Sicherheit
Tom
- browser
0 Bert Randolf0 Tom
0 Thomas Meinike0 Cheatah0 Frank (no reg)0 Tom
0 Tom0 Frank (no reg)0 Tom
Hello,
es ist mal wieder passiert. Der dämlich IE hat sich wieder was eingefangen, trotz nod32.
Ich habe die wunderbare Suchseite mit HiJackRhis entfernt und auch alle anderen suspekten Programme, die ich finden konnte.
Ein Dialer hatte sich auch eingeschlichen.
Es scheint aber leider ein richtig giftiger Virus zu sein. Ich bekomme ihn nicht weg. Nachdem Windows neu gestartet wurde, sind die Einträge in der Registry wieder drin.
Es gibt kein Programm unter Autostart, keins unter load= oder run=
Wo kann sich denn sonst noch ein Eintrag verstecken?
Wo werden die übrigen Startoptionen eingestellt? Ich habs leider vergessen.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
Moin,
hastes schon mal mit Spybot S&D versucht :)
Bert
Hello,
hastes schon mal mit Spybot S&D versucht :)
Ja, gerade. Aber die Seite kommt trotzdem immer wieder. Und dann noch das lakonische Popup dazu "Your System infected... click here"
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
Moin,
:(
http://avast.com, http://www.lavasoft.de/software/adaware/
ansonsten nach dem "runonce" oder "runonceex" in der registry suchen, weil da kann sich der mist auch immer selbst und wieder eintragen.
Bert
Hallo,
Wo kann sich denn sonst noch ein Eintrag verstecken?
Wo werden die übrigen Startoptionen eingestellt?
Rufe mal "msconfig" auf -- speziell unter "Autostart" koennte etwas zu finden sein.
MfG, Thomas
Hi,
Nachdem Windows neu gestartet wurde, sind die Einträge in der Registry wieder drin.
installiere auch mal http://www.neuber.com/taskmanager/deutsch/ (Shareware, aber von ein paar nervigen Messageboxen abgesehen von Anfang an gut nutzbar).
Es gibt kein Programm unter Autostart, keins unter load= oder run=
Wo kann sich denn sonst noch ein Eintrag verstecken?
Es gibt auch einige recht gute (und teilweise kostenlose) Konfigurationstools für Windows, die Dir sämtliche Autostart-Programme anzeigen können. Leider kann ich da gerade keinen Namen nennen; im Zeitschriftenregal findet man üblicherweise eine Handvoll Heft-CDs mit solchen Tools.
Cheatah
Hi,
versuche doch für die nächsten Gehversuche im Internet die
Zoneneinstellung "Extras -> Internetoptionen -> Sicherheit => Zonen"
entsprechend anzupassen, dass du gewöhnlichen Sites in der
Zone "Internet" kein ActiveX, ActiveScripting, IFrames etc
mehr erlaubst.
Es gibt u.a. noch win.ini, start.ini. (Früher mal sehr beliebter
Einsatzpunkt für Virii).
Wenn der Virus trotz Scan (Erkennen, Entfernen) nicht weggehen
will, hat er wahrscheinlich eine entsprechende Datei in der Systemwiederherstellung infiziert, die nun bei jedem Bootvorgang
die originale infizierte Datei (und von AV-SW reparierte) wieder
ersetzt.
Ciao, Frank
Hello,
Wenn der Virus trotz Scan (Erkennen, Entfernen) nicht weggehen
will, hat er wahrscheinlich eine entsprechende Datei in der Systemwiederherstellung infiziert, die nun bei jedem Bootvorgang
Es ist ein Windows98SE-Platz
Ich nehme ja inzwischen meistens den Firefox. Aber heute Morgen habe ich ganz mechanisch auf IE geclickt und habe mittels Google was gesucht. Leider war es dann nicht die gewünschte medizinische Information auf der Seite, sondern "Buy Viagra" und schon wars passiert. Der NOD32 hat noch kurz gezuckt und Löschen angeboten (was ich bestätigt habe) war aber wohl zu spät.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
... "Win98" ...
aha, dann scheidet Systemwiederherstellung aus :-)
versuch doch mal in win.ini bzw. system.ini zu schauen
Was sagt denn der Virenscanner beim Scannen? Erkennt er etwas?
Bei Win98 gibt es imho auch einen abgesicherten Modus bzw. einen
Kommandozeilenstart, versuch doch von dort den Virenscanner (falls
möglich) laufen zu lassen, oder boote von einer CD mit Virenscanner.
HTH, Frank
Hello,
vermelde Erfolg. System läuft wieder rund.
Mit vereinten Kräften und mehrmaligen Versuchen haben nod32, HiJackThis und SpyBot die Bösewichter gefunden. Allerdings erst, nachdem ich nach "neuen Dateien" gesucht hatte und auch ein paar gelöscht habe, speziell diese sp.html. Die Kam nämlich gar nicht mehr aus dem netz, sondern von der lokalen Platte.
Und die Pfiffis hatten es geschafft, den Link für den IE-Aufruf zu manipulieren und diese Seite gleich an den IE zu übergeben. Die hat dann mit JavaScript & Co. den Rest besorgt.
Ich hätte sie nicht löschen sollen, sondern nur unter Quarantäne stellen. Hätten wir gleich ein schönes Betrachtungsobjekt für die ISS gehabt.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
Hi,
na, du hast doch bestimmt noch den Link zu der Viagra-Seite ;-)
Nod32 ... ist das Ding empfehlenswert ?
Gruß, Frank
Hello,
na, du hast doch bestimmt noch den Link zu der Viagra-Seite ;-)
Nod32 ... ist das Ding empfehlenswert ?
Jein. Die Testversion hält immer nur vier Wochen. Dann musst DU sie deinstallieren und kannst dann neu installieren. Wenn due sie nicht entfernst, zerlegt sie sich irgendwann von alleine.
Das Tool ist auf jeden Fall fürs Internet besser, als die AntiVir-Version. Die entfernt dafür ja auch "echte" Viren, ist aber für *äh, gegen* Würmer & Co. nicht so toll.
Das nod32 hat aber bei mir nun auch schon dreimal versagt. Speziell diese hinterv...igen Tricks mit den JavaScript-Lücken in Webseiten kennt es wohl nicht alle. Beim eMail-Scan hat es erst einmal versagt. Und ich bekomme bestimmt 250 emails am Tag, davon ca 80% "You have Müll"
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
Okay, danke dir für die Infos. Dann werde ich wohl die Finger von diesem Tool lassen.
Ciao, Frank