Hardcore "Windows" Hijacker

[PerryRhodanos]

Heute hat mich ein IT-Kollege gebeten eine infizierte Dell-Workstation anzuschauen. (OS: Win XP SP.2 + Updates) Folgendes passierte:

- Rechner wird gebootet

- Internetzugang wird direkt angewählt (PC außrhalb des Netzwerks)

- Internet Explorer wird geöffnet

- lange Zeit (ca. 2min) passiert nichts Außergewöhnliches

- Dann ging ein Pop-up auf mi "Life Insurance" in der Titelleiste

- Pop-up war ca. 240*320 groß; nur Titelleiste + Inhalt

- klickt man darauf landet man nur auf einer dieser komischen "Suchseiten", die mehrere
Sucherergebnisse aus google listet, keine Bedrohung

- Wird das Popup geschlossen, kommt es während der Session nicht mehr, alles Okay

- Rechner reboot: Kommt wieder nur einmal dieses Pop-up, mit anderen Inhalten: Kasino,..

Folgende Maßnahmen wurden unternommen:

- Startup gecleant per Regedit und Msconfig (100%Sauber!)
- Hijackthis...IE gecleant (100%Sauber, von mir kontrolliert + hijackthis.de)
- keine suspekte+ Dienste
- Rechner zu 99% Viren, Wurm und Trojaner frei
- hosts gecleant
- keine suspekten Tasks am laufen

Danach bin ich resegniert....trotz Policy Firefox 1.01 installiert.

UND: Es kommt wieder nach Reboot, aber im IE-Fenster
Also liegt das am Win selber?
Nach Booten des OSs wird nach Inetverbindung dieses Fenster nach mehrern Minuten einmal geöffnet, dann kommt es nicht mehr wieder! Wie kriegt man den Dreck weg, ich raste aus? Dial-Up irgendwie infiziert??

 

[niz]

Aber es muss ja eine Software sein, die dir das eingebrockt hat. Folgende Programme
hab ich in deiner Liste vermisst. Diese solltest du auch mal probieren:
CWShredder: https://www.computerbase.de/downloads/software/online-sicherheit/cwshredder/
SpyBot S&D: https://www.computerbase.de/downloads/sicherheit/antimalware/spybot-search-und-destroy/

Danach bin ich resegniert....trotz Policy Firefox 1.01 installiert.

Policy? Group Policy? Wer hat installiert - Du oder der User? Admin? Hauptbenutzer? Benutzer?

 

[Kim]

kannste vergessen, da musste formatieren, da is irgendwo im hintergrund ein programm, dass automatisch diese seite anwählt, das du aber mit keinem programm auffinden oder entfernen könntest, hatte mein nachbar auch schon, hab mal aus jux 2 tage alle möglichen programme getestet, keins wollte dieses teil entfernen, was aber dagegen hilft, ist ein registrierungs security programm, dann kann sich soetwas nicht nach der neuinstallation ins windows einbinden! So ein Programm ist beim Spybot dabei!

MFG
Kim

 

[gustl87]

vielleicht findest du ja was bei den Starteinstellungen (MSCONFIG) solte eigentlich drinnenstehen ...

-gb-

 

[=Shadowman=]

Ich hatte so was auch schon mal und bei mir lags an diesem Java Script Dingsda.Hatte Java 2.irgendwas installiert.
Nachdem ich es deinstalliert hatte, die Reg gecleant war und das alles war der Spuk vorbei!

 

[PerryRhodanos]

Habe ihn gerade angerufen und ihm das mit Sun Java empfohlen...zwecklos.

Er wird demnächst auch noch die anderen Programme durchlaufen lassen.

Greetings
Perry

 

[Bates83]

Mit diesen Anti-Spy Programmen habe ich gute Erfahrungen gemacht, eventuell mal im abgesicherten Modus scannen:
-Ad-Aware
-Microsoft AntiSpyware
-Spybot S&D

Ich denke nicht das du komplett formatieren musst, es gibt zwar einige Möglichkeiten für solche Programme aber irgendwo müssen die sich eintragen. Das sind zB
-Autostarteinträge
-Registry auch Autostarteinträge
-Dienste auch die sich auch ähnlich lesen wie Standarddienste
-Iexplorer Einstellungen
-Neue Dateien meistens im Windowsordner

Ein gutes AntiSpy Programm kennt alle verdächtigen Dateien / Einstellungen und sollte diese auch beseitigen.