CWS: Cool Web Search - 500 Beiträge pro Seite

Letzten Sonntag abend

mein Antiviren programm: `Klingeling, I have detected an Virus, Do you like to delete it`. Klar wollte ich das. Aber es war schon zu spät. Mein Browser hatte eine andere Startseite, als ich eingestellt. (startseite war eine Suchmachine, Cool Web Search, wie sich später rausstellte.)

Ich brauchte drei Tage, um mein System wieder klar zubekommen. Es gibt viele Anleitungen, jedoch hat nur eine funktioniert. Hier mein Bericht, damit es bei Euch schneller geht.

Ich hatte schon auf meinem Rechner:
-Antivir B+EDV
-Sygate Firewall
-Adaware (alte Version)

Download (google around):
- adaware (neueste Version)
- Spybot
- HiJackThis
- CWSchredder.
- kapersky antivirus

- Aktiviere Firewall und blocke jeden ausgehenden Verkehr.
- Starte Browser (IE). Internet Options, Security, Internet Zone.
- Deaktiviere alle (wirklich alle) dynamischen Einstellungen (also ActiveX, .Net, Script) entferne alle `trusted sites`, die Du nicht kennst

Programms
- Reset web settings.

Lasst alle Programme durchlaufen (adaware bis CWSchredder).

Liste alle Programme (Windows, system, system32) nach Datum auf. Die Programme und DLLs, die das gleiche Datum aufweisen, wie der Virenangriff sind verdächtig. Umbenennen und in temp Verzeichnis backupen, oder löschen (wenn ihr euch traut)

Mein System war irgendwann clean, jedoch war ich völlig neurotisch:
- Spybot zeigte 5 DSO-Einträge in der Registry an. Nach jedem cleanen, waren die Einträge wieder da. Dies ist ein Fehler von Spybot. (das hat mich vielleicht Zeit gekostet). Nach manueller Editierung der Registry, habe ich alle bis auf einen weggebracht.

Da mein notepad nicht mehr funktionierte. Habe ich im Internet nach notepad-Virus gesucht. Und tatsächlich es gibt einen. ALs ich notepad manuell weglöschte, war es nach
2 Sekunden wieder da. Also habe ich nach dem Prozess gesucht, der notepad wiederherkopierte. Dies muß jedoch kein Virus sein. Das macht Windows XP von sich aus (das rauszufinden hat mich auch Zeit gekostet). Wenn notepad die Größe 65KB aufweist, sollte es OK. sein. Bekannte Notepad-Viren haben die Größe 20 oder 120KB.

Kapersky entdeckte einen Virus, denn antivir nicht erkannte, und zwar genau in den DLLS, die ich umbenannte und sicherheitshalber aus dem Windows-Verzeichnis entfernte.

Mein System besteht aus einem Router inklusive Firewall, auf dem Rechner eine Sygate Firewall, Antivir, und Windows XP ist vollständig auf dem neuesten STand. Trotzdem mein
Antivir angeschlagen hat, waren danach ein (oder mehrere) Viren drauf.

Was waren meine Fehler:
-(Ok, Linuxer würden sagen, ich verwende überhaupt das falsche Betriebssystem)
Ich surfte mit einem Administrator Accout. Als ich meinen neuen privaten Rechner konfigurierte, vergab ich eingeschränkte Nutzer accounts, jedoch funktionieren einige wichtige Programme nicht mehr (Image mirror, MP3-Player etc). Das ist nervig, also habe ich dummerweise die Accounts wieder auf Adminstrator gesetzt.
- Mein Browser war so konfiguriert, daß ich alle dynamischen aktiven HTML-Seiten sehen konnte
- Ich verwendete den falschen Browser

Meine Lehren:
- Keine Administrator Account mehr zum surfen.
- im IE, alle aktiven Sachen ausblenden (damit funktionieren halt bestimmte Seiten nicht mehr)
- Firefox (mozilla) als Browser (anstatt IE) verwenden und surfe mit dem

Ich hoffe, es hilft Euch vielleicht auch.

grobschnitt

...zu spät ......, das hätte ich eher sehen müssen.
Hab das Rad zum x-ten mal neuerfunden...

...allerdings hab ich mit allem mehrere Wochen
gebraucht, bis dass ich wirklich durch war...