Internetadressen beginnen alle mit «http://ehttp.cc/?»

Verantwortlich für dieses Verhalten ist ein so genannter "Browser Hijacker" (deutsch: Browser-Entführer), in Ihrem Fall einer der "CoolWebSearch"-Familie. Der Schädling verändert den Eintrag in der Registry, der dafür verantwortlich ist, dass einer Adresse, die mit "www" beginnt, automatisch "http://" vorangestellt wird. Durch die Änderung dieses Eintrages werden alle Anfragen zuerst an die Webseite der Übeltäter geschickt, so dass diese eine komplette Aufzeichnung von Ihrem Surfverhalten erhalten. Auf der Webseite [1] der Urheber lässt sich überraschenderweise sogar eine Datei zur Entfernung des Schädlings herunterladen, welche tatsächlich funktioniert und keinen weiteren Schaden anrichtet.

Jedoch kommt der ungebetene Eintrag oft nicht alleine, sondern wird von einer Datei namens "addclass.exe" installiert, die den Eintrag bei jedem Systemstart wieder herstellt. Um beides zu entfernen, löschen Sie als erstes die Datei "C:\Windows\addclass.exe". Sollten Sie diese Datei nicht finden, müssen Sie die folgenden Schritte nicht vornehmen. Nun gehen Sie auf "Start/Ausführen", tippen "regedit" ein und bestätigen mit "OK". Jetzt klicken Sie sich im linken Fenster über die Pluszeichen bis zu folgendem Schlüssel:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Nun sollten Sie im rechten Fenster den Eintrag "AddClass C:\WINDOWS\TEMP\ADDCLASS.EXE" finden, den Sie nun per Rechtsklick löschen. Jetzt können Sie die oben beschriebene Deinstallationsdatei öffnen.

Alternativ dazu können Sie auch die Programme "HijackThis" oder "CWShredder" von "Merijn" [2] verwenden, welche sich für die Lösung Ihres Problems beide gut eignen. Eine deutsche Anleitung für "HijackThis" finden Sie hier [3].