli 2004, 17:56:06 Uhr #14

22. Juli 2004, 19:12:16 Uhr #15 Letzte Bearbeitung: 22. Juli 2004, 19:14:08 Uhr von skyline

23. Juli 2004, 00:57:48 Uhr #16 Letzte Bearbeitung: 23. Juli 2004, 12:45:02 Uhr von rchob

23. Juli 2004, 01:02:08 Uhr #17 Letzte Bearbeitung: 23. Juli 2004, 12:48:18 Uhr von rchob

23. Juli 2004, 01:13:40 Uhr #18

23. Juli 2004, 12:31:01 Uhr #19