Browser Hijack

Ja, mach die Kiste platt. Und lass dir das eine Lehre sein ;). Benutze alternative Browser, wie z.B. Firefox oder Opera. Installiere Sypbot S&D sowie Spywareblaster und lasse bei beiden die Immunisierungsfunktionen drüberlaufen. Aktualisiere regelmäßig beide Programme und führe die Immunisierung erneut durch (muss für jedes Konto einzeln druchgeführt werden!). Nutze fürs Surfen die beschränkten Benutzerrechte. Halte das Betriebssystem und alle anderen Programme, die nur im Entferntesten was mit dem Internet zu tun haben stets aktuell. Sofern du einen E-Mail Client nutzt, deaktiviere die HTML Anzeige und lasse dir E-Mails nur im reinen Textformat anzeigen. Verzichte am besten auf Outlook oder Outlook Express und verwende andere Clients wie z.B. Thunderbird oder TheBat!

Sei immer vorsichtig mit Anhängen bei E-Mails, auch wenn sie von Bekannten oder Freunden kommen. Besonders bei unerwarteten Mails mit Anhängen. Im Zweifelsfall ungeöffnet löschen!

Auch wenn du den IE nicht mehr benutzt, deaktiviere per XP-AntiSpy ActiveX. Zusätzlich auch noch in dem Konto, mit dem du dich im Internet bewegst, das automatische Ausführen von bestimmten Skrips (Scripting Host deaktivieren). Beende alle Dienste, die nicht notwendig sind und die du nicht unbedingt brauchst. Zu diesem Zweck gibt es ein Skript, welches diese Arbeit dir abnimmt. Schau mal hier: klick!

*diese Maßnahmen sind nur einige die man umsetzen kann und diese Aufzählung ist sicherlich nicht vollständig.

Und nein, das deinstallieren des IE ist nicht ratsam. Du brauchst den IE um Windows aktuell zu halten. Es reicht bereits aus einen alternativen Browser zu verwenden.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
danke für die tips ;)

ich schreibe diese antwort hier gerade mit mozilla firefox :d


meine frage is nur, reicht es den IE ab jetzt nicht mehr zu benutzen und nur noch firefox zu verwenden?

laut ALLEN bekannten scannern ist mein system nämlich sauber. immer erst wenn ich eine weile mit dem IE arbeite, hab ich die spyware wieder drauf.

also bin ich jetzt sicher, wenn ich den IE nicht mehr nutze, oder hat diese spyware mein system eventuell schon soweit verändert, dass ich eine offene sicherheitslücke habe und besser formatieren sollte?
 
also bin ich jetzt sicher, wenn ich den IE nicht mehr nutze, oder hat diese spyware mein system eventuell schon soweit verändert, dass ich eine offene sicherheitslücke habe und besser formatieren sollte?
Zum Vergrößern anklicken....
Mit Sicherheit kann man nicht sagen, dass dein System nicht kompromittiert ist. Sicher kann man erst sein, wenn du das System neu aufgesetzt hast.
 
IE deinstallieren ist doch garnicht möglich.
reicht aber so oder so wie madnex sacht, aufpassen und alternativen nutzen.

sofern keine sonderbaren prozesse laufen und Ähnliches, ist dein system wohl sauber. (bis auf diverse registry leichen wahrscheinlich)

Allerdings wenn du das system neu machst, nicht wieder direkt ins internet gehen ohne patches, dann geht der spass von vorne los.
 
also ich hatte des auch schon mal, aber des sys neu aufsetzen hab ich net gebraucht... habe auch die genannten tools benutzt und die reg gecleaned, aber ich denke du musst die systemwiederherstellung von xp deaktivieren sonst läd win die *.dll wieder rein nach nem neustart...
also mein tipp: syswdh deaktivieren, cleanen, neustart nochmal cws zum testen und wenn clean syswdh wieder aktivieren...
hoffe es hilft... :wink:
 
Am besten man erstellt sich eine Windows CD mit integriertem SP2. Zum Einen spart man sich das nachträgliche Installieren desselben und zum Anderen ist Windows dann gleich vor Blaster und Co. geschützt. Anleitungen dazu findet man massenhaft im Netz. Benutzt z.B. das Suchwort "Slipstream".
 
Zuletzt bearbeitet:
@KillerEngine
Falls Du das Problem noch hast und Dein System noch nicht platt gemacht hast habe ich die Lösung für Dich.
Ich hatte vor einigen Monaten EXAKT das gleiche Problem. Es kam immer wieder diese blöde Seite - genau die gleiche wo Du da das Pic gepostet hast.
Ist eine wirklich ekelhafte Variante von CoolWebSearch.
Hatte damals auch zig Programme versucht (AdAware, HiJackThis, CWS Shredder, usw. usw.) Die haben das zwar immer gefunden und entfernt - aber nach einiger Zeit war's wieder da. Hatte dann so ein Programm das dann in der Task Leiste lief ... hieß irgendwas mit B... - das hat dann immer gemeldet wenn die Änderungen im IE gemacht wurden und ich konnte es blocken - jedoch war das auch keine dauerhafte Lösung.
Noch dazu ist mir aufgefallen daß der Explorer.exe Prozess im Task Manager sehr viel Speicher reservierte. Normalerweise braucht der nach einem Neustart so um die 15 - 25 MB. Kommt ganz auf's System / Windows XP drauf an wie's eingestellt ist.
Doch meiner hatte meist 40 - 50 MB und während dem Betrieb manchmal sogar bis 100 MB.

Nach laaangem herumsuchen hab' ich dann eine Lösung gefunden.
Ist recht professorisch - hat aber zu 100% funktioniert und alles war danach wieder normal (und ist jetzt noch).
Hab' dann auch alle Windows Updates (für SP1) gemacht - SP2 will ich nicht.
Bis jetzt ist mir das auch nicht mehr passiert - ich bin auch sehr vorsichtig beim Surfen.
Was nicht heißt daß ich nicht vorher auch schon aufgepasst hab' und nie wo auf JA oder OK oder Akzeptieren oder so geklickt habe. Es gibt da halt ein paar Seiten im Netz bei denen das wie Du schon gesagt hast OHNE irgendeiner Meldung passiert - und dann hast das Problem schon.

Sag halt bescheid - dann schick ich Dir (oder poste hier - wie Du willst) die Prozedur wie Du das Problem 100% weg bekommst.
 
Dein Prob hatte ich auch, habs aber mit normalen Mitteln lösen können.
Ich hab SP1 auf aktuellem Stand.
Ich hab gestern auch mal Adaware und S&D laufen lassen, war nichts schlimmes drauf..., hab auch keine Popups und dieser Startseitenmist is auch schnell in den Griff zu bekommen.
Mein 2. Browser ist Opera, auf dem 2. Rechner...
 
hi bucho!

nein, ich habe noch nicht formatiert. hab ich im moment auch gar keine lust zu ;) wär froh, wenn ich drum rum kommen könnte.

wär cool, wenn du deinen weg hier mal posten würdest!

an die anderen: ich hab systemwiederherstellung aus, auch die dll gefunden, die ovn den scannern nicht erkannt wird und die entsprechenden regänderungen des troyaners enthält. auch wenn ich alles cleane, kommt sie nach ner zeit wieder und kopiert eine neue dll in system32\
 
btw, meine svhost (system) benötigt gerade 36.188 k.

bei meinem bruder gerade mal 15.xxx :confused:
 
Jaaa ... der "hoggt" das System ...

Also - da gibt's speziell dafür ein Programm: FINDnFIX

Ich hatte damals das mit _alt verwendet.
Hab' aber auch eine neuere Version mit rein gepackt.

Gut - kurze Anleitung:

EXE ausführen und entpacken lassen (nach C:\FINDnFIX\ )
Dann möglichst alle Programme / Fenster zumachen (eventuell die Anleitung in einen Notepad/Editor kopieren)

Dann im Verzeichnis FINDnFIX die !LOG!.BAT starten.
Danach (ca. 1-2 Minuten) macht er die Logfile dann automatisch auf.

Da steht viel wirres Zeugs drin - jedoch realtiv früh stand bei mir sowas drin:
»»Locked or 'Suspect' file(s) found...

C:\WINDOWS\System32\WINDA.DLL +++ File read error
\\?\C:\WINDOWS\System32\WINDA.DLL +++ File read error

Und diese WINDA.DLL dann noch öfters ...

Das ist (war) bei mir zu der Zeit das CoolWebSearch. Wie gesagt nachdem mal die killt mit AdAware o.Ä. ist die ne Weile weg, und dann unter anderen Namen wieder da (z.B. XJDA.DLL oder so)

Gut - die File merken ... dann im Unterverzeichnis (FINDnFIX\keys1\) die Datei MOVEit.BAT editieren und folgende Zeile reinschreiben:

move %WinDir%\System32\WINDA.DLL %SystemDrive%\junkxxx\WINDA.DLL

Wobei bei Dir die DLL reinschreiben die er gefunden hat - z.B.

move %WinDir%\System32\DEINEDLL.DLL %SystemDrive%\junkxxx\DEINEDLL.DLL

MOVEit.BAT speichern und zumachen. -> EDIT !!! : DIE MOVEit.BAT NICHT AUSFÜHREN !!!!!! - das macht dann später ein Script !!!

Dann bereit machen zum Neustart ...
In dem Verzeichnis die Datei FIX.bat doppelklicken ... und nach kurzer Zeit will er dann neustarten. (ca. 20 Sek)

Nach dem Neustart wieder ins FINDnFIX Verzeichnis und die RESTORE.bat starten.

Dann noch einmal neustarten und AdAware / CWS Shredder / HiJackThis drüberlaufen lassen (die finden eventuell noch ein paar REG Einträge)

Und das war's dann.

Hat bei mir 100 % funktioniert. :bigok:

Fall's es nicht klappt sag' halt bescheid - denke aber daß es bei Dir auch klappt.

Und keine Angst vor den vielen BAT und EXE Dateien ... is wirklich nicht gefährlich.
 
Zuletzt bearbeitet:
an alle, die probleme mit CoolWebSearch haben:

Nach der Anleitung von Bucho mit dem Tool FindnFix funktioniert es wirklich!!!

Ich selbst habe keine andere Möglichkeit gefunden, obwohl ich mich fast ne Woche damit befasst habe und alle bekannten Tools ausprobiert habe.


nochmal vielen dank an bucho.
 
findnfix hat die dll nun in c:\junkxxx\ "gebannt"
nur kann ich sie leider nicht löschen, da sie in verwendung ist und zugriff wird verweigert, wenn ich den schreibschutz wegnehmen will.


gibs da ne möglichkeit das ding zu entfernen?


abgesicherter modus, und Gipo@MoveonBoot habe ich schon ausprobiert.
hat nicht funktioniert.
 
Naja Du könntest mit einer Linux Boot CD die NTFS Zugriff hat booten und die File / das Verzeichnis löschen.

z.B. mit INSIDE SECURITY
http://mesh.dl.sourceforge.net/sourceforge/insert/INSERT-1.2.16_de.iso
(hat ca. 50 MB - brenn's halt auf eine RW - boot davon und lösche das Verzeichnis junxx)

KNOPPIX soll auch sehr gut funktionieren. Ist aber schon etwas größer (ca. 700MB ISO)
Hier download Links
http://www.knopper.net/knoppix-mirrors/index-en.html

Soll auch bei einem kompletten Win Crash helfen - weil man damit noch Files retten kann.
 
Ich verwende Kaspersky AV Personal 5.0.227 / PestPatrol 4 / Spybot Search & destroy 1.3 TX UND hijackthis 1.99

Hatte bis jetzt keinerlei Probleme !

Gruß

DigitalesKoma
 
DigitalesKoma schrieb:
Ich verwende Kaspersky AV Personal 5.0.227 / PestPatrol 4 / Spybot Search & destroy 1.3 TX UND hijackthis 1.99

Hatte bis jetzt keinerlei Probleme !

Gruß

DigitalesKoma
Zum Vergrößern anklicken....


Dann hast bis jetzt auch noch nicht diese ekelige Version von CoolWebSearch gehabt. Ich hab' damals wie schon erwähnt auch alles was ich gefunden habe probiert - das waren auch u.A. Search & Destroy, HiJack This, AdAware, Norton Antivirus, AVAST Antivirus, CWS Shredder, Spyware Guard, Bazooka usw. usw.

Die haben den auch meist gefunden und gekillt - nur eben nicht für immer. Nach einer Weile (auch ohne surfen) war der wieder da.
 
Mannmann, wenn ich das hier so lese...
Da beschäftigst du dich eine Woche lang damit,dein verseuchtes System zu säubern und es klappt dann trotzdem nicht vollständig.
Eine XP-Neuinstallation hätte mit Sicherheit weniger Zeit in Anspruch genommen... ;)
 
dann hast du wohl nicht gründlich genug gelesen :hmm:


ich hab das problem vollständig gelöst, aber ich würde gerne die isolierte datei vom system haben.
 
Hehe - ja und ich bin auch einer der lieber sein System aufräumt / clean hält und wenn geht nicht neu installiert.
Ich schlepp mein Windows schon über etwa 3 Systemen / 3 Systemplatten / unzähligen Hardwarekomponenten mit. Ist ein Upgrade von Win98 :d
Ist sicher "etwas" Schrott wo drin - aber wie gesagt gehe ich sehr gründlich mit dem System um - und halte es gut in Stand.
Hört sich jetzt auch etwas heftig an - aber es läuft sehr flott & super stabil.
Was will man mehr.

@KillerEngine
Und hast so eine Boot CD schon mal versucht ?
Bin mir sicher daß Du das so schaffst.
 
ich hab mir ultimate boot cd 3.2 runtergeladen aber peil net, wie ich auf C:\ zugreifen kann um datein zu löschen
 
Hmm - weiß jetzt gar ned ob das mit der Ultimate Boot CD geht ... ich schau mal nach ...
 
Achtung Bucho ! Im Tool FINDnFIX ist ein Virus versteckt !
Habe mir das Tool FINDnFIX heruntergeladen. Unser Webwasher meldet gleich einen Virus.
Ich dachte mir es wäre nur das Pattern das das Tool beseitigen soll.
Nach dem entpacken meldet Symantec mir den Startpage Trojaner in der un.exe.
So jetzt habe ich zwei von den Scheiß Fiechern auf meinem System (XP SP1)
ZoneAlarm hat schon mal den win32.gromgol entfernt.
Konnte aber keine Info zu diesem Trojaner im WWW finden.
Show.html und sp.html habe ich schon gelöscht.
Auch in den sys Dateien.
Jetzt wird nach dem Start nur noch in der linken oberen Ecke ein Weißes Fenster geöffnet.
Wer kennt den Mechanismus oder kennt noch einer ein Entfernungs-Tool.
Wie kriege ich die nun wieder weg.
win32.gromgol
win32.Startpage
Gruß an alle
 
Smile-Silver schrieb:
Achtung Bucho ! Im Tool FINDnFIX ist ein Virus versteckt !
Habe mir das Tool FINDnFIX heruntergeladen. Unser Webwasher meldet gleich einen Virus.
Ich dachte mir es wäre nur das Pattern das das Tool beseitigen soll.
Nach dem entpacken meldet Symantec mir den Startpage Trojaner in der un.exe.
So jetzt habe ich zwei von den Scheiß Fiechern auf meinem System (XP SP1)
ZoneAlarm hat schon mal den win32.gromgol entfernt.
Konnte aber keine Info zu diesem Trojaner im WWW finden.
Show.html und sp.html habe ich schon gelöscht.
Auch in den sys Dateien.
Jetzt wird nach dem Start nur noch in der linken oberen Ecke ein Weißes Fenster geöffnet.
Wer kennt den Mechanismus oder kennt noch einer ein Entfernungs-Tool.
Wie kriege ich die nun wieder weg.
win32.gromgol
win32.Startpage
Gruß an alle
Zum Vergrößern anklicken....

Hallo !

Also ich glaub' nicht daß die File ein Trojaner oder Virus ist ... einige AntiVirus Programme glauben das jedoch.

Ich hab' mal geprüft ...
Folgende Online Virus Prüfer glauben es ist eine Art Trojaner:
- Bit Defender
- CA eTrust Antivirus Web
- (auf meinem PC installiert) AVAST Antivirus

Folgende Online Virus Prüfer sagen daß alles OK ist:
- RAV Antivirus
- Kaspersky Labs AntiVirus
- Trend Micro Antivirus
- McAfee Online Virus Scan
- F-Secure Online Scanner

Symantec Online Scan läuft noch da man dort nicht einschränken kann wo er suchen soll.
EDIT:
- Symantec findet einen Virus (Trojan.Startpage)

Alle Programme hatten sehr aktuelle Virendefinitionen (meist vom ~ 04.07.2005).
Also ich hatte damals das FindNFix verwendet und hatte danach KEINEN Virus und die Sache mit dem CoolWebSearch / der Search-CC Startseite war weg.
 
Zuletzt bearbeitet:
Also ich hatte damals das FindNFix verwendet und hatte danach KEINEN Virus und die Sache mit dem CoolWebSearch / der Search-CC Startseite war weg.
Zum Vergrößern anklicken....
Nicht jeder Virus macht auf sich aufmerksam oder versucht den Anwender zu ärgern. ;)
 
Madnex schrieb:
Nicht jeder Virus macht auf sich aufmerksam oder versucht den Anwender zu ärgern. ;)
Zum Vergrößern anklicken....

Soll heißen ?

Daß das mit dem CoolWebSeach kein Virus ist ist mir schon klar und daß es viele Viren gibt die man nicht mal bemerkt weiß ich auch.
Hab' ja auch nur gesagt daß das CWS Problem und das mit der Startseite mit dem FindNFix behoben wurde und daß ich danach (durch die UN.EXE ) keinen Virus hatte. Hab' das System dann ja noch lange verwendet und dazwischen mit den unterschiedlichsten Virenscannern auch mal durchforsten lassen.
 
Hallo ,
ich habe aufgegeben . Meinetwegen: der Virus hat gewonnen!
ich habe ein neues System installiert.
Auch gleich das XP SP2 genommen.
Ich hätte aber schon gern gewußt welchen Mechanismus dieser Virus benutzt.
Gruß an alle !
 
Smile-Silver schrieb:
Hallo ,
ich habe aufgegeben . Meinetwegen: der Virus hat gewonnen!
ich habe ein neues System installiert.
Auch gleich das XP SP2 genommen.
Ich hätte aber schon gern gewußt welchen Mechanismus dieser Virus benutzt.
Gruß an alle !
Zum Vergrößern anklicken....

Hallo !

Also diese Win32.gromgol und Startpage Viren kenn' ich gar nicht.

Aber hier:
http://www.symantec.com/avcenter/vinfodb.html
kannst Du nach Viren suchen und erhälst ziemlich detailierte Angaben was der macht und wie man Ihn wegbekommt. Ist halt leider Englisch - aber das sollte doch jeder so halbwegs können.
(Gib' mal "Startpage" bei der Suche ein - da findest Du einige Varianten)

Das CoolWebSearch (SP.DLL / Search.CC) hat auch viele Varianten. Dafür wurde auch mal das Tool "CWS Shredder" gemacht.
Die Variante die ich hatte war ziemlich heimtückisch da sie sich als BHO (Browser Helper Object) installierte und nach tiefer sitzend eine andere DLL die immer anders hieß registrierte. Somit fanden zwar AdAware / CWS Shredder / SpyBot usw. das CWS und konntes es entfernen - aber es kam immer wieder. Nur die FindNFix Methode half bei mit zu 100%.
 
Anmelden, um zu antworten.

Ähnliche Themen

IchbinOlaf
[User-Review] Acemagic AM18
Antworten
4
Aufrufe
683
Infin1tum
I
R
[User-Review] MSI MPG 271QRXDE QD-OLED im Lesertest
Antworten
6
Aufrufe
429
Robert_JJ4
R
minimii
[User-Review] minimii´s Lesertest: NZXT Function 2 MiniTKL und Lift 2
Antworten
1
Aufrufe
473
minimii
minimii
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
7K
_roman_
R
Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh