Viren, Spyware, Datenschutz 11.253 Themen, 94.785 Beiträge

Verfolgung starten Optionen

Browser gehijackt oder Malware????

Hanswurscht1 / 10 Antworten / Flachansicht Nickles

Hallo,
ich habe ein Problem, und zwar habe ich auf meinem Rechner ein "störendes Programm". Zur Beschreibung:
- das Programm öffnet, wenn ich eine Email (Outlook Express) verschicke (nur beim verschicken) eine Website, auf der Gewarnt wird, ich hätte einen Wurm oder Virus auf dem Rechner und es wird auf einen Link hingwiesen
- selbes Problem, beim Internet Explorer
- selbes Problem, bei Mozilla
- selbes Problem, bei Norton Anti Virus
Weiß jemand, was das ist?

Betriebssystem ist Win XP Home.

Bin für jede Hilfe dankbar, weil ich den PC für Geschäftliche Dinge dringend benötige.

Besten Dank im Voraus.

bei Antwort benachrichtigen
Das störende Programm nennt sich Nachrichtendienst und gehört zum ... T-Rex
alternative lösung: firewall, die ports des nachrichtendiensts nach außen/ ... GarfTermy
Dass heißt es wird ein eigentlich nützlicher Weg zur Werbung benutzt. Ist ... Hanswurscht1
Bitte Hijackthis downloaden, ausführen scan save log Schließen und den ... Teletom
Hier das Log-File: Logfile of HijackThis v1.97.7 Scan saved at 15:33:26, on ... Hanswurscht1
Thx, es handelt sich um den Browserhijacker: Hijacker about:blank - ... ... Teletom
Werd ich gleich machen! Besten Dank schonmal!!! Hanswurscht1
Konnte das Programm zwar runterladen, aber als ich auf Desinfektion starten ... Hanswurscht1
Teletom Hanswurscht1 „Browser gehijackt oder Malware????“
Optionen

Hi,

Bitte Systemwiederherstellung deaktivieren:
«Start/Systemsteuerung/Leistung und Wartung/System/Systemwiederherstellung» indem die Option «Systemwiederherstellung auf allen Laufwerken deaktivieren» mit einem Häckchen versehen wird.

Am besten im abgesicherten Modus starten:
Start> Ausführen > msconfig [enter] eingeben
das Systemkonfigurationsprogramm öffnet sich > boot.ini > bei /SAFEBOOT Haken setzen > OK > Neu starten

Darauf achten, dass der Internet Explorer NICHT laufen darf, evtl. schließen.

Hijackthis starten > scan
Haken setzen bei:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {8578D79F-2577-4A0B-B1DC-60C178EE280C} - C:\WINDOWS\mrhop.dll

fix checked > ausführen und Hijackthis schließen.

SpHjFix.exe starten, desinfizieren und schließen.

Start> Ausführen > msconfig [enter] eingeben
das Systemkonfigurationsprogramm öffnet sich > boot.ini > bei /SAFEBOOT Haken ENTFERNEN > OK > Neu starten

Nach der Säuberung solltest Du mindestens die Registry sichern und
EruNt einsetzen (Emergency Recovery Utility for NT).

http://home.t-online.de/home/lars.hederer/erunt/erunt.zip
downloaden und in ein Verzeichnis z.B. C:\Programme\Erunt extrahieren.
Im Explorer nach C:\Programme\Erunt wechseln und erunt.exe doppelt anklicken und somit starten - OK
Haken setzen bei Andere geöffnete Benutzerregistrierungen OK
Ordner ex. nicht C:\ERDNT Erstellen? Ja
Sicherung läuft Registry wird in C:\ERDNT gesichert.
Abgeschlossen OK

Falls Du wieder Probleme mit der Registry hast, z.B. Trojaner oder Browser Hijacking, brauchst Du das System nur möglichst im abgesicherten Modus zu starten, im Explorer nach C:\ERDNT zu wechseln und die ERDNT.EXE durch Doppelklick auszuführen. Das System muss anschließend neu gestartet werden und nach dem Neustart hast Du wieder den alten sauberen Zustand der Registry zum Zeitpunkt der Erunt- Sicherung.

Gruß
Teletom

bei Antwort benachrichtigen
Super! Danke. Hanswurscht1