Spyware.Possible_Websit_Hijack (wie entfernen?)

[Mastersound200]

Ich habe seit ca. einer Stunde folgendes Prob:
Wenn ich in Firefox mit Google in der Leiste oben etwas suche kommt nur noch 302 Moved (s. Screen)
Dann kann ich in Google nichts mehr einstellen (Suchoptionen, erweiterte Optionen etc.) und wenn ich auf Google gehe kommt nur noch die englische Easter-Egg Seite (s. Screen 2)
Dann wenn ich in Google iwas suche (im Tab) werde ich sehr oft auf folgende Seite weitergeleitet: searchclick6.com (s. Screen 3)

Diese Probleme tauchen auch im Windoof Explorer auf...
Desweiteren wurde der Browser auch noch schön langsam.
Antivir läuft noch und sucht... sollte sich was ergeben werde ich es posten, aber lieber schon mal Lösungsvorschläge sammeln während man auf Antivir wartet.

Vielen Dank erst ma

mastersound200


EDIT: Ich hab mal Spyware Doctor drüber laufen lassen und der hat folgendes herausgefunden: Spyware.Possible_Websit_Hijack
konnte es allerdings nicht entfernen

 

[Shoocky]

Also AntiVir bringt dir bei den heutigen Cryptern sowieso nichts kannste getrost vergessen genau wie den rest!

gehe start>ausführen>msconfig

denn oben in den tabs auf systemstart denn guckst du dir nur die sachen an wo hersteller unbekannt steht um zu erklären warum unbekannt

kein blackhead kann sich eine treibersignatur leisten ^^

diesen screen zeigst du mir bitte, bei den aktuellen paycryptern die so in der szene unterwegs sind läut die .exe endung meist auf Ati_disp.tool.exe (scenetoolscrypter) <<< am meisten verwendet

wenn wir erstmal wissen wo er sitzt bekommen wir ihn auch weg

sollte der virus noch an einem trojaner gebindet sein was ich stark vermute schaue dir auch bitte deine prozesse an die meisten wählen in ihren rats "inject into default browser" das bedeutet das dein standartbrowser z.b. firefox 2x im taskmanager zu sehen ist

das ding steht auf jeden fall in der registry solange kein rootkit verwendet wurde!

also bitte bei ausführen "regedit" eingeben und denn die pfade öffnen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

screen von beiden pfaden denn gehts weiter

 

[Mastersound200]

Sohoo also erst ma danke für den Leitfaden. Die Screens hängen unten dran.

Kurz noch meine Einschätzung zu den Screens jez:
Beim Systemstart ist nichts verdächtiges bei den Unbekannten.
1. Rivatuner
2. Razer Barracuda AC-1
3. Razer Deathadder
4. Razer Barracuda. gleicher Pfad wie 2.
5. Vom Board der Raidtreiber

Bei den Prozessen war nun auch nichts verdächtiges. Abgesehen, dass es meinem Geschmack nach zu viele sind Mal wieder ausmisten.

Im Autostart der Reg Local_Machine macht mir nur der NvCplDaemon Sorgen. Aber ka.

Und Current User war nix außer Daemon Tools

So dann hab ich nochmals SpywareDoctor drüber laufen lassen und der erzählt mir, dass ich Hosteinträge hab, die das Verursachen. Allerdings sind die nur für einen emulierten Server bei AC2 zuständig.

Meine Hosts

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#    127.0.0.1       localhost
#    ::1             localhost
127.0.0.1       static3.cdn.ubi.com
127.0.0.1       ubisoft-orbit.s3.amazonaws.com
127.0.0.1       onlineconfigservice.ubi.com
127.0.0.1       orbitservice.ubi.com
127.0.0.1       ubisoft-orbit-savegames.s3.amazonaws.com

 

[Shoocky]

Also du kannst dir sicher sein das du keinen trojaner hast der nicht in einem rootkit versteckt ist und zur lösung das problems habe ich mich mal nen bisschen umgeschaut

Spyware.Possible_Website_Hijack - Angaben zur Bedrohung

 

[Mastersound200]

Jo thx so far, aber besagtes Programm weigert sich dieses Ding zu entfernen.

 

[rebel4life]

Wenn ich mich nicht täusche jubeln manche Warez Seiten einem nen Emulator mit Spyware unter, der läuft dann zwar, aber die Spyware auch. Deswegen ne saubere Quelle für den Emulator nehmen, vorher aber das System neu aufsetzen.

 

[Mastersound200]

Grml
Aufsetzen wollt ich eigentlich nicht schon wieder... wird mir aber nix andres übrig bleiben^^