anuky.dll - Browser Hijack

[Citrix 13]

Wie bekomme ich dieses "§!§§"§$%! raus?

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\anuky.dll/sp.html#37049

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://anuky.dll/index.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://anuky.dll/index.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\anuky.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://anuky.dll/index.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\anuky.dll/sp.html#37049

 

 

Folgende Anleitung half nichts --> http://www.pchell.com/support/lookfor.shtml

 

Der Registry Key ist nicht da zum löschen ebenso die Dateien.

[Citrix 13]

Adaware, CW Shredder, Spy Bot search&destroy, hijackthis hilft nichts

[Citrix 13]

Weiss denn niemand wie ich diese Variante des CWS wegbekomme?

 

 

Habe schon alle Dateien gelöscht. Aber er ist immer wieder da.

[zuschauer 10]

Hi citrix,

ich hatte gestern mal nach dieser DLL gesucht, der Name scheint zufällig gewählt zu sein.

 

Das einzige, was Dir wahrscheinlich helfen könnte, wäre wirklich, wie in Deinem Link angegeben, HKEY_CURRENT_USER>Software>Microsoft>Windows>Current Version> zu checken und zwar die Einträge in RUN, RUNOnce und RUNService(sofern sie existieren), sowie in HKEY_LOCAL_MACHINE, selbe Abteilung (Software/Microsoft/Windows/Current Version/RUN usw.

 

Wenn Du mit den Einträgen nicht klar kommst, dann exportier diese Reg-Key als NT4 - Format - das kann man mit jedem Editor lesen - und poste sie hier.

[Smeagol 10]

Moin!

 

Ich habe das gleiche Problem.

Dieser "Hijack" taucht immer wieder auf.

 

Er läßt sich mit Hijackthis zwar erstmal entfernen, allerdings kommt er am nächsten Tag nach dem Hochfahren von alleine wieder. Die DLL die Hijackthis anzeigt kann man auch enfernen.

 

Wenn man direkt nach dem Entfernen neu bootet ist anscheinend alles ok. Bloß wenn man am nächsten Tag den Rechner neu hochfährt ist er wieder da. Die DLL hat einen neuen Namen und ist auch wieder präsent.

 

Weitere Beobachtung:

Das Ding nennt anscheinend Notepad.exe in Notepad.exe.bak um und ersetzt die originale Notepad.exe.

 

Hat jemand noch Tips für mich?

Danke und viele Grüße

Holger

[Smeagol 10]

Moin!

 

Nochmal ich. Das Problem geht deutlich tiefer und ist nicht mit

einem Tool auf einen Schlag zu lösen, so wie es aussieht.

Wer mag, bitte diesen Thread anschauen:

 

http://forums.spywareinfo.com/index.php?showtopic=7447

 

Dort wird das ganze Teil ziemlich zerpflückt. Ich lese selber noch dran und werde schauen, wie ich diesen Hijack wegkriege.

Sollte ich Erfolg habe poste ich....

 

Viele Grüße

Holger

[earlgrey 10]

Hallo,

 

einmal diese Anleitung mit Tool:

 

Trojaner-Info

 

und dann dieser Thread im Rokop-Security Forum:

 

Forum Thread

 

Damit sollte es machbar sein das Mistding zu entfernen...

 

Gruß

Chris

[Smeagol 10]

Hallo!

 

Schönen Dank.

Man schauen bei Trojaner-Info rein, lade das Tool und bingo!

Mal abwarten, was morgen früh ist ;-)

 

Viele Grüße

Holger

[Smeagol 10]

Moin!

 

Also, der Rechner ist anscheinend immer noch clean.

Scheint zu funktioneiren....

Viele Grüße

Holger

[shambler 10]

Habe bei einem Kunden ebenfalls ein HiJacker-Problem.

Der MSIE lässt sich nicht mehr dazu bewegen, auf eine Seite aus den Fav´s oder per URL-Eingabe zu gehen.

Er wechselt sofort auf eine Möchtegern-Porno-Seite mit orangen Hintergrund, auf der steht nur in deutsch, dass man jetzt eine Pornoseite betritt. Slebst ein Klick auf ok leitet auf diese "Startseite" um.

 

Kein Tool, keine Reparaturanleitung konnte bisher helfen.

 

Der Kunde surft im Moment mit Firebird, da eine evetuelle Neuinstallation des Systems im Moment nicht in Frage kommt.

 

Der Inhaber der Porno-Seite konnte zwar ausgemacht werden, jedoch weiss ich noch nicht, wie man ihm beikommen kann.

[Smeagol 10]

Moin!

 

Unser Hijack ist auch nach drei Tagen wiedergekommen.

So ein Mist...jetzt ist Mozilla am Zug.

 

Viele Grüße

Holger

[Zaggallo 10]

Hallo Zusammen,

 

ich hatte auch 2 Tage lang dieses Problem auf einem Kunden - PC.

 

Ad-Aware, HiJackThis, CWShredder & Spybot haben bei mir auch leider keine Abhilfe geschafft.

 

Ad-Aware hat mir nur insofern geholfen, das mir dort die "Verdächtigen" angezeigt wurden. Ich konnte sie auch mit Ad-Aware löschen, aber beim nächsten Neustart waren sie wieder da.

 

Die einzige Datei, die Ad-Aware nicht gefunden hatte, war die hh.exe. Über die hatte ich aber in einem anderen Forum etwas gelesen. Sie gehört wohl zu CWS dazu.

 

Ich kam dann auf den Gedanken, das Ganze manuell zu löschen (Abgesicherter Modus). Das brachte aber auch nichts, da sich das Biest schon aktiviert hatte.

 

Letzendlich hat mir der ERD - Commander 2002 geholfen. Das ist ein ganz nettes Tool, das von CD gebootet werden kann. Das angenehme an diesem Tool ist, das dort Regedit und Explorer genutzt werden können.

 

Also habe ich alles manuell gelöscht, bzw umbenannt (weil ich mir bei einigen Dateien nicht ganz sicher war) und siehe da:

 

Das Biest war weg!!! :)

[shambler 10]

Das ist ja ne richtig gute Idee !!!!

Den ERD - Commander wollt ich mir eh mal ansehn.

Ich hab momentan 2 Kisten zu richten, auf denen verschiedene HiJacker ihr Unwesen treiben.

 

Kann man eigentlich einen "Anbieter" von HiJackern verknacken lassen?

Die Biester sind ja heftiger als richtige Viren.