Zum Inhalt springen

Spyware auf dem Rechner Internetexplorer macht mucken!


LordObsidian

Empfohlene Beiträge

Hallo,

ich hab mir mal ein Spywaresucher runtergeladen hat ca 40 Dateien und Registryeinträge gefunden, hab ich alles manuell gelöscht!

Eins davon hieß PerfectNavigation! Diese Seite ist bei meinem Internet Explorer jetzt immer als Starseite obwohl oben about:blank steht!

Und jedesmal kommt son dämliches Popup wo drin steht ich hätte Spyware auf dem Rechner, daneben steht meine IP!

Ich hab versucht den Internetexplorer komplett zu löschen, aber immer wieder "regeneriert" der sich, wie geht das??? Kaum ist die Datei C:\Programme\Internetexplorer\iexplorer.exe gelöscht erscheint sie ca 5 sekunden später wieder! (Papierkorb ist deaktiviert) Und diese Startseite bleibt!

Woran liegt das?

Ausserdem bekomm ich immer wieder Cookies die als "Spyware" erkannt werden, auch wenn ich nur kurz on bin um meine Mails abzurufen????

Was soll ich machen? Hab die Firewall Zonealarm, Win2k, DSL -Flatrate über einen Router (Billion).

Im Netscape Navigator kommt keine Startseite...!

Schöne Grüße

Lord

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dieses Spywarezeugs ist lästig und hartnäckig, wie die Seuche.

Da sollte man immer im Doppelpack arbeiten

Ich nehme Ad-Aware und Spywareblaster und konnte damit bis auf einmal alle Plagegeister auf Anhieb loswerden.

Beim Hartnäckigsten half nur den Prozeß ausfindig machen, die beteiligten Dateien lokalisieren und dann mit der BART PE-CD (oder Knoppix-CD) booten und das Zeugs manuell löschen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hab was gefunden:

Und zwar hab ich festgestellt, warum sich die iexplore.exe immer wieder regeneriert, man muss alle iexplore.exe's löschen, mehrere User -> mehrere Datein! Das gleiche mit einer DLL die sich immer wieder regeneriert!

Als ich dann den neu installiert habe, war die Start Seite immer noch da *grr*

Dann hab ich den Registrierungseditor nach about:blank durchsucht!

Da ich mir auch schon öfter den Quelltext der Startseite angeguckt habe, ist mir ein seltsamer Code ins Auge gesprungen:

HKeyCurrentUser-Softwar-Microsoft-Internetexplorer-ExplorerBars:

SearchBar: res://%43%3a%5c%57%49%4e%4e%54%5c%53%79%73%74%65%6d%33%32%5c%67%66%6f%2e%64%6c%6c/%73%70%2e%68%74%6d%6c

SearchPage: res://%43%3a%5c%57%49%4e%4e%54%5c%53%79%73%74%65%6d%33%32%5c%67%66%6f%2e%64%6c%6c/%73%70%2e%68%74%6d%6c

Könnt ihr mal eben Posten was bei Euch da steht??? diese Zeile ist auch der header der HTML Datei die als Startseite verwendet wird!

Leider konnte ich beim suchen aller *.htm und *.html dateien keine Auffällige finden!

Wo kann die sich verstecken???

Beim suchen nach Inhalt gabs bisjetzt keine Ergebnisse!!!

Wenn ihr ne Idee habt einfach posten...

Grüße

Lord

Link zu diesem Kommentar
Auf anderen Seiten teilen

@Shad

wenns so einfach wäre ;) kann noch nicht mal die Startseite umbennen das da was anderes als about:blank steht ;)

Mein Spyware suchprogramm findet leider nichts mehr!

@Tiro was sind das für CD's ich bin in meiner OS entwicklung etwas hängengeblieben ich arbeite zum neu booten Win95 Startdiskett und zum Paritionieren Fdisk :D damit komm ich noch klar... sind das Progs zum booten???

Wär nett, wenn Du mich aufklärst :D

Schöne Grüße

Lord

Edit: Nochwas, worauf verweist das, wenn in einem Schlüssel steht, res://?????

P.S.: wer ändert immer diesen Satz unter meinem Logo?????

Link zu diesem Kommentar
Auf anderen Seiten teilen

So, hab nun einfach den Text "res://blablabla" aus den Schlüsseln gelöscht!

IExplorer aufgemacht... immer noch da....

Reg geguckt hat sich dieser verdammte Schlüssel auch wieder regeneriert!

Die Startseite befindet sich auf jeden Fall lokal auf meinem Rechner (kommt auch wenn ich off bin, Offline Webpages Ordner natürlich geleert!) Nach allen htm und html Dateien gesucht, keine Auffälligen dabei!

dieser lange code hinter dem res://%43 usw. steht das eventuell für Buchstaben die die Datei verschlüsseln? Ich mein irgendwo muss diese Datei ja sein!!!

Desweiteren: Wenn ich den Iexlplorer öffne, kommt unten about:blank wird geöffnet! Hab den IExplorer erst mal durch die Zonealarm geblockt! Der versucht sich auch jedes mal direkt zu verschiedenen IPs zu verbinden auch über verschiedene Ports. Das ist ja nicht normal!

Was schlagt ihr vor? Ich weiß nämlich nicht mehr weiter!

Soll ich den Iexplorer und sämtliche Registry Einträge dazu löschen?

Frage ist nur ob das was hilft, irgendwo auf der Platte müssen noch Dateien sein, die sich in die Registry schreiben.... :( Menno ich weiß nicht mehr weiter!

Grüße

Lord

Edit: Klick ich auf einen Link dieser "startseite" verbindet die sich z.B. zu

http://searchx.cc/search.php?pin=4&ww=buy+a+car

das ist leider alles durch internes JavaScript veranlasst, lässt also nicht auf Dateien von der Platte schließen! Beim Quelltext wir leider auch nicht der Name der Datei angezeigt (in der Titelleiste steht nur about_blank suche danach...erfolglos!!!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Welches AntiSpyware-Tool hast du denn verwendet?

Ich habe eigentlich gute Erfahrungen mit der Kombination von Adaware, Spybot S&D und CWShredder gemacht. Alle drei Programme nacheinander verwenden.

Allerdings kann es passieren, dass sich einige Hijacker (die sind von den normalen Adwares zu unterscheiden!) sich so tief ins System eingraben, dass ein gepflegtes Format C: und Neuinstallation schneller und sauber ist.

Ansonsten wirf mal in diese Links einen gepflegten Blick:

http://www.computercops.biz/check36043previous.html

http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic;f=6;t=005295

http://www.mvps.org/inetexplorer/data/coolwebsearch.htm

Link zu diesem Kommentar
Auf anderen Seiten teilen

@Tiro was sind das für CD's ich bin in meiner OS entwicklung etwas hängengeblieben...

Wär nett, wenn Du mich aufklärst :D

1) PE-Builder Klick mich Aber nur von einer "sauberen" Installation aus arbeiten ;-)

2) Knoppix = Linux Live-CD Klick auch mich

3) Die Bienen und die Blumen.... (kleiner Scherz) :D

Grüße

T

Link zu diesem Kommentar
Auf anderen Seiten teilen

Verwendet hab ich:

Spyhunter

Ad-Awar

Spyblaster

XP-Antispy is aber kein sucher!

Wurden auch GIFs gefunden die Spyware waren Cydoor wenn Euch das was sagt!

So, in dem

Spyblaster unter Tools steht bestimmt 7 mal diese Zeile res//:blablabla

wie auch in der Registry aber wenn ich die lösche, und dann neu starte sind die wieder da..... WARUM???

Das geht mir echt auf die.... und ich hab keine Lust schonwieder ein format C: zu machen mein System läuft gerade so gut, da verzichte ich lieber auf IE und nehm den Netscape (bei dem ist das nicht!)

PE-Builder Klick mich Aber nur von einer "sauberen" Installation aus arbeiten ;-)

Hä? :D wozu sind die denn da?

Und die Bienen und die Blumen.... :D ich check das nicht :D

Najut, ich such mir dann weiter meinen Wolf!

Schöne Grüße und Danke!

Lord

Link zu diesem Kommentar
Auf anderen Seiten teilen

LordObsidian, versuch bitte noch den CWshredder, der ist eigentlich spezialisiert auf diese Hijacker, hauptsächlich für CoolWebSearch und Co, bei deinem Problem ist der vielleicht auch erfolgreich.

Lies bitte auch mal die Links von mir durch, da geht es direkt um dein Problem mit PerfectNavigation und der verstellten Startseite.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...