ultrahartnäckiger Dialer und HiJacker

zinion

zinion

Erfahrenes Mitglied
Hallo Leute!

Ich habe hier einen Kundenpc stehen. Der war total evrseucht mti Ad- und Spyware. Wir haben ihn ausgiebig gereinigt, alles runtergeschmissen.

Es gibt jedoch einen Hijacker, der die Startseite immer wieder, trotz Schutz auf http://213.159.117.134/index.html setzt.

Ausserdem gibt es auf dem Desktop nach jedem Neustart ein Icon "Free XXX". Ich habe es mit folgenden Tools versucht:

Spybot S&D
Spysweeper (http://www.webroot.com)
CWShredder
a squared

Habe die Tools auch im angesicherten Modus und Spybot beim Starten laufen lassen nichts hilft.

Registry durchsucht - nix zu finden.

Gegoogled - als einzige Empfehlung spysweeper gefunden.

*verzweiflung*

Neuinstallation soll möglichst vermieden werden...

Hat jemand Hilfe parat?
 
Zuletzt bearbeitet:
Hast du mal Norton drüber laufen lassen ?
Beim Kumpel von mir gabs sowas auch mal, da hat Norton den erkannt und wir konnten zugucken wie er sich Umbenannt hat. war lustig :D
Spaß bei seite, wenn er imemr noch da ist liegt er in einem Ordner.
such mal im Windows ordner nach auffälligen Ordner wie " Wxx, Wstartdial, W... " Ich schreibe das wegen dem "W" weil bei dem Kumpel von mir, lag da die Datei die führ alles verantwortlich war, Die habe ich dann gelöscht, dann die einzelnen datein.

gibts vielleicht ne möglichkeit mit Knoppix ?

ansonsten, such mal die Registry nach der Seite ab, die er als Startseite setzt.
Und guck dann ob den die Datei ausfindig machen kannst.

EDIT:
such mal in der Registry nach dem Free XXX, wenn es auf dem Dekstop ist, muss es zu finden sein. --> Start--> Suchen ...
da mal gucken wo es lang geht. müsste eigendlich machbar sein.
 
Wie gesagt, die Registry haben wir schon ausgiebig durchsucht - da is nix (ausser den Startseiteneinträgen des IE) - die werden bei Änderung sofrt wieder zurückgesetzt.

Den Ordner hab ich gefunden, die verantwortliche Datei war sogar mehrfach da, alles gelöscht - Neustart - wieder da. Ich habe jetzt mal Textdateien angelegt, denen dieselben Namen gegeben und Schreibschutz gesetzt. Mal sehen was er nu tut...
 
Andere Alternativen dafür z.B.:

Ad-Aware oder PestPatrol

evtl. TuneUP, der hat eine eigene Suchfunktion für die Registry.



ksk
 
Ja, da ist ja alles bekannt, deshalb steht die Kiste ja hier.

Neu aufgesetzt werden muss er nicht wirklich, es sind nur noch dieser HiJacker übrig und dieser Dialer. Ich halte es nicht für richtig, mich damit abzufinden, daß diese Software nicht mehr zu entfernen sein soll und davor zu kapitulieren.

Man sollte vielleicht eher ne Lösung finden, wie man diesen Mist loswird.

Ich hab noch ein paar mehr Informationen herausbekommen:

Das Ding erzeugt eine .exe mit einer Zufallsgenerierten Zahl. z.B. 124848.exe. Nach meiner oben beschriebenen Aktion dann 124843.exe. Diese .exe liegt nach dem Booten dann in C:\ und c:\Programme\WebsiteViewer . Außerdem liegt in dem Ordner noch eine .dlr und eine .ban Datei mit demselben Namen.
 
Wenn du nur die gefunden Datei löscht bringt es nix. Diese Datei ist dafür verantwortlich, das alles so passiert wie es ist. Wenn du die datei so einfach löschen kannst, dann Lösch sie nochmal, dann löscht du den Free XXX, dann setz die startseite zurück etc. wenn du was löschst dann alles. sonst wird dat nix ohne neues System.
EDIT: genau so war es bei meim Kumpel auch, wenn du die Datei scannst, ändert sie ihren Namen :D
 
Hrmpf, hab schon zehmal alles gelöscht was irgendwo zu finden war und was nicht alles. Eine google-Suche brachte auch nicht viel mehr zu Tage außer der Einsicht, daß wohl jemand was geschribeen hat, was man nicht mehr loswird. Die einzige Erfolgsmeldung die ich finden konnte, war nach der Nutzung von AdAware und der Löschung des WebSiteViewer Registry-Keys. Das ist jetzt der letzte Versuch vor der Neuinstallation.

Aber ich will mich einfach nicht damit abfinden, daß da was installiert ist, was man nicht loswerden kann.
 
zinion hat gesagt.:
Ja, da ist ja alles bekannt, deshalb steht die Kiste ja hier.

Neu aufgesetzt werden muss er nicht wirklich, es sind nur noch dieser HiJacker übrig und dieser Dialer.
Zum Vergrößern anklicken....

FALSCH!
Sobald ein Schädling auf einem System is, gibt es KEINE alternative zu einer völligen neu-installation! Das sind alles nur Marketing-Sprüche! Genau wie das 'unsichtbar-machen eines PCs im Internet' - es ist technisch unmöglich!
Schonmal daran gedacht, dass es kleine Tools Names Rootkits gibt?
Damit kann man praktisch alles anstellen. Z.B. auch eine FreeXXX.exe. Wenn das der Fall ist, wirst du sie nie finden, obwohl sie möglicherweise direkt auf dem Desktop liegt.

Nochmal: Es gibt KEINE Alternative zu einer völligen neuinstllation!

Aber ich will mich einfach nicht damit abfinden, daß da was installiert ist, was man nicht loswerden kann.
Zum Vergrößern anklicken....
Rootkits...
 
Zuletzt bearbeitet:
MCIglo hat gesagt.:
FALSCH!
Sobald ein Schädling auf einem System is, gibt es KEINE alternative zu einer völligen neu-installation! Das sind alles nur Marketing-Sprüche!
Zum Vergrößern anklicken....

:rolleyes:

Logischerweise hängt es davon ab, WELCHE Art von "Schädling" sich im System breit gemacht hat. Davon zu reden man hätte NIE eine Alternative zur Neuinstallation ist vollkommener Unsinn!

In diesem Fall würde ich aber auch eher zur Neuinstallation raten. Besser so, als dem Kunden ein halbgesäubertes Gerät zurückgeben, mit dem er nach einer Woche - mit erheblich schlechterer Laune als beim ersten Mal - zurück kommt. Außerdem würde ich ihm mal eine Beratung in Sachen Firewall/Virenscanner etc. zukommen lassen. Sein Computer scheint sich ja so ziemlich alles eingefangen zu haben, was man im Internet so bekommen kann...
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück