versteckter browser hijacker

Hallo,
und zwar habe ich das Problem, dass ich zwei Browser Hijacker habe, die sich an einen laufenden Prozess gehangen haben, und ich nicht weiß wie ich diese finden kann und löschen kann. Durch diese Browser Hijacker kommen immer wieder popup's im internet explorer, und der IE ruckelt sehr viel und oft. kann mir jemand helfen, wie ich das problem beheben kann, oder mit welchem programm ich diese browser hijacker finden und löschen kann ?
Danke Dennis

 

Hallo Audi_Sport

Poste bitte mal ein HijackThis-Log nach folgender Anleitung:

http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Gruß
Nevok

 

hier ist die log-file:



Gruß Dennis

 

Ich hab das mal für dich als Anhang hochgeladen. Wieso konntest du das nicht als Anhang hochladen?

Die Dateien (fettdruck) zu folgenden Einträgen solltest du mal unter http://virusscan.jotti.org/de/ bzw. http://www.virustotal.com/en/indexx.html überprüfen lassen:

• O2 - BHO: (no name) - {27CA571B-14D3-4937-B387-BE72FA7A0F87} - C:\WINDOWS\system32\xxyvuus.dll
• O2 - BHO: (no name) - {A378CF7C-A028-464B-974A-CEC1BBE3620F} - C:\WINDOWS\system32\pmnnk.dll
• O20 - Winlogon Notify: winbug32 - C:\WINDOWS\SYSTEM32\winbug32.dll

Gruß
Nevok

 

danke für den anhang als ich die datei hochladen wollte, stand immer da: ungültige datei, hocladen fehlgeschlagen". mhh aber jetzt ist es ja im anhang. ich habe die dateien mal auf dieser seite durchsuchen lassen und bei allen stand im Status: infiziert. und es wurde einiges gefunden. kannst du mir sagen, wie ich dann jetzt weiter vorgehe?
Danke Gruß Dennis

 

Die Einträge zu den untersuchten Dateien solltest du mit HijackThis fixen. Wie man Einträge fixt, kannst du hier nachlesen:

http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Die Dateien solltest du löschen. Ich würde mal ein Anti-Viren-Programm drüberlaufen lassen.

 

danke soweit.nur da gibt es das problem,dass ich die einträge bzw dateien nicht löschen kann, weil dann eine meldung kommt, dass diese datein verwendet werden. wie kann ich die prozesse oder datein abschalten oder deaktivieren, damit ich die fixen/löschen kann?
Denke Dennis

 

ein weg wäre:
task-manager > prozesse
nachsehen, ob da ein prozess läuft, wenn ja, den prozess beenden

 

@ Audi_Sport

Wie hans10 schon sagte, müsste im Taskmanager unter "Prozesse" ein Prozess laufen, den du beenden musst, damit du die Dateien löschen kannst. Es wäre hilfreich, wenn du von dieser Prozessliste mal einen Screenshot machen könntest und diesen dann, wie das HijackThis-Log, an deinen nächsten Beitrag anhängst.

Einen Screenshot erstellst du, indem du die auf die Taste "Druck" (kann auch "PrintScreen" hießen drückst und anschließend ein Grafik-Programm (z. B. IrfanView) öffnest und das Bild dort einfügst. Dann speicherst du es als jpg-Datei ab. Nun kannst du das Bild an deinen Beitrag anhängen.

Gruß
Nevok

 

ok hab im anhang den screenshot

 

haste schon mal nachgesehen, was im anhang zu erkennen ist?

 

naja die prozesse halt die gerade laufen.oder nicht? aber ich kann mit denen nicht viel anfangen. welchen ich da beenden soll, damit ich die datein löschen kann, da hab ich kein plan

 

genauer gesagt, die buchstaben im anhang kann ich nicht erkennen

ergänzt: ist lesbar, die prozesse sind nicht dabei.

hatte vor einiger zeit das gleiche problem,auch hijackthis war machtlos. musste win neu installieren. vielleicht hat jemand noch einen besseren tipp.

 

wie nevok schon schrieb, diese 3 dateien musst du erst mal löschen, evtl im abgesicherten modus (als administrator anmelden)

 

@ Audi_Sport

, war mein Fehler, aber eigentlich solltest du die Liste noch durch einen Klick auf die Leiste "Prozessname" alphabetisch sortieren, bevor du den Screenshot erstellst. Besorg dir mal das Tool Process Explorer und erstelle davon ebenfalls, wie beim Taskmanager, einen Screenshot.

Gruß
Nevok

 

hab einmal den screenshot der prozessliste im anhang und dann noch einen wo ich die .dll - Datein die du angegeben hast gesucht habe.

 

Du kannst zwar den Prozess iexplore.exe beenden, jedoch nicht die explorer.exe und schon gar nicht die winlogon.exe.

Starte bitte nochmal HijackThis, klick auf "Open the Misc Tools section", dann auf "Delete file on reboot..." und wähle dann die zu löschende Datei (pmnnk.dll, winbug32.dll, xxyvuus.dll) aus. Die anschließende Frage beantwortest du mit einem Klick auf "Ja".

Diesen Vorgang musst du dann noch zweimal wiederholen, da sich jeweils nur eine Datei pro Vorgang löschen lässt. Poste nach dem Letzten Vorgang (also nach dem Neustart) nochmal ein HijackThis-Log gemäß Anleitung.

 

Also ich habe die explorer.exe schon zig mal abgeschossen und musste sie manuell wieder starten.

 

also ich hab es jetzt so probiert wie es nevok geschrieben hatte. aber als ich es halt zum beispiel mit der datei xxyvuus.dll versucht habe, war sie nach dem neustart immernoch da und lies sich nicht löschen...ich habe das sogar 2mal mit der selben datei versucht, aber es klappt leider trotzdem nicht. ich versteh das nicht.

 

lass dir mal bei system32 auch die versteckten dateien anzeigen.
vielleicht findest du da die pmmn......und verucht sie mit HijackThis zu fixen wie es Novock vorgeschlagen hat.