CoolWebSearch Hijacker akafep.dll

[rchob]

Hab noch ne Frage: Sollte ich die Zeilen mit dem Name Server-Eintrag und eventuell die jnf.dll löschen (siehe Log-File oben[Farbe grün])?? Vielleicht löst das das Problem??

[TMK]

Die "JNF.DLL" würde ich mal löschen, beim Nameserver bin ich mir nicht sicher, grundsätzlich sollte ein derartiger Eintrag drin sein.

Hast Du nach der "hosts"-Datei gesucht (c:\windows\system32\drivers\etc) und Dir mal die Einträge angesehen.

[rchob]

Kann die hosts-Datei nicht finden!

[TMK]

Hast aber schon WinXP installiert?

[rchob]

Nein bei mir läuft Win98 SE. Ich hab nen ewas älteren Rechner und alles andere wäre mir zu langsam.

[rchob]

Ich wollt nur sagen: mir reichts jetzt ich werd jetzt "Format C:\" machen! CWS ist einfach nicht zu entfernen!
Bleibt nur zu hoffen, dass sich da mal ein Profi dranmacht und da ein paar ordentliche Entfernungstools ins Netz stellt.
Allen die bis dahin von CWS infected werden, kann ich nur herzliches Beileid wünschen!!

Danke trotzdem für Eure Hilfe! Bis dann!

[TMK]

...dann installier am Besten auch gleich einen anderen Browser. --> Mozilla, Firefox oder Opera.

[skyline]

ihrgendwie ist das mal wieder ein beweis dafür das Norton trotz updates versagt hat Oder?

andere Scannner http://www.sophos.de/virusinfo/analyses/trojcwsc.html

kommen da anscheinend besser klar

zu den Hijack This einträgen
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0

hätte auf jeden Fall auch entfernt werden müssen und wAr**heinlich auch die dll
Einträge 012

Warum die einen Hijacker bekommen und die anderen nicht

Der Grund wird wohl folgender sein
Die einen nehmen einen anderen Browser Opera Mozilla usw.
die anderen einen gepachten IE (wie z. B. American)

bleibt noch eine Gruppe ..
- Surfen mit einem ungepatchten IE

auf schlüpfrigen oder unbekannten Seiten.

Werden eigentlich noch die IE Patche für Windows 98 angeboten?
Nichts gegegen Windows 98 ist nach meiner Meinung sicherer wie XP -  zumindes in einigen Punkten.
Zum Beispiel kann man sich dort keinen Blaster oder ähnliches einfangen bzw. er kann dort nichts anrichten.


Hier deshalb noch mal die Links zu den Alternativen (Browsern)

http://www.opera7.de/
http://firefox.bric.de/index.php

Opera läuft auch auf älteren Rechnern problemlosl - ich denke firefox auch.

mfg Skyline

[rchob]

Also ich hab CWS besiegt durch Format C:/. System läuft wieder. Ich hab gleich mal Firefox 0.9 und Antivirus-, Spyware- und Firewallprogs installiert. Ich glaub nützlich ist jetzt noch ein Systembackup!!! Hat mich Stunden gekostet das ganze Zeug zu installieren!


Also Danke noch mal.

und

CWS R.I.P.

[fossi2100]

Hallo !

Habe (glaube ich) endlich die Lösung gegen dieses Coolwebsearch Mistding gefunden. Das Sophos Virenprogramm hat seit dem neusten Update einen Trojaner names Troj/Start-Pa-Do gefunden. Der hartnäckige Bursche ändert die Browsereinstellungen. Das löschen der Dll Dateien hat sonst nichts genützt, da die sich ständig ändern. Nach dem hochfahren die Datei Winnt/Sytem32/mpmbb.dll löschen. Hoffe nur das ich in einer halben Stunde nicht wieder eine andere Dll-Datei drauf habe.

Bis dann ! Gruß Fossi

[fossi2100]

Moinsen !

Ich nochmal. Ich glaube, ich habe nach 3 Monaten gegen CWS gesiegt. Hatte Spybot, Adaware, CWshredder, Spywareblaster, Hijack this, McAfee Firewall (hohe Sicherheit) drauf und hatte die Aktive-X Steuerelemente auf deaktivieren gesetzt. Genützt hat das gar nix. Die Programme haben zwar immer was gefunden, hatte den Müll aber gleich wieder drauf. Geholfen hat ein wenig die Startseite von about:blank auf etwas anderes zu setzen. Dann Winpatrol installiert gehabt. Das Programm hat wenigstens was angezeigt, wenn sich was eingenistet hat. War aber trotz allem ultra nervig, jede halbe Stunde die Scanner durchlaufen zu lassen. Sophos Antivirus von der Uni hatte auch immer nichts gefunden. Bis heute. Troj/Start Pa-Do gefunden. Konnte Sophos aber nicht löschen. Zugriff verweigert. Datei Winnt/system32/mpmbb.dll. Das Teil ändert die Startseite des Explorers. Habe dann neu hochgefahren und unter Start/Suchen die Datei mpmbb in den Müll befördert. Seit dem surfe ich jetzt seit etwa 4 Stunden und Winpatrol hat noch nicht gebellt. Hoffe da kommt auch nichts mehr. Ansonsten melde ich mich.

Viel Glück ! Ciao Fossi

[fossi2100]

Hi !

Vergeßt alles was ich geschrieben habe. Das Teil ist wieder da mit ner neuen dll Datei. F... o..

Bye Fossi

[Magic-Bear]

Hi, Ich hatte CoolWebsearch schon 4 mal auf dem System. Am Anfang waren es vergleichbar harmlose Versionen und da es beim 1. Mal noch kein fähiges Tool gab hab ich das Teil von Hand aus der Registry entfernt. Hatte 100% erfolg und das Teil war weg. Mittlerweile ist das Teil wies aussieht mutiert. Das 2. Mal hab ich es mit dem CWS Shredder entfernt und war auch ok. Nun vor ner Woche hatte ich das Teil wieder. Nur diesmal konnte man machen was man wollte das Teil hat sich nicht entfernen lassen. Habs nach 2 Tagen dann doch geschafft. Ich poste euch die Vorgehensweise. Antivir runterladen, updaten und laufen lassen. Das Teil muß vorher noch manuell scharf gestellt werden sprich Heuristik auf mittel und Scherzprogramme aktivieren. Danach Adaware runterladen, updaten und laufen lassen. Mit dem CWS Shredder danach überprüfen. Dann in der Startleiste unter ausführen regedit eingeben. Mit suchen die Einträge mit den Begriffen CoolWWW und Coolweb finden und die ordner löschen.

Danach Neustrart und das Teil war tot.
Hoffe es funzt bei euch auch.

Hier noch die Links: http://www.intermute.com/spysubtract/cwshredder_download.html

http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button

http://download.freenet.de/download.php?file_id=2957&download=antivir_6_personal_edition

Gruß Magic

[MAJOR SL]

Es gibt doch ein uninstall-prog. 

Wenn ihr service pack 2 installiert habt kann es manchmal schwierig sein beim downloaden.
Windows blockiert diese Seite. Ich habs mit Netpumper gezogen.

so nun der link: http://lop.com/

bis denn


Edit v. TMK:
Bitte keine direkten Downloadlinks von fremden Seiten posten.

[MAJOR SL]

Es gibt doch ein uninstall-prog.

Wenn ihr service pack 2 installiert habt kann es manchmal schwierig sein beim downloaden.
Windows blockiert diese Seite. Ich habs mit Netpumper gezogen.

so nun der link: http://66.220.17.157/help.html

bis denn


Edit v. TMK:
Bitte keine direkten Downloadlinks von fremden Seiten posten.

[DerCarlos]

Hi, habe mir gerade einen cws eingefangen und bekomme ihn net wieder runter...Spybot löscht ihn, aber beim Start des Browsers ist er direkt wieder da...
Würde mich hören bald von Euch zu Hören....

[tyco]

Versuch es mit dem CWShredder (http://www.intermute.com/products/cwshredder.html).

[I need help]

Ich hab mir vor ein paar Tagen auch so ein kack eingefangen
ich erzähl euch mal wie das bei mir lief
1. Der Rechner fährt hocj (10 min.) komisch.
2. Adaware, kaspersky antivirus und spybot laufen gelassen findert dateien wie "coolwebsearch"
3. Hintergrundbild ändert sich auf DANGER
4. pop up fenster mit "Your computer is in danger"
Und das löschen dieser "coolwebsearch" teile bringt auch nix die kommen immer wieder
ich hab oben auf der Seite ein paar Tricks gesehen die bringen aber auch nix weil bei mir die akafep.dll gar nicht existiert...
Es will auch andauern immer eine Seite geöffnet werden die mein antivir aber abblockt
Infiziert durch Virus; Trojan.Win32.StartPage.uz steht dann da
Bitte helft mir
Hab auch schon Hijack This und Cvschredder ausprobiert bringt aber auch nichts...
Habt ihr Vorschläge ??
Danke schon im Vorraus
Icq: 333-219-756
entweder icq oder hier im forum
danke

[Tobser]

hallo,
ich hatte ebenso einen coolwebsearch auf meinem rechner, dauernd hat sich meine startseite verändert, beim einloggen kam ich auf eine hacker.com seite und wenn ich agr nix machte, öffneten sich fenster mit spam...
nachdem ich aber dann CWShredder durchlaufen lies und er alles fand und ich dann auch löschte war s wieder gut, aber nun habe ich ein weiteres problem. ich kann nichts mehr downloaden über den IE (neuste version) und auch über mozilla kann ich nichts downlaoden. bei beiden browsern ist es auch gleich, dass die grafiken, also bilder, nicht angezeigt werden. bei den meisten kommen einfah rote X in einem kästchen oder von oben anch unten wir das bild von hell anch dunkel angezeigt. auch wenn ich bei ebay schaue, und auf inen link klicke, dann entsteht eine seite, aber darauf sehe ich nur ein bis 2 sätze, meisten den versand. ich muss dazu dann 10 mal auf aktualisieren klicken, dasss die seite richtig und komplett angezeigt wird, allerdings bleiben die bilder immer so wie vorher beschieben. bitte helft mit: tobiasmassoth@web.de

mein System: antivir (kann keine updates mehr herunterladen)
CWshredder
ad-aware (updates können herunter geladen werden)
MS Windows 2000
IE und Mozilla (beide neuste version)
bitte, bitte meldet euch: tobiasmassoth@web.de                      oder schreibt etwas hier rein

[TMK]

Könntest mal mit Hijackthis ein Logfile erstellen und hier posten:
http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php