Ständige Popups und ungewollte Internetweiterleitung nach Fehlklick bei MSN

Hallo,

ich habe im Messenger von MSN meinen Text eingeben wollen. Just in dem Moment als ich den Cursor auf das Textfeld klickte, ging ein Pop-Up auf, auf das ich in dieser Sekunde drückte. Was das genau war, weiß ich nicht mehr. Ich habe vermutlich einen Flash Player oder so was runtergeladen. Ging gar nicht anders. Jedenfalls gehen seitdem ständig 8 – 10 Pop-Ups mit Werbung für Klingeltöne auf und wenn ich im Browser die gewünschte URL eingebe, werde ich automatisch auf http://www.myhottersearchbox.com/not_found_de/?url=www.yahoo.de weitergeleitet. Wenn ich über den Verlauf Google eingebe und dort die gewünschte Seite eingebe, komme ich doch auf die entsprechenden Seiten, ansonsten nur auf die besagte searchbox.
Ich habe schon Ad-Aware (gekürztes Ergebnis im Anhang, da ursprünglich größer als 100KB) und den kompletten Viren-Scan (AntiVir) über den Rechner laufen lassen, aber der findet außer ein paar Cookies nix.
Zudem lässt sich der Task-Manager nicht mehr öffnen. D. h. er ist 1-2 Sekunden offen und schließt sich dann automatisch. Ob es etwas mit unserem Problem zu tun hat, weiß ich nicht.

Einen HJT log habe ich auch noch angehängt.

Kann mir hier jemand weiterhelfen, wie ich wieder ein normal funktionierendes System bekomme.

Danke

Gruß
Seal

 

Folgende Einträge fixen

Code:

 O13 - DefaultPrefix: http://www.myhottersearchbox.com/not_found_de/?url=
O13 - WWW Prefix: http://www.myhottersearchbox.com/not_found_de/?url=

Gruß kingjon

 

lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log

 

Trojaner ..

O4 - HKLM\..\Run: [scvhost] mirc.exe

Die Datei "mirc.exe" suchen und online auf Viren prüfen lassen

 

@Wolfgang77

Ich habe die Datei gefunden (sie ist aus dem August 2008) und mit Kapersky online auf Viren geprüft. Mit folgendem Ergebnis:

Zu überprüfende Datei: virus.zip - Infiziert (Ich musste ein zip-Archiv erstellen, da die Originaldatei für den File-Scanner zu groß war)

virus.zip/mirc.exe Infiziert: not-a-virus:Client-IRC.Win32.mIRC.603


Statistiken:
Bekannte Viren: 1660483 Updated: 21-01-2009
Größe der Datei (Kb): 794 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 1 Verdächtigt: 0

Gruß
Seal

 

@-humi-

Das log im Anhang

Gruß
Seal

 

hast du das nicht beheben lassen?

 

Ich sollte doch vorerst nichts beheben lassen.

 

ups da hatte ich meine Kutte zuweit über die Augen gezogen


1. Start im abgesichertem Modus (mehrmals F8 während Boot)


1.a. Malwarebytes- Scannen und Funde beheben lassen

1.b. lade dir Blacklight und lasse es über dein System

1.c.lade dir gmer und lasse damit dein System scannen+ bereinigen- poste anschl.das log


2. Neustart in normalen Modus
lasse dein system bitte mittels rsit scannen und poste das Log


Wobei ich mal hier anmerken muss:
Der Backdoor ist lt deiner Aussage aus dem August- sprich er hatte viel- sehr viel Zeit, um dein System zu verändern, Daten zu senden und wir können dir bei einer Bereinigung nicht garantieren, dass alles an Malware verschwunden ist

 

Hi,

danke für die Links. Werde also heute Abend die Sache mal angehen und die logs posten. Habe vorher aber noch ne Frage.

Soll ich auch die mit Blacklight gefundene Dateien entfernen?

Das was mich dabei nur wundert ist, dass die Probs mit den nervigen Popups und die Weiterleitungen auf andere Internetseiten erst seit ein paar Tagen auftreten, als ich aus Versehen falsch geklickt habe. Im Explorer steht hinter der Datei ein Datum aus dem August 2008. Das System lief bis vor Kurzen gut und Popup-frei.

Gruß
Seal

 

ja- aber bitte falls was gefunden wird posten

es kann sein dass der Trojaner am Anfang sehr ruhig war- und erst jetzt sein böses Gesicht zeigt...

 

Blacklight lässt sich leider nicht im abgesichertem Modus ausführen. Für Schritt 1b musste ich leider den Rechner normal hochfahren....

 

So, bin jetzt fertig.

1a. log im Anhang

1b. Blacklight hat nichts gefunden. Programm ließ sich allerdings im abgesichertem Modus nicht ausführen.

1c. log im Anhang. Programm hat nichts zum bereinigen gefunden. Ausführung wieder im abgesichertem Modus

2. log im Anhang

 

wurde mit mbam wieder nichts behoben?
diesmal hättest du beheben sollen

Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen

Code:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [scvhost] mirc.exe

Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\

 

Ähhhhh, eigentlich hatte ich behoben. Was hab ich da nur angehängt? Wahrscheinlich habe ich mittlerweile selber nen Trojaner. Gibts da auch Programme zum entfernen?

Habe nochmal gescannt + log angehängt.

 

den Trojaner hast du sicher...

und wir sind schon live dabei bzw eher am Ende

Die Datei "mirc.exe" suchen und löschen

lass dein System online scannen:
http://www.bitdefender.de/scan_de/scan8/ie.html


kommen die PopUps eigentlich nochimmer?

 

So, mittlerweile ist alles mit "mirc.exe" gelöscht und hoffentlich Geschichte.

Scan mit BitDefender wurde durchgeführt. Log im Anhang

Die nervigen PopUps kommen zum Glück nicht mehr. Ebenfalls gibt es keine ungewollten Weiterleitungen auf dämliche Internetseiten. Auch der Task Manager bleibt wieder geöffnet.

Scheint also wieder zu funktionieren. Dann mache ich wohl besser mal wieder ein Backup. Wozu fliegt hier sonst Acronis rum???

 

bitdefender findet ja noch immer was...

bevor wir die ganze Palette an Anti Malware drauf lassen... mein Tip setz neu auf und mach denn ein Backup- im jetzigen Zustand ist es nicht sinnvoll

 

Hmm, bevor ich jetzt den PC neu aufsetze (hab ich noch nie gemacht und davon auch keine Ahnung) ist mir eingefallen, dass ich noch ein Backup von Anfang August 2008 hier herumliegen habe. Das hat mir schon einmal geholfen, als mein PC zu Reparatur musste und danach alle Daten weg waren.

Spricht was gegen das Aufspielen dieses Backups mit anschließender Kontrolle durch die bislang eingesetzten Progrämmchen? Vielleicht war da noch nix schädliches vorhanden.

 

spricht nichts dagegen