Ich glaube mein Computer hat sich einen Virus eingefangen. Beschissen ist das … viele Webseiten gehen nicht mehr und ab und zu poppt ein nerviges Werbefenster auf. Außerdem kann sich weder mein Virenscanner (AVG) noch Adaware updaten. Auf einem anderen Computer klappt das problemlos.
Habe manuell das Update auf dem anderen Computer runtergeladen, aber der Scanner findet nichts. Na prima ;-)
So … ach ja, einige Domains sind (zufällig?) auf eine IP umgebogen: 93.190.140.217
Über die finde ich auch nichts. Nur diverse Forenbeiträge, die Werbefenster mit ähnlichen Werbeadressen zu sehen bekommen. Määääh …
*weiter such*
Update:
Na spitze … iamfamous.dll im Firefox gefunden. Und nen Keylogger … määäh, hoffentlich war’s das dann. Freu mich schon darauf alle meine Passwörter zu ändern :/
Update2:
Irgendwann zwischen 5 und 6 Uhr (ich konnte meinen armen kleinen Computer nicht so sitzen lassen) habe ich es dann glaube ich doch geschafft ihn von diesem Virus zu befreien. Eine genaue Beschreibung was der Virus macht gibt es in den Kommentaren zu lesen. Entfernt habe ich ihn durch das Programm Malwarebytes‘ Anti-Malware. Im normalen Modus erkannte es nichts und sagte ebenfalls, dass es keine neuen Updates gibt. Im abgesicherten Modus ließ es sich aktualisieren und fand dann einen „Trojan.Agent“ und „Trojan.DNSChanger“. Wurde beides von keinem anderen Tool gefunden, aber die habe ich auch nicht im abgesicherten Modus ausprobiert …
Die Entfernung des DNSChangers erforderte einen Neustart. Danach habe ich nochmal gescannt und nichts gefunden. Im normalen Windows Modus kommen jetzt keine Popups mehr und seriöse Seiten haben auch keine Viagra Werbung mehr. Scheint also alles ok zu sein. Sicherheitshalber ändere ich mal besser meine Passwörter.
Und dann frage ich mich wie ich mir das eingefangen habe (iamfamous.dll war etwas Firefox spezifisches, der Rest wirkte bei allen Browsern). Und vor allem wann … AVG ließ sich nämlich schon seit Mitte Dezember nicht mehr aktualisieren (und ich habe es dummerweise ignoriert). Die Popups kamen Anfang Januar das erste mal vor und die Pornowerbung auf Techcrunch ist mir erst vor ein paar Tagen aufgefallen. Hmm … jetzt ist es erstmal weg. Hoffe ich.
P.S.: Schon wieder was vergessen. Für die Entfernung musste ich die Systemwiederherstellung deaktivieren, da der Virus auch da drin war und so immer wiederhergestellt wurde. Fies :twisted:
Kommentare
12 Antworten zu „Böser Virus“
Schon die Hosts Datei angesehen? Eventuell hat da jemand bösartig mit Dir seine Spielchen gespielt:
[C:\Windows\System32\drivers\etc\hosts]
das wird (hoffe ich für dich) für die redirects verantwortlich sein.
Virenscanner kann ich Dir alternativ avast empfehlen.
http://www.avast.at/download.htm
viel Glück
Das war mein erster Verdacht. Auch der DNS Server passt noch …
Hab gerade den Text aktualisiert. iamfamous.dll ist wohl schuld :/
Hast du in letzter Zeit ein neues Plugin in FF gepackt?
Wenn ich so das Web querlese, könnte das daher kommen…
Keine Ahnung. Ich sehe keine ungewöhnlichen Dinge in meinem Firefox. Außerdem kann ich die Updateseiten diverser Antivirenprogramme und auch das Windows Update nicht aufrufen, in keinem Browser. Im Firefox werden außerdem manche Webseiten auf Google umgeleitet mit irgendwelchen Pornosuchbegriffen.
Adaware als auch Malwarebytes Dingensbumens finden nichts. AVG mit einer aktuellen Virendefinition (auf einem anderen Computer heruntergeladen) ebenfalls nichts.
Ich bekomme immer noch Popups mit den Adressen mtn5.goole.ws und popup.adv.net … ich bin laut Google nicht der einzige mit dem Problem. Määäh
Ach ja, es gibt ja wahnsinnig viele Sicherheitsforen … auf bleepingcomputer.com kann ich z.B. auch nicht zugreifen. Löst nicht auf … irgendwas läuft da was gesendete bzw. empfangene Daten modifiziert. Mit Wireshark sieht man ziemlich genau was da so zurückkommt … nichts. Määääh!
Im Internet Explorer kommen die gleichen Popups wenn man den automatischen Blocker ausschaltet … und ich finde nichts. Gehe jetzt erstmal schlafen … so ein SCHEIß!!!
Ach so, bevor ich es vergesse … das Ding ersetzt auch die Werbung auf diversen seriösen Webseiten. So ist z.b. Techcrunch voller Viagra Werbung (ich sehe auf dem anderen Computer, dass es eigentlich Google Adsense Blöcke sein sollten). Auch ein Grund warum ich diesen Virtual Sex Beitrag geschrieben habe … fand es zu komisch das mit all der „neuen“ Viagra Werbung zu sehen …
sehr ärgerliche sache… viel glück beim hoffentlich schnellen entfernen, und danke für den hinweis. ich kannte den virus bis jetzt nicht, und hab demnach keinen schimmer wie man das ding entfernen könnte.
http://www.winfuture-forum.de/index.php?act=Print&client=printer&f=34&t=156307
Und welcher Virenscanner hat denn nun funktioniert?
Oder war es Hand-/Googlearbeit?
Bin doch noch die halbe Nacht drangesessen … Malwarebytes‘ Anti-Malware hat funktioniert (hoffe ich) … ich trag das mal im Beitrag nach …
Moin Sebi
das gleiche Problem hatte ich Ende vergangenes Jahr auch … dachte, ich wäre mit Kaspersky AV 2009 sicher … Pustekuchen.
Habe dann den PC stundenlang mit der Linux-Virenscanner-CD von heise geprüft – auch nix.
Erst Malwarebytes’ Anti-Malware hat hier etwas gefunden; also flog Kaspersky wieder von der Platte …
Dann bin ich auch NOD32 umgestiegen, habe alle Scanner hochgeschraubt.
Ärgerlich war nur: das Scheiß-Teil hat sich in die Systemwiederherrstellung gesetzt und sich somit immer neu installiert. Also mit TuneUp sämtliche Wiederherstellungspunkte löschen.
Seitdem ich NOD32 drauf habe, habe ich Ruhe … aber soetwas ist immer verdammt ärgerlich …