WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)
-   -   Trojaner -Internetexplorer (http://www.wcm.at/forum/showthread.php?t=138567)

MikeX 05.07.2004 11:15
Trojaner -Internetexplorer
 
Hallöchen -Bitte dringend um Eure Hilfe!
Wie bereits in einigen Beiträgen zuvor, dürfte ich auch den neuen Trojaner eingefangen haben.
Der internetexplorer verwendet nicht die von mir eingestellte Startseite - sondern immer eine Andere.
Hab schon alles wie bei den vorigen Beiträgen angeführt versucht - leider ohne
Erfolg.
Spybot, Ad Aware,Hijack Fixer durchlaufen lassen bzw. Hijack funktioniert bei mir offenbar nicht - zeigt sofort nach Aktivierung der Desinfektion in der Titelleiste "nicht Identifiziert" an - was ich nicht glauben kann, an.
Kann auch keine Systemwiederherstellung durchführen.
Danke schon mal im Voraus!

MikeX 05.07.2004 11:17
Hinweis: Schreibfehler - Hijack zeigt "nicht infiziert" an.

LouCypher 05.07.2004 11:21
cwshredder.exe drüberlaufen lassen.

MikeX 05.07.2004 11:30
Danke - hab gleich gemacht!
Hat zwar einiges gefunden - aber beim öffnen des IE- kommt sofort wieder die "Search" Seite.
Steh ziemlich an !

LouCypher 05.07.2004 11:37
dann hilft dir nur mehr ein backup der registry zurück zu spielen, bzw. die systemwiederherstellung, oder händisch die regsitry zu säubern.

holzi 05.07.2004 11:43
welche version von cwshredder verwendest du? wenns nicht die aktuellste Version ist, schau mal nach der aktuellen version. vielleicht hilft das was.

g17 05.07.2004 11:44
Schau mal ob das hilft
http://www.trojaner-info.de/anleitun...out_blank.html

g17

g17 05.07.2004 11:48
Zitat:
Original geschrieben von holzi
welche version von cwshredder verwendest du? wenns nicht die aktuellste Version ist, schau mal nach der aktuellen version. vielleicht hilft das was.
Die letzte Version sollte man sich sowieseo holen denn die Entwicklung von CWShredder wird eingestellt.
http://www.securityfocus.com/news/9016

g17

valhalla 05.07.2004 14:22
hi MikeX,

welchen IE verwendest du ??
das problem tritt meines wissen beim 5er auf.
sollte mit IE6 und letztem update nicht passieren.

netspy 05.07.2004 17:15
hi

hab mich jetzt auch den ganzen tag mit einem laptop von einem kunden geärgert auf dem ebenfalls der browser hijack von statten ging.

hier war es sogar so das zwar eingestellt war das about:blank die startseite ist, aber trotzdem wurde immer eine suchseite angezeigt.
ändern half nichts, weil beim nächsten start vom IE war das gleiche schon wieder passiert.

so hab ich es jetzt im endeffekt gelöst.
im quelltext (ansicht -> quelltext) fand ich einen link auf die homepage
http://count.cc
also bin ich dortmal hin, und siehe da dort gibt es eine uninstall.exe zum download.
war zwar skeptisch...aber es hat funktioniert!!!

hätte auch nicht bemerkt das sich dafür irgendwas anderes "böses" installiert hat. also denke kann man es getrost verwenden.


hoffe geholfen zu haben!!!

in diesem sinne

lg

kristof

frazzz 05.07.2004 17:19
mein avatar zeigt den registry-key um solches zu verhindern :p

MikeX 05.07.2004 20:20
Ich hab die links wie g17 gepostet hat schon gestern Abend verwendet und aktualisiert - auch den shredder!
Verwende IE 6 mit dem letzten Update.
Hab weiters auch schon händisch in der Registry alle verdächtigen Schlüssel bzw. Werte herausgelöscht. Diese haben sich sofort beim Öffen des IE wieder umgestellt z.B. immer die www. Adresse 195.225.176.5 eingetragen, teilweise auch plötzlich mit Slash am Ende.
Der Spybot hat auch immer wieder die gleichen Fehler gefunden und repariert ohne Erfolg.
Werde noch die letzten Hinweise probieren und poste dann.

MikeX 05.07.2004 20:41
Frage an netspy!
Welchen Suchbegriff hast Du beim Link eingetragen?
:confused:

FordPrefect 05.07.2004 20:56
Und warum verwendet keiner einen anderen Browser :confused:

Zappa 05.07.2004 21:31
Hatte dasselbe Problem mit der Datei "sp.html"

Befand sich im Ordner Dokummente und Einstellungen/"Name"/Lokale Einstellungen/Temp

Habe Hijack Fixer lt. Anleitung drüberlaufen lassen,dann in der Registrierung (regedit) alle restlichen Einträge mit sp.html
gelöscht.
Habe zur Zeit keine Probleme mehr damit

netspy 06.07.2004 13:33
Zitat:
Original geschrieben von MikeX
Frage an netspy!
Welchen Suchbegriff hast Du beim Link eingetragen?
:confused:
bei welchem link hab ich welchen suchbegriff eingetragen.
halt mich für begriffsstutzig, aber ich weiß jetzt nicht was du meinst :)

hab mir einfach von der genannten homepage eine uninstall.exe runtergeladen.
http://count.cc/uninstall.exe

die war das. mit der hat dann wieder alles hingehauen.

probieren kannst es ja, weil vielleicht löscht der auch andere von diesen hijackern.
mein virenscanner hätte nix angezeigt. falls dein virenscanner sich meldet, gib mir bitte gleich bescheid!!! weil dann muss ich den laptop des mitarbeiters gleich wieder beschlagnahmen :)

in diesem sinne

lg
kristof

MikeX 07.07.2004 20:01
Hab alle Vorschläge probiert -Hijack This nochmal installiert und er hat dabei einiges gefunden. Die Einträge hab ich dann gelöscht. Aber den IE konnte ich trotzdem nicht ändern.
Also war ich satt und hab Format C: gemacht - wobei ich nicht wirklich weiß, wie einen Befall aufs Neue verläßlich verhindern kann.
Ich selbst benütze immer Netscape, aber meine Mitbenutzer den IE - Messenger.
Lg - MikeX


Alle Zeitangaben in WEZ +2. Es ist jetzt 18:24 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag