Einer meiner Rechner hat seit ein paar Tagen ein Problem: Mit dem Start des Rechners erhalte ich eine Meldung, ob ich "Virusschlacht" installieren möchte, siehe Dateianhänge, anschließend wird eine Internetseite aufgerufen. Wer hat für mich ein wirksames Gegenmittel? (Ich nutze als Anti-Viren Programm Avira AntiVir Personal Edition, dieses Programm scheint nichts zu finden)
"Virusschlacht"
-
- PC-Virus:
- Poldi
-
-
-
Der dort empfohlene "SpyHunter" kostet aber auch Geld und verlangt eine Internet-Verbindung.
-SCHEUCH-
-
Danke Ingo, ich werde berichten, ob das Programm erfolgreich war.
-
Zitat
Original von Scheuch
Der dort empfohlene "SpyHunter" kostet aber auch Geld und verlangt eine Internet-Verbindung.-SCHEUCH-
Ich dachte eigentlich mehr an die dort beschriebene "manuelle" Entfernung.
-
Der erste Versuch ist leider fehlgeschlagen, was aber wahrscheinlich an meiner Fehlbedienung lag. Ich bleib dran!
-
Hast Du es im abgesicherten Modus versucht?
-SCHEUCH-
-
Hat geklappt, danke Ingo!
Jetzt habe ich gerade ein neues Problem festgestellt: Wenn ich auf Google-Ergebnisse klicke, dann werde ich auf eine kommerzielle Seite (z. B. Ebay oder Amazon) weitergeleitet, auf der ich den Suchbegriff erwerben kann. Gehe ich auf zurück und klicke den Link noch einmal an, dann lande ich auf der gewünschten Seite!?!
Beispiel: Ich google "Jules Verne", der erste gefundene Beitrag ist der von Wikipedia, ich klicke darauf und werde hierhin weitergeleitet: http://www.monstermarketplace.…archw53.asp?q=jules+verne
Ich klicke auf ZURÜCK, und lande (aha, das ist neu) wieder woanders: http://www.mamma.com/Mamma?query=jules+verne
Gleiches Spiel: http://puntosmedia.com/
...und beim vierten Versuch lande ich dann da, wo ich hinwill: http://de.wikipedia.org/wiki/Jules_VerneHat jemand eine Idee?
-
Mist, die dämliche Virusschlacht ist auch wieder da...!
-
Da hilft wohl nur: platt machen und neu aufsetzen.
-
schau mal zunächst ob cureit das problem findet und beseitigen kann.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
falls nicht zieh mal bitte einen report mit rkunhooker 3.8 und poste ihn hier.
das tool gibt's hier:
http://rapidshare.com/files/13…0/RkU3.8.341.552.rar.html
click "report" kachel
click "scan"
cut & paste den output und hier posten. -
Zitat
Original von jcy
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Das Programm hat nichts gefunden.ZitatOriginal von jcy
das tool gibt's hier:
http://rapidshare.com/files/13…0/RkU3.8.341.552.rar.html
Wie komme ich da ran? Bei mir wird immer eine html-Seite runtergeladen. -
ich schicke dir gleich eine PM
-
Hi Johnny, zunächst mal vielen Dank!
Vielleicht ein erster Hinweis? Beim Ausführen des Programms RkUnhooker bekomme ich schon folgende Fehlermeldung, siehe Dateianhang:
-
Zitat
Original von Poldi
Hi Johnny, zunächst mal vielen Dank!Vielleicht ein erster Hinweis? Beim Ausführen des Programms RkUnhooker bekomme ich schon folgende Fehlermeldung, siehe Dateianhang:
manchmal muss man versuchen rku 2-3 hintereinander zu starten.
falls das immer noch nicht geht, wäre mal interessant zu wissen, mit was für einem OS du rumturnst. dann kann ich den entwicklern mal bescheid geben.
-
Leider 10 erfolglose Startversuche...
OS: W2K-SP4
-
probier bitte mal als erstes alternative 2 tools aus und mach mal einen report nach dem scannen.
http://www2.gmer.net/beta/gmer.exe
und
-
Um GMER zu starten, hatte ich den Explorer gestartet und ich bekam direkt eine Virenmeldung, siehe Dateianhang! (Vielleicht war es das schon? Ich habe die Datei löschen lassen)
GMER ist gerade fertig:
Zitat
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-18 18:08:48
Windows 5.0.2195 Service Pack 4---- System - GMER 1.0.14 ----
SSDT 816FDE3C ZwCreateThread
SSDT 816FDE28 ZwOpenProcess
SSDT 816FDE2D ZwOpenThread
SSDT 816FDE37 ZwTerminateProcess
SSDT 816FDE32 ZwWriteVirtualMemory---- Kernel code sections - GMER 1.0.14 ----
? C:\WINNT\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
Device \Driver\FCUSB \Device\FreecomDrive1000 FCCable.SYS (Freecom Cable - ATAPI Port Driver/Freecom Technologies)
Device \Driver\FCUSB \Device\FreecomCable10 FCCable.SYS (Freecom Cable - ATAPI Port Driver/Freecom Technologies)AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- Files - GMER 1.0.14 ----
File C:\Dokumente und Einstellungen\Aldi\Cookies\aldi@hood[2].txt 119 bytes
File C:\Dokumente und Einstellungen\Aldi\Cookies\aldi@delcampe[2].txt 121 bytes---- EOF - GMER 1.0.14 ----
-
Zitat
Original von jcy
http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip
Bei diesem Programm habe ich unter "Advanced Scan" zweimal den "General Scan" gestartet, beide Male mit dem Ergebnis, dass der Rechner abgestürzt ist, indem er nach kurzer Scanzeit einfach rebootet hat.Oder welchen Test soll ich machen?
-
ok, zwar komisch, dass bei dir die anti-rootkit tools alle so instabil laufen (hatte noch nie probleme damit), aber sei es drum.
avira hat ein internet explorer BHO (browser helper object) gefunden, was wahrscheinlich die ursache war.
über icesword findet man die auch leicht über das tab "functions" ---> BHO
die liste gibt auskunft über installierte BHOs.
grundsätzlich erstmal nix böses, da auch die googletoolbar, der adobe reader etc. BHOs sind. allerdings sind auch manchmal trojaner BHOs.click mal bitte noch zur kontrolle im icesword auf "functions" ----> startup
und dann oben auf das "log" icon und speicher den output mal ab und poste ihn hier.
nur nochmal zur kontrolle!