Falls es mal vorkommen sollte das die Startseite im Internet Explorer plötzlich ohne eigene Änderung gegen eine andere ausgewechselt wurde, ist ein Browser Hijacker am Werk.
Wichtiger Hinweis:
HijackThis muss in einem eigenen Ordner laufen, um BackUps erstellen zu können.
Es muss so aussehen: C:HJTHijackThis.exe
Diese Anweisung erst gründlich durchlesen.
Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du u.a. im abgesicherten Modus/VGA Modus arbeiten wirst.
Folge den Nummern in der Reihenfolge:
#1
Download und Anwendung:
#2a
about:Buster
entpacke C:aboutbuster
Starte das Programm:
1. Klicke auf "Update".
2. Klicke auf "Check For Update"
(wenn derzeit keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.
#2b
CWShredder, installieren und updaten
#2c
CleanUp verwenden um die Temp Verzeichnisse zu säubern.
#2d
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
#3
Boote in den abgesicherten Modus und bleibe dort bis du liest, dass du in den normalen Modus (Punkt 9) booten sollst.
#4
Schliesse alle Programme einschliesslich Internet Explorer.
Lass Hijackthis laufen, klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:
-> Fixe alle aufgeführten Einträge unter R0, R1 und R3
zuzüglich der als Malware erkannten weiteren Einträge
und einer der Startseiten.dlls: "res://C:WINDOWSuuuuu.dll".
Beende das Programm HijackThis.
#5
Lösche die als Malware erkannten Files, im abgesicherten Modus, mit dem Windows Explorer:
-> Malware-Files löschen
#6
Schliesse alle Programme einschliesslich Internet Explorer.
#7
Lass about:Buster laufen
4. Klicke auf "Start".
5. Warte bis der Scan zu ende ist.
6. Klicke auf "Exit".
#8
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.
#9
Boote in den normalen Modus.
#10
Beende die Prozesse gefundener Malware im Task-Manager:
*.exe
*.exe
#11
Lass CleanUp laufen
"option" -> Wähle ‘custom’ -> Setze Häkchen bei:
* Cookies
* Prefetch
* Temp
* All users.
Drücke den 'cleanup' Button
#12
Lass HijackThis laufen
Speichere das Logfile.
#13
Vergib eine neue Startseite für den Internet Explorer.
Anmerkung
Files unter
O20 - Winlogon Notify: wenn eindeutig als Malware festgestellt
O23 - Service: Workstation NetLogon Service: die diese Zeichen tragen: ( 11Fßä#·ºÄÖ`I)
werden am besten entweder mit HijackThis über ">Config->Misc. Tools->Open process manager> delete" entfernt
oder im normalen Modus mit der KillBox:
Killbox starten
Einstellungen:
Replace on Reboot
Nun die betreffenden Dateien in die Killbox reinkopieren:
*.dll
*.exe
Für jede Datei zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja
und die Zweite dann mit Ja bestätigen,
wenn alle zu löschenden Dateien in der Killbox sind.
Bitte die Killbox nur anwenden, wenn du weißt, was du tust.
Gekillte Dateien können nicht wieder hergestellt werden.
-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.
Quelle (stellenweise): http://forum.hijackthis.de