Browser Highjacking Firefox Babylon search

    Hallo, habe den Laptop eines Bekannten in Behandlung, dort wurden beide Browser gehighjackt, IE8 und Firefox neuste version, 3.6.8, es dauert auch ca 10 Sekunden bis Firefox öffnet
    Verursacht durch das Programm search babylon, der Kollege hat sich die software runtergeladen vom babylonserver (Übersetzungprogramm), dort wird automatisch eine toolbar mit installiert die sich über den Firefox legt, man kommt weder an ADDs noch an EXTRAS heran da die Menüleisten komplett verschwunden sind, aktuelle Virensoftware Kaspersky Internet Security hat auch nix gemeldet, habe unter den ADDs ein Babylonprogramm gefunden und auch deinstalliert

    Beim IE war es einfach habe unter Einstellungen wieder die alte Startseite http://www.toool.de eingegeben alles funzte wieder
    Habe alle mir zur Verfügung stehen Möglichkeiten ausgenutzt, Babylon über Software deinstalliert, über regedit alle Babylon-Einträge gelöscht, StartReg gesäubert, alles ohne Erfolg. Auch unter HighjackThis nix verdächtiges zu sehen

    Firefox deinstalliert neu installiert auch ohne Erfolg, letztlich hat nur die komplett Löschung aller FirefoxEinträge auf dem Laptop dazu geführt das ich den Fuchs wieder installieren konnte

    wo versteckt sich diese SCHEISS malicious Badware? namens search babylon, hänge mal einen screenshot dran,
    hat schon jemand ähnliche Erfahrung damit gemacht?

    [Blockierte Grafik: http://www.abload.de/thumb/babylonsearchghtq.png]

    danke Stecki

    7 Mal editiert, zuletzt von Steckenbrunzer (28. August 2010 um 19:55)

    Wenn ich in nächster Zeit mal einen neuen PC aufbaue werd ich die Problematik mal nachstellen,
    vorher eine Datensicherung machen und anschließend die Veränderungen auflisten die durch das Programm gemacht wurden
    hoffe so auf die Spur zu kommen wenn ich die Ordner vergleiche

    in anderen Foren gibt es genug User die ein ähnliches Problem mit Search babylon hatten, im unterschied zu meinem Laptop
    war aber nur das logo von search babylon installiert, keine umleitung auf die search babylon-seite, lies sich auch über Extras-Eintellungen wieder deaktivieren,

    Bei meinem Laptop waren die Symbolleisten und Menüleiste nicht mehr vorhanden

    Werd davon berichten wenn ich neue Erkenntnisse habe

    Danke Stecki

    Kannst ja noch direkt mit der Knute drohen, weil Benutzer als Admin unterwegs ist,
    sonst wäre das mit der Toolbar nur ein milder Anfang - genauso fängt man sich
    jeglich möglichen Dreck ein - und da hilft keine Reinigung, sondern nur ein Neuanfang.
    Merke: wer keinen Schimmer vom Rechner hat, sollte als eingeschränkter Benutzer arbeiten!

    Hallo, natürlich sind die Leisten ausgeblendet, aber sie lassen sich auch mit rechtsklick (Kontext) nicht wieder einblenden
    das diese Funktion absichtlich deaktiviert wurde, kannst du vielleicht auf meinem Screenshot erkennen
    und von den Hinterlegten URLs icons sind nur noch Google und toool vorhanden alle anderen sind auch futsch, ansonsten hat er als Startseite eine veränderte Google-Seite in Englisch mit einer permanenten Aufforderung Babylon 8 zu kaufen

    Habe aber auch in den Profilordnern nix verdächtiges gefunden, muss dort aber wohl versteckt sein,
    denn nach Komplettlöschung aller Firefox-Ordner lies sich FF wieder installieren und funzt wieder, habe über MoBack dann die letzte Sicherung wieder aufgespielt


    Wer Spass oder Interesse daran hat kann sich das Programm ja mal auf einen Testrechner runterladen und installieren

    Ich werds mal beim nächsten frisch aufgesetzten Rechner testen

    Danke fürs Interesse, melde mich wieder wenn ich neue Erkenntnisse habe, denn wenn man googelt findet man sehr viele Suchanfragen ca 15.000.000 babylon search, der Laptop war wohl nicht der einzige :grr:

    http://www.gutefrage.net/frage/babylon-search

    diese Anfrage war nicht von mir aber das selbe Problem

    und heir waren noch alle Such und Menüleisten zu sehen und erreichbar bei mir nicht, scheint weiter entwickelt worden zu sein um eine Deinstalltion zu verhindern

    https://www.camp-firefox.de/forum/viewtopic.php?f=4&t=81470

    gruß Stecki

    Einmal editiert, zuletzt von Steckenbrunzer (29. August 2010 um 11:58)

    Drücke in Firefox die Taste Alt oder F 10, um die Menüleiste wieder einzublenden, dann unter Ansicht :arrow: Symbolleisten die gewünschten Häkchen setzen.
    Kontrolliere, ob keine Erweiterung mehr installiert ist, die was mit Babylon zu tun hat.
    Tippe about:config in die Adresszeile, bestätige die Abfrage mit "Ja, ich werde vorsichtig sein", tippe dann browser.startup.homepage in die Filterzeile. Dort sollte dann die englische Google-Seite stehen. Mache einen Rechtsklick drauf und wähle zurücksetzen. Schließe das Tableau. Setze nun eine neue Startseite über die Einstellungen.
    Lasse dir, soweit noch nicht geschehen, im Windowsexplorer alle versteckten Dateien und Ordner anzeigen. Suche als Admin nach Einträgen von Babylon etc. Lösche ggf. gefundene Dateien. Sei vorsichtig und arbeite mit externen Sicherungen.

    Hatte MozBackup installiert auf dem Laptop und auch wieder zurückgespielt, das war nicht das Problem,
    sondern wo versteckt sich diese malware, muss irgendwo in einem Firefox-Ordner sein

    Der Vorschlag dem Benutzer nur eingeschränkte Rechte zu erteilen ist RICHTIG,
    aber kannst du dir vorstellen wenn alle deine Freunde dich stets und ständig anrufen oder mehlen weil sie ein Proggi installieren wollen?
    nur weil ich in der IT-Branche arbeite und Freunden auch gern helfe? und das kostenfrei :)

    Gruß Stecki

    Boersenfeger Vielen Dank, mit F10 hab ichs nicht probiert, mal sehen bei einem Versuch ob es funzt,
    regedit, und msconfig, Startmenü und ADD hab ich alle erfolglos durchprobiert und bereinigt
    versteckte Ordner hab ich auch alle anzeigen lassen
    hab auch nach LINKS zu dem Problem gegoogelt, bin aber nicht wirklich auf eine funktionierende Lösung gestoßen
    lediglich auf einen Anbieter SECURITYSTRONGHOLD mit Sitz in Russland der ein Proggi namens "Babylon Client removal tool" anbietet wohin das führt wirst du schon ahnen,
    das Proggi startet und stoppt bei 98% und dann sollst du den Anbieter kontaktieren der dir gegen ein kleines ENTGELT hilft.
    Solche Haie kenne ich schon seit Jahren, meist sind es die selben welche die Schadsoftware programmiert oder in Umlauf gebracht haben

    Gruß Stecki

    2 Mal editiert, zuletzt von Steckenbrunzer (29. August 2010 um 12:52)

    Wenn das Teil so hartnäckig ist....
    1. Führe bitte auf dem betroffenem System HiJackThis aus, damit wir mehr über das System wissen.
    http://hijackthis.de/
    (Download oben rechts)
    Den Inhalt der Log.-Datei hier mit der Klammer Code einfügen und dort selbst schon auswerten.

    2. Durchsuche den Computer im abgesicherten Modus von Windows mit Malwarebytes.
    Installieren und zunächst ein UpDate der Erkennungsregeln machen. Mache einen Fullscan und lasse eine Log-Datei erstellen, poste den Inhalt hier mit der Klammer Code.

    3. Wird etwas gefunden, freunde dich und deinem Kumpel mit dem Gedanken an, das System neu aufzusetzen.
    (alternativ ein Image nutzen)
    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern

    4. Sichere vorher die persönlichen Daten.

    HiJackThis hab ich auch gemacht und nix gefunden,
    das man ein befallenes System nicht säubern kann ist mir bekannt,
    es werden immer irgenwelche Leichen in der reg bleiben und andere Hinterlassenschaften
    Der Laptop mit WinXP pro SP3 aktuell, und über Acronis abgesichert auf anderer Partition und extern,
    denn die Systemwiederherstellung verspricht in diesem Fall auch keinen Erfolg

    Wie schon geschrieben werd ich mal ein Testsystem aufsetzen mit HijackThis testen
    und dann mit Babylon verseuchen und versuchen zu ergründen wo sich die malware versteckt hat

    Der Laptop läuft ja nach einer Löschung aller Firefox-Dateien und Neuinstallation von FF wieder,
    hat mich aber 3 Stunden gekostet um alle Möglichkeiten auszuschöpfen die toolbar wieder los zu werden

    gruß Stecki

    3 Mal editiert, zuletzt von Steckenbrunzer (29. August 2010 um 12:51)