Tipps & Tricks 31.10.2004, 17:15 Uhr

Richfind Hijacker entfernen

Mein Problem ist das sich eine Anwendung bei mir eingenistet hat. Der Name ist Richfind. Die Datei hat in meinem Internet Explorer einfach eine Symbolleiste erstellt. Sie ist wohl zu entfernen aber das nur bis der Explorer neu aufgestartet wird, dann ist sie wieder da. Und im weiteren hat sie die Startseite eingenommen http://www.richfind.com/home die kann ich ebenfalls für einmal ändern, aber beim nächsten benutzen des Explorers ist sie wieder da. Ich habe ein Spyware Programm (Spybot), Viren Programm (Norman Anti Virus) aber beide haben nichts gefunden. Im Weiteren habe ich auch schon nach der Datei gesucht auf meiner Festplatte. Aber hat alles nicht genützt.
Was sich da auf Ihrem PC eingenistet hat ist ein sogenannter Hijacker. Diese Programme ändern Startseiten oder leiten aufgerufene Seiten auf andere um. Ein gutes Tool um diesen Hijacker zu entfernen ist HijackThis[1]. Laden Sie das Programm herunter, deaktivirern Sie die Systemwiederherstellung. Diese steckt unter Start/Systemsteuerung/Leistung&Wartung/System dort auf Systemwiederherstellung, deaktivieren sie diese für alle Laufwerke. Wenn alles wieder richtig funktioniert kann sie wieder aktviert werden. Starten Sie den PC im abgesicherten Modus auf. Durch drücken von F8 beim starten von Windows erhalten Sie ein Auswahlmenü, dort kann der abgesicherte Modus ausgewählt werden. Starten Sie HijackThis, nach dem der PC gescannt wurde können Sie das Logfile direkt hier[2] eingeben und es wird analysiert. Es kann natürlich auch noch mehr als nur Richfind auf dem PC sein.
Bei diesen Anzeigen sollten Sie den Haken setzen und sie fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {F68E561A-28E9-4136-952D-FB1107091C26} - C:\WINDOWS\System32\Q24778500.dll
O2 - BHO: Richfind - {2A554F9F-055E-4195-B46B-18668166BE66} - C:\WINDOWS\System32\Q24778500.dll
O9 - Extra button: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/html - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/plain - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll
Nun sollte noch die Datei C:\WINDOWS\System32\Q24778500.dll gelöscht werden.
Sollten noch mehr Probleme bei der Analyse des HijackThis Logfiles angezeigt werden, so sollten diese auch gefixt werden. Aber setzen Sie den Haken nicht bei allem was HijackThis anzeigt, viele Einträge sind durchaus Sinnvoll und nötig. Wenn alles gefixt ist sollte noch eScan[3] über die Harddisk laufen, auch wieder nach dem booten im abgesicherten Modus. Die Einstellungen sollten wie im Bild unten gestzt werden. Die gefunden Files müssen aber von Hand gelöscht werden. Weitere nützliche Tools sind Ad-Aware[4] und Spybot[5]. Viele weitere Tipps und Infos finden Sie auch auf dem Trojaner-Board.de[6].



Kommentare
Es sind keine Kommentare vorhanden.