Ah! SEHR kuriose Malware!

Hallo!
Ich habe ein Problem mit einer ->!WIRKLICH!<- kuriosen Malware. Sie scheint sich über einen Downloadmanager von dieser Seite eingeschleust zu haben:
h**p://www.file2you.net
Dann und wann öffnet sich bei mir der Internet Explorer und zeigt Werbung. Ich hab den Downloadmanager dann sofort wieder gelöscht, aber der Terror geht weiter... :.(
Vieleicht liegts auch woanders drann. Aber das ist das Letzte, was ich installiert/gedownloaded hab, bevor das zum ersten Mal passiert ist.

Der Virenscanner schlägt keinen Alarm. Ich benutze "Avast!" antivirus. Jetzt bin ich auf die Idee gekommen, das Programm mit dem Scanner H*J*T* zu kicken. Jetzt kommt aber das Kuriose:
Jedes mal, wenn ich eine Internetseite aufrufen will, in der der Name des besagten Programms vorkommt, schließt sich mein Browser. Auch wenn es z.B. nur chip.de ist!
Darum hab ich den Namen auch zensiert, hoffe ich komme nach dem Erstellen des Threads noch hier rein :/

Dann hab ich mich dran erinnert, dass ich noch eine alte Version auf dem PC habe. Denkst de! Sobald ich das rar Archiv öffne: Zack, wirds auch schon wider geschlossen. Ich hab das Archiv umbenannt, dann auf "hier entpacken" gedrückt. Das geht. Aber selbst wenn ich die Exe noch umbennene, schließt das Programm sofort nach dem öffnen.
Vor der Sache mit der Rar-Datei, dachte ich noch, das währe bloß Zufall. Sowas hab ich noch nicht gesehen. :C
Hab auch schon die Registry geprüft. Da ist nichts besonderes zu finden. Hat einer eine Idee, wie ich die malware jetzt loswerde?

Ich lade später nochmal screens von meinen Hintergrundprozessen hoch. hab grad keine Zeit mehr.
Danke im Vorraus,
Extinction

Habe den Namen des Scanners editiert, führe die Threads nun zusammen. Allerdings warte ich nur darauf, dass jemand den Namen postet. Bitte sei so nett und verzichte künftig darauf, solche Links als direkte Links zu setzen, sonst klickt der nächste drauf. Habs mal entschärft. SUID:root
 
Antworten auf: Ah! SEHR kuriose Malware!

Leider hat mein Zensier-Versuch nicht geklappt. Sobal ich den Thread öffne: Browser dicht -.-°

Antworten bitte hier rein. Oder ein Mod muss den Namen des Programms entfernen plz >.>
 
Versuch es mal mit Spybot Search&Destroy. Den sollte man eh immer installiert haben unter Windows um ungewollte Aenderungen an der Registry zu unterbinden und auch beim Entfernen von Spy- und Malware ist der ganz brauchbar.
 
Dann antworte ich auch mal hier. Versuch das besagte Programm, welches sofort schließt mal im abgesicherten modus (F8 beim starten des PC's drücken) zu starten.
 
Der Spybot Search&Destroy hat nicht funktioniert. Das selbe Syndrom wie bei Hijack this. Hab den PC im abgesicherten Modus gestartet und vorher alle autostart Elemente entfernt die ich nicht kenne. Hijack this hat mehrere gefunden:
Code:
O1 - Hosts: 209.85.129.147 +  
 Fuzzy Algorithmusprüfung (2.83 / 5.00), Schädlich 

O4 - HKLM\..\Run: [Explorer] C:\WINNT\iexplorer.exe  
 Unbedingt fixen! Added by the NETHIEF-O TROJAN! 

C:\WINNT\iexplorer.exe  
 Dies ist ein schädlicher Prozess! Den Prozess sollten Sie fixen und manuell löschen!
Backdoor.Agobot
Sehr lustig, den als "iexplorer.exe" zu tarnen :/
Auf jeden Fall geht's jetzt wieder, weil Hijack this den Kram fixen konnte. :D
 
da es eine Backdoor war musst du evtl damit rechnen, das dein System bereits nachhaltig verändert wurde. Am besten gleich neu aufsetzten!
Hijack this hat möglicherweise nur die direkt betroffenen Dateien gefixt. Du kannst nicht wissen was über die Backdoor bereits alles getan wurde...


--> hilfreich auch Kompromittierung
 
Zurück
Oben