• Announcements

    • Rodion Nagornov

      Недоступность форума // Forum maintenance   08/16/2017

      В связи с техническими работами форум будет недоступен с 20.00 (МСК) 18.08.2017. Максимальное время недоступности - до 20.00 (МСК) 20.08.2017. *** Due to maintenance forum will be unavailable since 8pm (+3 GMT) 18-Aug-2017. The longest possible time of maintenance - till 8.pm (+3 GMT) 20-Aug-2017.
Niko91

Snap.do entfernen

11 posts in this topic

Grüß euch,

 

leider ist auf dem Laptop meiner Freundin durch ein Downloadbündle die Maleware "Toolbar" Snap.do gelandet. (Kaspersky war leider nicht in der Lage es als Maleware zu erkennen, enttäuschend für den Testsieger, aber was erwartet man anderes von einem Programm das den Start einfriert) Sie benutzt Firefox als Browser, ich habe das Programm bereits über Addons entfernt, außerdem auch über Systemsteuerung. Auch über about:config habe ich bereits die "search" Einträge zurückgesetzt. Trotz zurücksetzen der Startseite, landet Firefox beim Starten auf snap.do! Auch verweist Firefox bei diversen Suchanfragen plötzlich auf Snap.do. Die Toolbar selbst wird oben nicht mehr angezeigt. Kennt jemand das Problem und hat eine Lösung?

Share this post


Link to post
Share on other sites

Hallo Astor,

 

danke für deinen Hilfeversuch! Habe über google natürlich auch schon nach Lösungen gesucht und einiges versucht! Leider bis jetzt ohne Erfolg! (auch entsprechende Anleitungen wie bei gutefrage.net!

Ich werd wohl mal ein Anti Maleware Programm ausprobieren, wenn Kaspersky nach dem vollständigen Systemscann noch immer nichts gefunden hat! LEider habe ich bis jetzt nur schlechte Erfahrungen mit kostenlosen Anti-Maleware Programmen gemacht! Hat zufällig jemand gute Erfahrungen mit einem kostenlosen Anti Maleware Programm gemacht?

Die Frage die sich mir aber auch stellt, wieso erkennt KIS2013 es nicht als bedrohung? Es hat den gesamten Firefox "gehijackt" -.-

Edited by Niko91

Share this post


Link to post
Share on other sites

Solche Toolbars sind eigentlich im engeren Sinne keine Malware. ;)

 

Ich hatte ein ähnliches Problem mit einer anderen Toolbar. Hier hat mir nur der Process Explorer geholfen.

In ihm kannst du die laufende *.exe der Toolbar - die weil in Betrieb sämtliche Löschversuche überlebt - und auch den Ort identifizieren. "Kill" dann diesen Prozess und lösche an der entsprechenden Stelle diese *.exe. Dann sollte Ruhe herrschen.

Edited by thomas700

Share this post


Link to post
Share on other sites

hol dir bei chip.de z.b. den iobituninstaller. der listet und löscht auch toolbars.

Share this post


Link to post
Share on other sites

Danke für eure Antworten! Ich werd morgen versuchen dem Ding an den Kragen zu gehen und dann berichten ob und wie ich erfolg hatte!

 

@Thomas die snap.do Toolbar gilt als Maleware, sie nimmt tiefgreifende Veränderungen im System und in den Explorern vor. Ich hab im Firefox z.B. als Startseite google.de angegeben, tatsächlich kommt aber trotzdem snap.do als Startseite. Auch leitet mich Firefox immer wieder auf diese "Suchmaschine" um, obwohl ich snap.do im Explorer als Suchmaschine entfernt habe! Da kann mir keiner erzählen das die Kiste keine Maleware ist^^

 

@Pedi gelöscht ist die Toolbar, jegliche .exe Dateien der Anwendung sind entfernt, es bleibt nur das Problem, dass mich Firefox immer wieder auf die Seite schickt und sich keine Startseite einrichten lässt. Dieses Problem bleibt selbst, wenn man Firefox auf Werkeinstellungen zurücksetzt. Wie gesagt ich werd aber mal testen und morgen berichten! Danke für die Hilfe!

Share this post


Link to post
Share on other sites

Bin die letzten zwei Tage nicht dazu gekommen mich drum zu kümmern! Sitze gerade dran! ;) Werde dann berichten! Ich habs nicht vergessen ;)

Share this post


Link to post
Share on other sites

Also gut, hier endlich mein Bericht:

 

Malewarebyte hat die Datei gefunden, über die sich die snap.do Toolbar installiert hat -> gelöscht.

Leider war dies tatsächlich nur die Datei, über die die Toolbar eingeschleust wurde, am gehijackten Firefox hat sich leider nichts geändert. Weitere Übeltäter hat Malewarebyte nicht gefunden.

 

Ich habe über HijackThis einen Bericht erstellen lassen. Mir persönlich fällt da nichts ungewöhnliches auf, ich bin allerdings natürlich auch kein Experte auf dem Gebiet! Das Problem besteht also leider immer noch.

 

Auch das "Wiederherstellung nach Infektion" Tool von KIS2013 habe ich getestet, leider ohne Erfolg.

 

Was mir noch aufgefallen ist, wenn ich im Windows Suchfenster "Firefox" eingebe, folgen zwei Verknüpfungen -> "Firefox" und "Mozilla Firefox". Wenn ich über "Firefox" starte, bekomme ich die eingestellte Startseite. Über "Mozilla Firefox" kommt snap.do (trotz anders eingestellter Startseite, siehe Anhang)

Ich könnte natürlich immer über Firefox starten, allerdings würde ich doch ganz gern die Manipulation von snap.do entfernen.

post-447218-1358866711_thumb.png

hijackthis.log

Share this post


Link to post
Share on other sites
... wenn ich im Windows Suchfenster "Firefox" eingebe, folgen zwei Verknüpfungen -> "Firefox" und "Mozilla Firefox".

N'Abendt Niko91,

 

in dem HijackThis-Log sehe ich auch nichts, was mich anspringen würde.

 

Hinsichtlich der Links: schau Dir bitte mal deren Eigenschaften an. Es ist ja möglich, das der snap.do-Prozess einfach eine neue angelegt hat, diese als 'Mozilla Firefox' benannt und darin letztlich die eigene Seite über die genannte URL aufruft.

 

Bye.

KM

Share this post


Link to post
Share on other sites

Mal 'ne Frage:

 

Wie sieht es in solchen Fällen eigentlich aus, wenn man mittels des Profilmanagers einfach ein neues FF-Profil erstellt und das alte später löscht?

 

Oder "schreibt" sich solch eine "Malware" auch immer direkt in den FF-Programmordner (und auch noch an weitere Stellen im System)?

 

Gruß,

 

Scyllo

Share this post


Link to post
Share on other sites

Es manipuliert zumindest die registry Einträge der Internetbrowser und verändert z.B. die Standartsuchmaschine. Die entsprechenden Einträge habe ich manuell wieder auf google verstellt. Ich werde das mit den Verknüpfungen mal unter die Lupe nehmen wenn ich dazu komme! Danke für eure Hilfe bis hier hin.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now