Virus ??? http://67.201.36.16/nolink.html

  • Problem

  • icke44
  • 2002 Aufrufe 5 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Virus ??? http://67.201.36.16/nolink.html

    Hallo alle miteinander...

    Ich wollte mir gestern eine serie im Internet anschauen und bin wohl auf eine falsche Seite gelangt
    Seit dem machen sich ständig neue Fenster von Firefox auf..Sie verbinden mich auf folgende Seite 67.201.36.16/nolink.html

    Es werden meistens 2-3 Tabs geöffnet. Eins mit der oben angegeben Adresse, eins mit dem gesuchten begriff den ich ich bei google eingebe und meistens eine Seite wo forbidden steht... Ich habe Symantec schon drüber laufen lassen, der mir nichts angezeigt hatte...
    Allerdings hat mich Norton Antibot gewarnt und in Quarantäne verschoben...Allerdings hat sich das Problem nicht gelöst vielleicht kann mir ja hier jemand helfen...
    Ich bedanke mich und hoffe auf eure Antworten


    LG Icke

    ps: vielleicht ist das hilfreich


    Malwarebytes' Anti-Malware 1.41
    Datenbank Version: 3089
    Windows 5.1.2600 Service Pack 3

    02.11.2009 20:34:34
    mbam-log-2009-11-02 (20-34-26).txt

    Scan-Methode: Vollständiger Scan (C:\|)
    Durchsuchte Objekte: 140627
    Laufzeit: 24 minute(s), 45 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 1
    Infizierte Registrierungsschlüssel: 2
    Infizierte Registrierungswerte: 11
    Infizierte Dateiobjekte der Registrierung: 4
    Infizierte Verzeichnisse: 1
    Infizierte Dateien: 13

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    C:\WINDOWS\system32\pqrs.tmo (Backdoor.Bredavi) -> No action taken.

    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BtwSrv (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BTWSRV (Trojan.Agent) -> No action taken.

    Infizierte Registrierungswerte:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mBt (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udfa (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mfa (Backdoor.Bot) -> No action taken.

    Infizierte Dateiobjekte der Registrierung:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.SearchPage) -> Bad: (join.clonecashsystem.com/track…uMjYuMzEuMzUuMC4wLjAuMC4w) Good: (Google.com/) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe pqrs.tmo printer) Good: (Explorer.exe) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe) Good: (Userinit.exe) -> No action taken.

    Infizierte Verzeichnisse:
    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DealAssistant (Trojan.Agent) -> No action taken.

    Infizierte Dateien:
    C:\WINDOWS\system32\pqrs.tmo (Backdoor.Bredavi) -> No action taken.
    C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\spool.tmp (Rootkit.TDSS) -> No action taken.
    C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\VRTC9.tmp (Trojan.Agent) -> No action taken.
    C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0EKFE61A\w[1].bin (Backdoor.Bot) -> No action taken.
    C:\System Volume Information\_restore{B853F631-5E60-4203-A01D-86A3828A3AF0}\RP104\A0011778.dll (Adware.Mirar) -> No action taken.
    C:\System Volume Information\_restore{B853F631-5E60-4203-A01D-86A3828A3AF0}\RP104\A0011780.dll (Backdoor.Bot) -> No action taken.
    C:\WINDOWS\system32\opeia.exe (Backdoor.Bot) -> No action taken.
    C:\WINDOWS\Temp\41.tmp (Backdoor.Bredavi) -> No action taken.
    C:\WINDOWS\Temp\43.tmp (Backdoor.Bredavi) -> No action taken.
    C:\WINDOWS\Temp\idxb.tmp (Trojan.Sasfis) -> No action taken.
    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DealAssistant\config.cfg (Trojan.Agent) -> No action taken.
    C:\Clone Cash System.url (Malware.Trace) -> No action taken.
    C:\Dokumente und Einstellungen\Administrator\Favoriten\Clone Cash System.url (Malware.Trace) -> No action taken.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von icke44 ()

  • Hallo

    ich empfehle in solchen Fällen eigentlich ja immer ein Neuaufsetzen des BS bzw. das Einspielen von eines sauberen Images, denn dein System ist kompromittiert und nicht mehr vertrauenswürdig.
    Nicht mehr vertrauenswürdig heisst, dass Daten und Programme manipuliert sein könnten und das sensible Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind (z.B. Passwörter), an Dritte weitergegeben worden sein könnten. >> Schlussfolgerung: Passwörter etc. ändern!!!

    Wenn du es trotzdem versuchen möchtest, dann lösche den Cache, alle temporären Dateien und leere den Papierkorb (am besten mit CCleaner), deaktiviere die Systemwiederherstellung und führe einen Neustart durch und "begebe" dich mit F8 in den abgesicherten Modus, erstelle dann mit HijackThis ein Logfile, poste dieses hier und/oder lass es auf der Homepage vorab auswerten. Fixen von Einträgen aber erst, nachdem man dir hier weitere Empfehlungen zum Logfile gegeben hat.

    Lasse auch dein System von Spybot scannen.

    Gruss Totsch
    .....................Geld allein macht nicht glücklich. Es gehören auch noch Aktien, Beteiligungen, Gold und Grundstücke dazu.

  • Hallo

    danke erstmal für eure Antworten...
    Nein ich habe nix mit office gemacht ich wollte eine serie online schauen...
    Und das auf einer Amerikanischen Seite und dort habe ich mir den eingefangen...
    weil danach hat es angefangen so rum zu mukken :mad:...
    dann bleibt mir wohl nichts anderes übrig als den pc neue zu machen :rolleyes:

    danke nochmal

  • Also ich hab mir den auch auf irgendeiner Website eingefangen und ich bin das Ding nicht losgeworden obwohl Antivir nichts mehr gefunden hat und Spybot und Malwarebyte ebenfalls nicht.

    Konnte nicht mal mehr im Abgesichertem Modus starten um dort noch zu schauen und dann hab ich die Gelegenheit genutzt mein system neu aufzusetzen. (keine Ahnung ob es daran lag, aber bei mir hat er auch den Virenscanner deaktiviert den ich dann manuell gestartet habe)

    MfG Alman