Hallo liebe Gemeinde,
ich mach das eigentlich beruflich, warne meine Kunden auch immer wieder vor unbedachten Klicks im Netz... Und doch trifft es den ein oder anderen immer mal wieder...
Dieses Mal ist es eine Kundin, System: Windows 7 HP SP1, Internet Explorer 11 und Firefox 25, beide verseucht.
Ich habe alles probiert, auch im abgesicherten Modus.
Soweit ich sehen konnte, ist alles aktuell. MS-Updates, Flash Player, Java, Avast, Malwarebytes...

Sie hat sich diesen hartneckigen Startseiten-Virus auf einer russischen Seite eingefangen, wollte Ihrem Mann Live-Fussball-gucken ermöglichen.

Habe, wie schon erwähnt, echt alles probiert. Bin gescheitert.

Aufgefallen ist mir folgendes:

Die Registry ist sauber. In den Schlüsseln und Werten für IE und Firefox sind die Startseiten ordnungsgemäß eingetragen.
Im System (Windows Explorer) habe ich nicht eine einzige Datei mit "nation" oder "nationzoom" gefunden. Temporäre Dateien manuell gelöscht, alles was möglich war.
Trotzdem kommt die Seite beim Öffnen beider Browser.

Aber...
Wenn man dann den Home-Button für die Startseite drückt, wird diese aufgerufen, ganz normal. Aber eben erst nach dem Öffnen mit der falschen Startseite.
Es scheint sowas wie ein Öffnen-mit-Befehl zu sein, der nirgens eingetragen ist.
Darüber hab ich weiter sinniert. Und dann hab ich über IP-Adressen nachgedacht.
Hinter jeder Web-Adresse steht ja eine IP.

Also was ist, wenn "nationzoom.com" im System und in der Registry mit einer IP verschlüsselt ist???

Hat jemand eine Idee dazu?

Hallo,

das Ding ändert alle Browserverknüpfungen (auf dem Desktop, Startmenü etc.), so dass deren Ziel dem Browser grad noch die entsprechende Adresse zum Öffnen mitgibt..
Also bei einer Firefox-Verknüpfung auf dem Desktop beispielsweise steht dann sowas drin (Rechtsklick -> Eigenschaften):

"C:\Programme\Mozilla Firefox\firefox.exe" hxxp://www.nationzoom.......

Du musst einfach alle betroffenen Verknüpfungen entsprechend reinigen oder ersetzen.


Und ebenfalls trägt es sich in der Registry ein unter diesen Schlüsseln:

HKEY_LOCAL_MACHINE\Software\Cliensts\StartMenuInternet\firefox.exe\shell\open\command
@="\""C:\Programme\Mozilla Firefox\firefox.exe\" hxxp://www.nationzoom......."

Dort kann man es auch rauslöschen, falls noch vorhanden.


Brauchst du dabei Unterstützung?

Danke Leo,
der Hinweis hört sich vielversprechend an.
Ich werde mich heute Abend nochmal mit dem betroffenen Rechner auseinandersetzen und danach berichten. Die Kundin ist vor ein paar Monaten in ihre alte Heimat zurückgezogen und ich muß jetzt über 400 km hinweg per Teamviewer arbeiten. Das geht ganz gut...

Ihr Jungs macht wirklich einen sehr guten Job hier, habe mir schon des öfteren praktische Tipps im Forum abgeschaut. Danke dafür. Ich möchte spenden.

Jetzt muß ich aber erstmal los, ein kleines Druckerproblem lösen...

Grüße samba

So, habe mir den Rechner noch einmal vorgeknöpft.
Hab sämtliche Verknüpfungen zu den Browsern gelöscht und dann wieder gescannt mit SystemLook. Alles schön. Jetzt hat es funktioniert. Beide Browser funktionieren wieder einwandfrei.
Danke.
Spende ist raus.

Prima, danke für die Mitteilung. Und vielen Dank für die Spende!


Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.