Browser Hijack

KillerEngine

KillerEngine

Neuling
Thread Starter
Mitglied seit
22.03.2004
Beiträge
316
Ort
Hamburg
bin gestern auf einigen seiten rumgesurft...

da ging ein popup auf, trotz google toolbar..

stand kurz irgendwas von microsoft hilfe... html...

ging dann weg, hdd machte kurz geräusche ich denk ""§%§$%$§DFUCK§$"

startseite wurde immer wieder umgestellt auf so nen spyware scheiss, konnte kaum mehr auf andere seiten surfen, weil das immer kam.

norten konnte nix finden, bzw eine dll (libm.dll) nicht löschen.
gleich das ms tool geladen, der hat edonkey, flashget und diesen anderen müll gefunden, den ich dann gelöscht hab...

und dann funzt alles kurzzeitig wieder.

nur leider wars dann doch nicht weg!
wenn ich den brower nen paar mal schließe und wieder öffne, kommt es wieder.
das ms tool findet es auch immer wieder und enfernt es, aber nach kurzer zeit ist es wieder da (browser hijack)
kann mir wer sagen, wie ich das wegbekomme?

so schauts aus: klick.

hab darauf hin hier im fourm gesucht, bin auf ne zusammenfassung gestoßen, wo genau das problem behandelt wurde.
habe mir darauf hin spybot search & destroy, adware und antivir geladen.

spybot s&d und adware konnten da nix machen. antivir fand diese libm.dll, sagte er könne sie erst nach nem windowsneustart entfernen. also machte ich nen reboot und sie war weg.

startseite wurde nicht mehr geändert, antivir fand nichts mehr. ich dachte er wäre weg.


eben mach ich den recher an, den explorer auf und da ist es wieder.....

wieso ist es wieder da? und wie bekomm ich es endlich weg?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
norton kannst du bei sowas direkt in die tonne treten, findet nichts und wenn doch ausser lage das auch zu reparieren.

www.lavasoft.de

adaware SE personal ziehen ... sollte theoretisch das meisste finden, und nächstes mal wie gesagt n browser von dritten nutzen, sei es opera oder firefox.
 
danke für die schnellen antworten :)

hijack this hats entfernt.

norton, adware, antivir, spybot haben leider alle nichts gebracht.
 
Zuletzt bearbeitet:
kumpel von mir hat "richfind" also hijack .. aber "hijackthis" bekommt das net weg ..
 
bei p3dnow wurde mir noch ein tool namens cwshredder empfohlen, kann er ja mal testen.
 
LLOOOOOOOOL!!!!!!!!


AHHHHHHH


HALLO!!??

es ist schonwieder da!

es wie kann das sein?

alle virenscanner drüberlaufen lassen, nur auf p3dnow und hwlxx gewesen und nu isses schonwieder da.


gibts keine möglichkeit sowas dauerhaft wegzubekommen?

wenn ich jetzt vom IE auf Firefox oder so wechsle, hab ich doch diesen verdammten troyaner trotzdem noch aufm system!

antivor hat ihn letztes mal als startpage troyaner identifiziert...


wie kann ich denn rausfinden, wie der sich andauernd wieder selbstständig einschleust?
sowas kann ja auch nen bisl mehr anrichten, als nur die startseite zu ändern...
 
ansonnsten manuell töten.

ausm run rausnehmen, abgesicherter modus, registry cleanen, hdd säubern (bzw. dateien ausfindig machen) ... sollte auch gehen
 
ja, ich hab sp2 drauf.


das ms tool nennt das ganze übrigens Unclassified.Spyware.BHO.B

wie genau stellst dir denn das vor b166er?

wie soll ich die dateien finden und die reg säubern?

antivir entfernt die datei ja auch, und nach dem reboot wenn ich erneut scanne is auch nix wieder da. wenn ich kurze zeit surfe hab ich den salat aber wieder...
 
ok. geh mal im ie unter extras und sieh mal nach welche addons am laufen sind, deaktivieren den verdachtigen, vorher aber stell mal mit dem xpantispy die aktveX aus versuche mal dann dieses adon zu deinstallieren bzw zu löschen .... und poste mal ergebnis..
 
Und tritt vorallem den IE in die Tonne... wenn man schon Windows verwendet dann biiiitte ohne den IE mehr als nötig zu benutzen...!

Das Ding is sone katastrophe da hilft auch kein SP2 mehr...
 
also:

habe mit antivir die o.g. dll erneut gesucht,
activX deaktiviert,
dann unter addons nachgeschaut. dort war sie auch als aktives addon eingetrage. dieses dann deaktiviert, mit hijack die regschlüssel gelöscht, neugestartet, wobei antivir die dll dann wieder entfernt hat.

bis JETZT ist es noch nicht wieder aufgetaucht. antivir läuft gerade nochmal drüber.
aber ich weiß auch nicht, wie es ausschaut, wenn ich activX wieder einschalte.

was mach ich nun um diese sicherheitslücke zu stopfen`?

activ x lass ich besser erstmal aus ;)
 
gut, ich werde adware und spybot nochmal installieren, mal gucken was die sagen.


nur werden die sicher, bis ich activ x wieder anmachen nix finden und dann gehts wieder von vorne los.


das ding is ja nu: wie schließe ich die lücke, oder besser: warum kommt der jedesmal, wenn er (anscheinend) komplett entfernt wurde wieder rein? :stupid:
 
Iim IE unter Extras dann Internetoptionen auf Sicherheit und auf Stufe anpassen gehen dann "Zurücksetzen zu: Hoch" auswählen und auf zurücksetzen machen und auf OK.
Und bei Datenschutz alle Cookies sperren.

So dann unterm Abgesichertem Modus erstmal alles unter Software entfernen wie Internet Optimizier und alle Sachen die du nicht kennst, nach dem entfernen nicht neustarten, so jetzt HiJackThis drüberlaufen lassen und einfach alles rauskicken. So neustarten wieder im Abgesichertem Modus Ad-Aware SE drüberlaufen lassen cleanen und AntiVir drüberlaufen lassen oder vergleichbares kein Norton.
Für die Zukunft vergiss den IE und nutz ne Alternative ab und zu mal HiJackThis und Ad-Aware drüberlaufen lassen und schön den AntiVir mit Updates versorgen.
 
wer adaware plus KAUFT der kriegt ad-watch dazu, bestes tool was mir bis dato untergekommen ist.

blockt einfach jegliche registry änderungen, und da man ja nicht 24/7 sachen installiert, nervts auch nicht wirklich.

kenne nichts vergleichbar wirksames wie ad-watch.
 
DNA schrieb:
Iim IE unter Extras dann Internetoptionen auf Sicherheit und auf Stufe anpassen gehen dann "Zurücksetzen zu: Hoch" auswählen und auf zurücksetzen machen und auf OK.
Und bei Datenschutz alle Cookies sperren.

So dann unterm Abgesichertem Modus erstmal alles unter Software entfernen wie Internet Optimizier und alle Sachen die du nicht kennst, nach dem entfernen nicht neustarten, so jetzt HiJackThis drüberlaufen lassen und einfach alles rauskicken. So neustarten wieder im Abgesichertem Modus Ad-Aware SE drüberlaufen lassen cleanen und AntiVir drüberlaufen lassen oder vergleichbares kein Norton.
Für die Zukunft vergiss den IE und nutz ne Alternative ab und zu mal HiJackThis und Ad-Aware drüberlaufen lassen und schön den AntiVir mit Updates versorgen.
Zum Vergrößern anklicken....


das werd ich mir dann morgen oder so nochmal anschaun...

btw hab den pc mal ne weile angelassen, und nach ca. 30 min tauchte unter add ons wieder so eine dll auf.

klick
hab ich dann wieder deaktiviert, dann mit antivir 2 dlls gefunden (lol, die eine hieß genauso wie die backupdateien von hijackund befand sich auch im backup ordner :d )
klick
hier alle einträge, die ich mit hijack gelöscht hab
klick

also wieder alles weg...
gerae adware installed, welches 0 gefährliche programme oder datein gefunden hat. hab auch im temp ordner oder in temporary internet files keine weiteren verdächtigen dlls gefunden, welche sich wahrscheinlich immer wieder in windows/system32 kopieren...

naja mir reichts für heute.

danke erstmal & gn8
 
wenn ich spybot laufen lasse, zeigt er mir immer das hier:


Untitled-6.jpg


ich find aber nicht raus, welcher prozess das auslöst.... man ich kriegs kotzen...
 
Hallo ich denke wir haben fast das gleich es ist so ne Art Startup Trojaner der die Url verändert

Das einzige was bei mir geholfen hat ist Kaspersky.
Aber ich habe jetzt Firefox und versuche mich da durchzuschlagen weil wenn ich mal wieder mit dem IE reingehe er schon mal wieder da war ...ich denke sogar das er immer wieder durch ne Sicherheitskücke im IE kommt
 
Zuletzt bearbeitet:
ich habe gerade die dll datei gefunden, die dafür verantwortlich ist.

sie heißt sp.dll.

befindet sich in c:\dokumente und einstellungen......\user\...temp\ da irgendwo.

wenn mans ie mit dem texteditor anschaut, sieht man auch die regeinträge, die sie macht und die elemente dieser geänderten startpage.

hab sie gelöscht, die andere, welche sie immer in system32\ kopiert auch, regeinträge mit hijacj weggemacht. mal sehen obs nun endlich geschafft ist..

schau mal, ob du diese dll auch hast.

btw, dieses "avenue a, inc." scheint relativ harmlos zu sein. ist ein cookie vom IE, welches die surfgewohnheiten übermitteln soll oder sowas...
 
Zuletzt bearbeitet:
ich geh über hansenet rein.

ne habs leider nicht geschafft :grrr:

pc grad wieder ne zeit idlen lassen, und es is wieder da.

die sp.dll is wieder drin...

im autostart und den prozessen kann ich auch nxi finden.. nur die dll, welch eimmer eine zweite erstellt, die dann als troyaner identifiziert wird,
ich versuchs jetzt alles mal im abgesicherten modus wegzumachen.
 
Zuletzt bearbeitet:
Mach die Kiste platt. CoolWebSearch kriegst du nicht mehr weg. Hatte es selbst an einem Rechner von einer Bekannten. Ein dreivierteljahr hab ich gebastelt, dann hab ich aufgegeben und formatiert.
 
jetzt könnte es weg sein.... alles im abgesicherten modus gecleant und noch die dll insthelp.dll gelöscht.


seit einiger zeit beim surfen is noch nix passiert.
 
N0Body schrieb:
Mach die Kiste platt. CoolWebSearch kriegst du nicht mehr weg. Hatte es selbst an einem Rechner von einer Bekannten. Ein dreivierteljahr hab ich gebastelt, dann hab ich aufgegeben und formatiert.
Zum Vergrößern anklicken....


omg, ich glaube du hast recht. da hilft wohl wirklich nur formatieren.
dauernd schleicht sich diese sp.dll wieder ein...
 
meint ihr es nützt was den internetexplorer zu deinstallieren, dann einfach mozilla oder so zu verwenden?

ist das prob mit der spyware dann gegessen?


hab gerade versucht den explorer zu löschen. unter software isser abe net drin. hab ihn über "programme hinzufügen / entfernen" gelöscht. verknüpfung in schnellstartleiste und so is weg, trotzdem wir er noch aufgerufen, wenn ich ins internet gehe.
wie kann ich den komplett deinstallieren?
 
Anmelden, um zu antworten.

Ähnliche Themen

IchbinOlaf
[User-Review] Acemagic AM18
Antworten
4
Aufrufe
683
Infin1tum
I
R
[User-Review] MSI MPG 271QRXDE QD-OLED im Lesertest
Antworten
6
Aufrufe
429
Robert_JJ4
R
minimii
[User-Review] minimii´s Lesertest: NZXT Function 2 MiniTKL und Lift 2
Antworten
1
Aufrufe
473
minimii
minimii
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
7K
_roman_
R
Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh