Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Hijacked - "c:/spad/start.html"

Cully / 9 Antworten / Baumansicht Nickles

Hallo!


Ich hab mir - wie auch immer - nen ganz bösen Hijacker eingefangen!


Meine Startseite wurde auf c:/spad/start.html gelegt und als Suchseite wurde http://www.myexexex.com/search.php?said=spage eingetragen!


Ad-Aware findet nichts, Spybot zeigt mir lediglich einen "Prefix Change" in der Registry!

Bereinigen mit Spybot hilft nicht, den Ordner c:/spad/start.html löschen auch nicht!
Verdächtige EInträge hab ich mit Hijackthis gefixt...


Trotzdem taucht das ganze nach Gewisser Zeit (auch ohne Neustart) immerwieder auf!

Hab schon diverse Foren abgegrast aber bis jetzt noch keine brauchbare Lösung gefunden!!!


Weiss jemand weiter 

bei Antwort benachrichtigen
Cully Nachtrag zu: „Hijacked - "c:/spad/start.html"“
Optionen

Sorry - falsches Forum !!!!

bei Antwort benachrichtigen
TuffiLP Cully „Hijacked - "c:/spad/start.html"“
Optionen

start, ausführen, regedit, local machine, software, microsft, windows, current version, und dann die ganzen run bereiche durchsuchen, ob da was zu spad steht, wenn ja, löschen!

bei Antwort benachrichtigen
Teletom Cully „Hijacked - "c:/spad/start.html"“
Optionen

Wieso falsches Forum? Genau richtig.

Hör nicht auf das, was andere Dir suggerieren, oder was Du ohne weitere Informationen interpretierst.

Wende immer den ersten Sicherheitsgrundsatz an:
Traue nur Dir selbst.

Und das geht nicht ohne weitere Informationen.

Als Entfernungs- Tool empfehle ich Dir auch: den cwshredder
http://www.spywareinfo.com/~merijn/files/cwshredder.zip

IE- Browser Hijacking läuft in der Regel so ab, dass Du entweder aufgrund einer verminderten Sicherheitseinstellung oder in dem Du bestimmte Sites durch explizites Anklicken des Vertrauensbuttons fälschlicherweise vertraust.
Dieses falsche Verhalten bewusst oder unbewusst kann bewirken, dass ein "Browser Help Object" - BHO eingerichtet und mit Systemrechten ausgestattet wird.

Da mit Sicherheit bereits das entsprechende Hijacking-BHO entwickelt und eingesetzt wird, bevor die Malwareentferner aktualisiert werden können, besteht die Gefahr, dass dieses Hijacking-BHO zur Zeit nicht entfernt werden kann.

Was in jedem Fall bei einem IE- Browser- Hijacking hilft ist die komplette Neuinstallation der Internetexplorers, also IE von der Microsoft-Site downloaden und kompett neu installieren. Bevor man tagelang rum-orakelt ist Letzteres eine sichere und schnelle Lösungsvariante.

Natürlich danach die Sicherheitseinstellung auf mindestens "Mittel" setzen und beim Surfen aufpassen sowie zumindest bei fragwürdigen Seiten einen Browser wie Mozilla, Opera u.v.a.m einsetzen.

Gruß
Teletom

bei Antwort benachrichtigen
werner.3 Cully „Hijacked - "c:/spad/start.html"“
Optionen

Hi
IE reparieren:
Dazu die Windows XP Setup CD einlegen und über START - AUSFÜHREN den folgenden Befehl eingeben:

rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\inf\ie.inf

Damit wird der Internet Explorer neu installiert und nicht einfach der Alte überspielt.

mfg.Werner

bei Antwort benachrichtigen
Cully werner.3 „Hi IE reparieren: Dazu die Windows XP Setup CD einlegen und über START -...“
Optionen

Hallo und Danke für die Tips!


Den cwshredder hatte ich auch schon getestet - system clean!
Also auch nicht gefunden!

Wenn garnichtsmehr hilft werd ich mal versuchen den IE neu zu installieren...

bei Antwort benachrichtigen
Teletom Cully „Hallo und Danke für die Tips! Den cwshredder hatte ich auch schon getestet -...“
Optionen

Vor jeder Neu Installation sollte die Software deinstalliert werden:

Start> Systemsteuerung > Software > Windowskomponenten Hinzufügen/Entfernen > Internet Explorer deaktivieren > Weiter ...

Gruß
Teletom

bei Antwort benachrichtigen
GarfTermy Cully „Hallo und Danke für die Tips! Den cwshredder hatte ich auch schon getestet -...“
Optionen

den ie neu zu installieren wird nichts bringen, der hijacker bleibt da wo er ist - auf deinem system.

abhilfe?

* hijack this benutzen, verdächtige einträge killen
* verdächtige dateien löschen

sicherste methode ist eine neuinstallation. das neue system mit image sichern und dann mit zb spybot das system immunisieren.

am sichersten ist es allerdings, wenn man "gewisse" sites im netz meidet.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Cully GarfTermy „den ie neu zu installieren wird nichts bringen, der hijacker bleibt da wo er ist...“
Optionen

Das ist ja das besch**** an dem Ding!

Einträge hab ich mit hijackthis gekillt - kommen immer wieder!!!
Verdächtige Dateien hab ich auch gekillt - kommen auch immer wieder!!!

Das System war mit Spybot immunisiert - hat nichts gebracht !!!

Mit "normalen" hijackern hat ichs schon oft zu tun - aber nicht mit so einem

bei Antwort benachrichtigen
Teletom Cully „Das ist ja das besch an dem Ding! Einträge hab ich mit hijackthis gekillt -...“
Optionen

Weil sich das verdammte Ding sicherlich in der Registry eingeschrieben hat und weil, wie gesagt, ein BHO existiert, das immer wieder neue Einträge und bestimmte Dateien erzeugt. Das BHO kann beispielsweise in Form einer dll-Datei vorliegen, aber welche?

Ich hab ein ähnliches Problem gelöst, in dem ich eine mit Erunt gesicherte Registry zurückgesichert habe. Deshalb verwende ich als Minimum Backup- Maßnahme Erunt möglichst in jedem Fall. Wenn noch ein Backup oder ein Wiederherstellungspunkt der Systemwiederherstellung vorhanden ist, kann man zurücksichern.

Dass der Internet Explorer sich nicht immer ohne Beibehalten der BHOs deinstallieren und installieren läßt, ist ein eindeutiges Zeichen dafür, dass Windows und Internetexplorer fast untrennbar verbunden sind. Um den Internetexplorer völlig deinstallieren und neu installieren zu können, muss man meistens das System platt machen und völlig neu installieren, es sei denn man hat ein fehlerfreies Backup.

Naja, 47 Minuten oder so zum Plattmachen und zur neuen Grundinstallation ist noch zu verkraften. Also nicht lange zögern sonst vergeht noch mehr "Orakel"- Zeit.

Gruß
Teletom

bei Antwort benachrichtigen