Thema: Probleme mit Popup und Startseite im Internetexplorer
Einzelnen Beitrag anzeigen
  #11  
Alt 06-05-2004, 17:18
Benutzerbild von Sepuku
Sepuku Sepuku ist offline
Banned

  
Registriert seit: Aug 2002
Ort: Frankfurt am Main
Beiträge: 4.852
Sepuku hat noch keine Bewertung oder ist auf 0
OL Nick: Sepuku999
LÖSUNG DES PROBLEMS !!!

Hatte bis vor kurzem selbst damit zu kämpfen.
Das ding ist echt intelligent eingefädelt und genauso kompliziert.

Exact so kompliziert wie das Teil ist auch die bereinigung.
Nehmt euch Zeit und lest genau durch was ihr tun müsst.

Es handelt sich hierbei um eine Variante des Coolwebsearch.
Das ist ein Browser Hijacker.
Ihr könnt die cookies und temporären Dateien löschen wie ihr wollt aber die startseite wird immer wieder search for ... sein.
Das schlimme daran es steht auch noch in der Kommandozeile : about:blank

Also was ist zu tun:

Die searchseite wird durch eine dll hervorgerufen die in eurem Systemordner von Windows residiert. Diese dll wird mit einer zufälligen Buchstabenfolge generiert. z.b. pb.dll die dll ist ca. 31- 36 kb gross.

holt euch das freeware tool "hijackthis".
Und lasst euch anzeigen was im moment geladen wurde vom IExplorer.
Dieses tool zeigt euch auch an was sonst noch mit Systemstart geladen wurde.

Die Einträge R0/R1 sind die wichtigen da sie mit dem IExplorer zusammenhängen.Diese Einträge müsst ihr sorgfältigst überprüfen und checken ob es gewollte Einträge sind.
Wenn ihr nicht sicher seid schickt mir ne pm.
bei mir waren alle Einträge ungewollt also anhaken und Fix Problem gemacht.
Das Problem: keins der beiden Programme IExplorer sowohl explorer darf gestartet werden.
Das muss sofort nach Systemstart gecheckt werden.

Jetzt ist erstmal die zufällig generierte Datei weg , aber nur für kurze dauer nach ca, 3-4 Stunden kommt searchx.cc wieder.

Das liegt an einem Eintrag in der registry den der Trojaner vorgenommen hat.
Zu finden in folgender Position in der registry.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Wenn ihr euch mit regedit nicht gut auskennt benutzt folgendes Programm um die betreffende dll zu erkennen.

"reglite" auch freeware

tragt oben angegebene Zeile ein in der Adresse.
Und dann suchen lassen.
Unten im Bildschirm auf den Schlüsseleintrag "AppInit_DLLs" doppelklicken"!

Hier wird nun die Position der Quell-dll angezeigt.
befindet sich in: C oder D:Windows\System32\**(name der dll datei)**.dll

Notiert euch das!! sehr wichtig.

Jetzt in DOS löschen da windows die Löschung nicht zulässt.
Oder startet Win95\98 von CD und löscht es dann.

Oder baut die HD aus und steckt sie in den Rechner von nem Kumpel.
Und greifft dann auf die dll zu .
Löscht das Ding mit SHIFT+entf gefolgt von enter damit er nicht im Mülleimer landet.
Problem beseitigt.

Gruß euer Sepuku
Mit Zitat antworten