[HaBo]

Extinction · 22.08.07, 16:58

Hallo!
Ich habe ein Problem mit einer ->!WIRKLICH!<- kuriosen Malware. Sie scheint sich über einen Downloadmanager von dieser Seite eingeschleust zu haben:
h**p://www.file2you.net
Dann und wann öffnet sich bei mir der Internet Explorer und zeigt Werbung. Ich hab den Downloadmanager dann sofort wieder gelöscht, aber der Terror geht weiter... :.(
Vieleicht liegts auch woanders drann. Aber das ist das Letzte, was ich installiert/gedownloaded hab, bevor das zum ersten Mal passiert ist.

Der Virenscanner schlägt keinen Alarm. Ich benutze "Avast!" antivirus. Jetzt bin ich auf die Idee gekommen, das Programm mit dem Scanner H*J*T* zu kicken. Jetzt kommt aber das Kuriose:
Jedes mal, wenn ich eine Internetseite aufrufen will, in der der Name des besagten Programms vorkommt, schließt sich mein Browser. Auch wenn es z.B. nur chip.de ist!
Darum hab ich den Namen auch zensiert, hoffe ich komme nach dem Erstellen des Threads noch hier rein :/

Dann hab ich mich dran erinnert, dass ich noch eine alte Version auf dem PC habe. Denkst de! Sobald ich das rar Archiv öffne: Zack, wirds auch schon wider geschlossen. Ich hab das Archiv umbenannt, dann auf "hier entpacken" gedrückt. Das geht. Aber selbst wenn ich die Exe noch umbennene, schließt das Programm sofort nach dem öffnen.
Vor der Sache mit der Rar-Datei, dachte ich noch, das währe bloß Zufall. Sowas hab ich noch nicht gesehen. :C
Hab auch schon die Registry geprüft. Da ist nichts besonderes zu finden. Hat einer eine Idee, wie ich die malware jetzt loswerde?

Ich lade später nochmal screens von meinen Hintergrundprozessen hoch. hab grad keine Zeit mehr.
Danke im Vorraus,
Extinction

Habe den Namen des Scanners editiert, führe die Threads nun zusammen. Allerdings warte ich nur darauf, dass jemand den Namen postet. Bitte sei so nett und verzichte künftig darauf, solche Links als direkte Links zu setzen, sonst klickt der nächste drauf. Habs mal entschärft. SUID:root

Extinction · 22.08.07, 17:01

Leider hat mein Zensier-Versuch nicht geklappt. Sobal ich den Thread öffne: Browser dicht -.-°

Antworten bitte hier rein. Oder ein Mod muss den Namen des Programms entfernen plz >.>

Anzeige

- Anzeige -

**bitmuncher** · 22.08.07, 17:03

Versuch es mal mit Spybot Search&Destroy. Den sollte man eh immer installiert haben unter Windows um ungewollte Aenderungen an der Registry zu unterbinden und auch beim Entfernen von Spy- und Malware ist der ganz brauchbar.

Snake? · 22.08.07, 17:11

Dann antworte ich auch mal hier. Versuch das besagte Programm, welches sofort schließt mal im abgesicherten modus (F8 beim starten des PC's drücken) zu starten.

Extinction · 22.08.07, 19:54

Der Spybot Search&Destroy hat nicht funktioniert. Das selbe Syndrom wie bei Hijack this. Hab den PC im abgesicherten Modus gestartet und vorher alle autostart Elemente entfernt die ich nicht kenne. Hijack this hat mehrere gefunden:

Code:

O1 - Hosts: 209.85.129.147 +  
 Fuzzy Algorithmusprüfung (2.83 / 5.00), Schädlich 

O4 - HKLM\..\Run: [Explorer] C:\WINNT\iexplorer.exe  
 Unbedingt fixen! Added by the NETHIEF-O TROJAN! 

C:\WINNT\iexplorer.exe  
 Dies ist ein schädlicher Prozess! Den Prozess sollten Sie fixen und manuell löschen!
Backdoor.Agobot

Sehr lustig, den als "iexplorer.exe" zu tarnen :/
Auf jeden Fall geht's jetzt wieder, weil Hijack this den Kram fixen konnte.

genature · 25.08.07, 18:17

da es eine Backdoor war musst du evtl damit rechnen, das dein System bereits nachhaltig verändert wurde. Am besten gleich neu aufsetzten!
Hijack this hat möglicherweise nur die direkt betroffenen Dateien gefixt. Du kannst nicht wissen was über die Backdoor bereits alles getan wurde...

--> hilfreich auch Kompromittierung

Anzeige

- Anzeige -

22.08.07, 16:58	#1 (permalink)
Extinction Registriert seit: 02.01.07 Likes: 0	Ah! SEHR kuriose Malware! Anzeige Hallo! Ich habe ein Problem mit einer ->!WIRKLICH!<- kuriosen Malware. Sie scheint sich über einen Downloadmanager von dieser Seite eingeschleust zu haben: h*p://www.file2you.net Dann und wann öffnet sich bei mir der Internet Explorer und zeigt Werbung. Ich hab den Downloadmanager dann sofort wieder gelöscht, aber der Terror geht weiter... :.( Vieleicht liegts auch woanders drann. Aber das ist das Letzte, was ich installiert/gedownloaded hab, bevor das zum ersten Mal passiert ist. Der Virenscanner schlägt keinen Alarm. Ich benutze "Avast!" antivirus. Jetzt bin ich auf die Idee gekommen, das Programm mit dem Scanner HJT zu kicken. Jetzt kommt aber das Kuriose: Jedes mal, wenn ich eine Internetseite aufrufen will, in der der Name des besagten Programms vorkommt, schließt sich mein Browser. Auch wenn es z.B. nur chip.de ist! Darum hab ich den Namen auch zensiert, hoffe ich komme nach dem Erstellen des Threads noch hier rein :/ Dann hab ich mich dran erinnert, dass ich noch eine alte Version auf dem PC habe. Denkst de! Sobald ich das rar Archiv öffne: Zack, wirds auch schon wider geschlossen. Ich hab das Archiv umbenannt, dann auf "hier entpacken" gedrückt. Das geht. Aber selbst wenn ich die Exe noch umbennene, schließt das Programm sofort nach dem öffnen. Vor der Sache mit der Rar-Datei, dachte ich noch, das währe bloß Zufall. Sowas hab ich noch nicht gesehen. :C Hab auch schon die Registry geprüft. Da ist nichts besonderes zu finden. Hat einer eine Idee, wie ich die malware jetzt loswerde? Ich lade später nochmal screens von meinen Hintergrundprozessen hoch. hab grad keine Zeit mehr. Danke im Vorraus, Extinction Habe den Namen des Scanners editiert, führe die Threads nun zusammen. Allerdings warte ich nur darauf, dass jemand den Namen postet. Bitte sei so nett und verzichte künftig darauf, solche Links als direkte Links zu setzen, sonst klickt der nächste drauf. Habs mal entschärft. SUID:root

22.08.07, 17:01	#2 (permalink)
Extinction Themenstarter Registriert seit: 02.01.07 Likes: 0	Antworten auf: Ah! SEHR kuriose Malware! Leider hat mein Zensier-Versuch nicht geklappt. Sobal ich den Thread öffne: Browser dicht -.-° Antworten bitte hier rein. Oder ein Mod muss den Namen des Programms entfernen plz >.>

22.08.07, 17:03	#3 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Versuch es mal mit Spybot Search&Destroy. Den sollte man eh immer installiert haben unter Windows um ungewollte Aenderungen an der Registry zu unterbinden und auch beim Entfernen von Spy- und Malware ist der ganz brauchbar. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

22.08.07, 19:54	#5 (permalink)
Extinction Themenstarter Registriert seit: 02.01.07 Likes: 0	Der Spybot Search&Destroy hat nicht funktioniert. Das selbe Syndrom wie bei Hijack this. Hab den PC im abgesicherten Modus gestartet und vorher alle autostart Elemente entfernt die ich nicht kenne. Hijack this hat mehrere gefunden: Code: O1 - Hosts: 209.85.129.147 + Fuzzy Algorithmusprüfung (2.83 / 5.00), Schädlich O4 - HKLM\..\Run: [Explorer] C:\WINNT\iexplorer.exe Unbedingt fixen! Added by the NETHIEF-O TROJAN! C:\WINNT\iexplorer.exe Dies ist ein schädlicher Prozess! Den Prozess sollten Sie fixen und manuell löschen! Backdoor.Agobot Sehr lustig, den als "iexplorer.exe" zu tarnen :/ Auf jeden Fall geht's jetzt wieder, weil Hijack this den Kram fixen konnte.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

22.08.07, 17:11	#4 (permalink)
Snake? Registriert seit: 25.01.05 Likes: 0	Dann antworte ich auch mal hier. Versuch das besagte Programm, welches sofort schließt mal im abgesicherten modus (F8 beim starten des PC's drücken) zu starten.

25.08.07, 18:17	#6 (permalink)
genature Registriert seit: 20.08.07 Likes: 0	da es eine Backdoor war musst du evtl damit rechnen, das dein System bereits nachhaltig verändert wurde. Am besten gleich neu aufsetzten! Hijack this hat möglicherweise nur die direkt betroffenen Dateien gefixt. Du kannst nicht wissen was über die Backdoor bereits alles getan wurde... --> hilfreich auch Kompromittierung

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Malware - System Volume Information	Mani	Virenschutz · Tools & Aggressive Software	4	29.04.09 22:07
CrackMes mit Malware...	]=-antr4xx-=[	Hacks & Crackmes	1	22.01.08 17:38
Malware auf Abo	Mailyn	Off topic-Zone	1	27.02.07 22:54
Sehr Aufklärendes Malware Programm gesucht	Bogus	Downloads	1	23.06.06 11:09
Hattet ihr schon Malware drauf?	v01d	Umfragen	9	27.06.05 12:20

[HaBo]

Ah! SEHR kuriose Malware!