Browser Hijack? - Firefox 2 Startet selbständig

[michdo23]

Hallo auch!

Folgendes Problem:

Seit kurzem startet mein Firefox (2.0) bei jedem Windows-Start von alleine und ruft folgende Seite auf:

http://hdsmdl.dl.am/

Mittlerweile habe ich die URL mit Ad-Muncher blockiert, ist aber trotzdem nervig...

Mir ist außerdem aufgefallen, dass kurz bevor es damit losging, die Windows-Firewall deaktiviert wurde. Ich hab sie dann einfach wieder aktiviert.

Ich habe das System komplett nach Viren gescannt (Antivir) und die üblichen anderen Programme drüber laufen lassen (Spybot S&D , Ad-Aware und zur Sicherheit noch A-Squared). Leider ohne Erfolg. Außerdem hab ich die "Ausnahmen" in der Firewall überprüft, da ist aber auch alles wie immer. Auch die Firefox-Einstellungen sind soweit ich das sehen kann nicht geändert.
Ich habe außerdem Hijack-This laufen lassen, aber auch da sind keine Prozesse gefunden worden, die die Auswertungsseite (oder ich) nicht kennen.

Hat jemand ne Idee wo sich der Bug verkrochen hat und wie ich ihn da raus bekomme?

Dank + Gruß
MD

 

[Sven]

Steht ein entsprechender Eintrag in der msconfig?

 

[michdo23]

Hallo Bolle,

du hast mich auf umwegen auf die Lösung gebracht.

In der msconfig unter "Systemstart" fand ich folgenden Eintrag mit Verweis auf folgende Datei:

Winhelp189.exe

im Windows Ordner.

Ich hab die Datei mal gesucht unt geklickt. Prompt öffnet sich wieder das Browserfenster. Der Übeltäter ist also gefunden.

Wie gehe ich jetzt am besten vor? Datei löschen (erasen ) und den Eintrag aus der registry löschen?

Noch ne Zusatzfrage: HijackTHIS hat auch noch die Datei directx.exe unter

c:\windows\system32\directx.exe

beanstandet (also mit nem fragezeichen)

Ist das tatsächlich directx? Liegt das nicht woanders?

Danke aber schon mal
Gruß
MD

 

[Sven]

Schaumal hier, vllt ist es der...

BDS/Ciadoor.BO [...] Kopien seiner selbst werden hier erzeugt: [...] %SYSDIR%\Directx.exe

 

[michdo23]

Jepp, hab ich auch schon gelesen, aber ich hab die Registry mal nach den dort angegebenen Einträgen durchsucht und nix gefunden.
Außerdem scheint dann ja der Virus bei AntiVir bekannt zu sein, dann hätte er ja anspringen müssen, oder?

P.S. Was soll ich denn jetzt mit der Winhelp189.exe machen? Datei und den Eintrag löschen?

Gruß

MD

 

[Sven]

Ja, würde die Datei sowie den Eintrag löschen und schauen, ob das Problem damit gelöst ist.

 

[michdo23]

Scheint geklappt zu haben.
Hab die Datei mehrfach überschrieben und den Eintrag in der registry hat ein Reg-Cleaner für mich entfernt

Problem gelöst.

Ich habe zusätzlich noch einen Eintrag in der HijackThis Datenbank gemacht, falls jemand noch mal auf das File trifft.

Danke noch mal, Bolle


MD