| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google Re-Direct Virus scheinbar verschwunden, aber ist der Rechner jetzt sauber...?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.02.2012, 21:56
| #1 |
 |  Google Re-Direct Virus scheinbar verschwunden, aber ist der Rechner jetzt sauber...? Hallo, ich hatte (?) ebenfalls den Google Re-Direct Virus, d.h. wenn ich in Google Seiten angeklickt habe, bin ich meistens auf anderen Seiten gelandet, z.T. auf scheinbar harmlosen, z.T. aber auch auf Seiten, die von Avira geblockt wurden. Nach einigen unwirksamen Bekämpfungsversuchen u.a. mit Trojan-Killer hat - nach Tipp aus diesem Forum - Malwarebytes scheinbar aufgeräumt, und die Weiterleitung findet nicht mehr statt. (2 Logfiles von Malwarebytes s.u.; einmal ein aktueller von heute ohne Fund und einer mit den entdeckten Trojanern) Ich wollte anschließend wie hier im Forum empfohlen, auch Trojan Remover durchlaufen lassen; dieser bricht aber nach 1% des Scans bei "Registry Run Keys" ab und gibt folgende Altert-Meldung: "The Windows Registry attempts to load this file at boot time: Einstellungen\Besitzer\Anwendungsdaten\E4970\5F0DE.exe A file with this name has not been found (it may be hidden) The file is loaded by the following Registry key: HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon Registry Value Name: Shell This reference may be loading hidden Malware Select required action: o Remove this reference and disable the file by renaming it" Bedeutet das, das der Rechner noch nicht sauber ist...? Vielen Dank für Eure Tipps dazu! Rembrandt P.S. Vor Malwarebytes hatte Aviara übrigens noch folgendes gefunden: Trojaner: - TR/Crypt.ZPACK.Gen8 - TR/Trash.Gen Backdoorprogramme: - BDS/Cycbot.G.967 - BDS/Cycbot.G.982 - BDS/Cycbot.172032.7 Diese hatten zeitweise den Avira-Update blockiert, nach dem Durchlauf mit Malwarebytes scheint aber auch das wieder in Ordnung zu sein. Die Logs dazu kann ich gerne posten. aktueller Logfile Malwarbytes: Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.11.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 Besitzer :: BLM-5328AD14E8C [Administrator] 11.02.2012 18:25:59 mbam-log-2012-02-11 (18-25-59).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 214795 Laufzeit: 2 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) älterer Logfile Malwarebytes mit gefundenen Trojanern: Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.04.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 Besitzer :: BLM-5328AD14E8C [Administrator] 04.02.2012 17:04:01 mbam-log-2012-02-04 (17-04-01).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 213279 Laufzeit: 5 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 3 C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\E4970\5F0DE.exe (Trojan.Dropper.PE4) -> 260 -> Löschen bei Neustart. C:\Programme\LP\DE2E\04D.exe (Trojan.Dropper.PE4) -> 532 -> Löschen bei Neustart. C:\Programme\7082E\lvvm.exe (Trojan.Dropper.PE4) -> 3592 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 3 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|04D.exe (Trojan.Dropper.PE4) -> Daten: C:\Programme\LP\DE2E\04D.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Backdoor.CycBot) -> Daten: C:\Programme\7082E\lvvm.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Daten: http=127.0.0.1:62020 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Dropper.PE4) -> Bösartig: (C:\Programme\7082E\lvvm.exe) Gut: () -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\E4970\5F0DE.exe (Trojan.Dropper.PE4) -> Löschen bei Neustart. C:\Programme\LP\DE2E\04D.exe (Trojan.Dropper.PE4) -> Löschen bei Neustart. C:\Programme\7082E\lvvm.exe (Trojan.Dropper.PE4) -> Löschen bei Neustart. (Ende) |
| Themen zu Google Re-Direct Virus scheinbar verschwunden, aber ist der Rechner jetzt sauber...? |
| administrator, autostart, avira, backdoor.cycbot, besitzer, blockiert, boot, dateien, dateisystem, explorer, folge, forum, geblockt, gelöscht, google, heuristiks/extra, heuristiks/shuriken, logfiles, löschen, malwarebytes, microsoft, registry, registry key, required, seite, seiten, software, temp, trojaner, virus, weiterleitung, windows |
Baum-Darstellung