Merkwürdiger Redirectwurm

E

enkore

0
Hi,
habe hier auf einem Laptop Opera 10 installiert und auch wohl irgendeinen Wurm drauf. Dieser Wurm leitet einen manchmal von der Google Ergebnisseite beim Klick auf ein Ergebnis woanders hin um. Soweit nichts besonderes. Aber: Die Zielseiten sind teilweise Werbeseiten von:
  • Telekom
  • Amazon
  • Ebay
  • Hypo Vereinsbank
  • Volksbank
  • Yahoo!
  • MSN/Microsoft
Und einigen (!) anderen - auch fremdsprachigen - Seiten.
Ich habe mich da mehrere male vergewissert, es SIND wirklich die Seiten von diesen Firmen.

Zumindest bei Amazon und der Volksbank kann ich mir irgendwie überhaupt nicht vorstellen, dass die mit einem Wurmhersteller zusammenarbeiten würden. Es ist definitiv kein Plugin/Toolbar oder sowas, sondern ein Wurm/Virus. Avira hat da nämlich einmal was in einem Opera-Modul (opera.dll) gemeldet, darauf war Avira... irgendwie weg :thumb_up:
Hm tja komische Geschichte irgendwie. Das ganze tritt auch nicht nur bei Opera sondern auch bei Firefox 3 und IE8 auf. Spybot S&D findet nichts bzw. stürzt auf mysteriöse Art und weise ab (und die Binary ist weg :eek:) - na warum wohl? :evil:

Tja jetzt bin ich erstmal mit meinem Latein am Ende. Avira und ein paar andere AVs von einer CD (heise c't Security Special CD) finden auch nichts oder stürzen auch ab - obwohl von CD gestartet...
 
Genau dasselbe Problem hatte ich gestern auch.
Bei mir war ein Proxy bei Opera eingetragen. Wenn man diesen Eintrag entfernt funktioniert alleswiedee bestens, aber seitdem meldet sich mein AntiVir alle 5 Minuten, sodass ich das Tool grade mal scannen lasse.
--
Enterprize1

Edit:
(ins falsche editiert)
Der AntiVir Code für das Ding ist TR/Crypt.ZPACK.Gen
 
Zuletzt bearbeitet:
Nein ein Proxy ist nicht eingetragen. Hosts-Datei ist auch clean (Livelinux). Gleiches Problem tritt btw. auch auf, wenn ich einen frischen Opera per Livelinux draufziehe und dann wieder unter WinXP starte.
 
Hmm es könnte auch sein, das der Proxy von meinem Hotspot Shield eingetragen wurde. Ich hb grade nochmal ein wenig mit Opera gesurft und festgestellt, das er mich immernoch manchmal weiterleitet, (auffalend oft zu ebay.com/iPhone). Ich bin mir reltaiv sicher, dass die Infektion von meinem Computer durch Java ermöglicht wurde, denn gestern startete plötzlich wähend dem surfen Java, ohne das ein Applet auf der Seite erkennbar war. Seitdem kommt wie schon erwähnt alle 5 Minuten die Meldung von AntiVir, dass im temp Verzeichniss eine dll-Datei mit random Dateinamen gefunden wurde (wenn ich das richtig deute ist das aber nur ein generischer Fund aufgrund eines merkwürdigen Pack-Programmes). Der Dateiname ändert sich bei jeder Meldung.
(der Scan hat bis jetzt noch nichts gefunden)

--
Enterprize1

Edit:
(ins falsche editiert)
Der AntiVir Code für das Ding ist TR/Crypt.ZPACK.Gen
 
Zuletzt bearbeitet:
Dito für den Code. Bei mir ists allerdings meistens die opera.exe/dll, firefox.exe und mshtml.dll (oder so)... Hmm wollte eh bald Win7 installieren^^
 
Falls es wirklich TR/Crypt.ZPACK.Gen ist, habt ihr eine Zeusbot-Variante.

Da diese Malware richtig eklig ist, würde ich euch beiden empfehlen den Rechner zu formatieren und neu aufzusetzen und danach alle Passwörter zu ändern.

Ansonsten könnt ihr ja auch mal die gängigen Removal-Tools für den Zeusbot ausprobieren. Allerdings wird diese Malware ständig weiterentwickelt und daher funktionieren nicht immer alle Removal-Tools.
Auf der sicheren Seite seid ihr wohl nur mit einer Neu-Installation.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben