Mögliches Duplikat:
Was kann ich tun, wenn mein Computer mit einem Virus oder Malware infiziert ist?
Ich habe mir einen PC angesehen, dessen Benutzer sich darüber beschwert hatte, dass er keine Verbindung zum Internet herstellen konnte und dass der PC zufällig neu startete.
Auf dem PC läuft WinXP SP3. Bei der Überprüfung stellte ich fest, dass der Wireless Zero Configuration-Dienst gestoppt war. Ich aktivierte ihn und das Internet war wieder da (der PC war über WLAN verbunden). Dann startete ich Firefox und navigierte zu gmail.com. Ich startete kein anderes Programm, außer ein paar Explorer-Fenstern.
In diesem Moment bemerkte ich, dass ein Fenster aufgetaucht war (es war kein Popup). Es hatte das Explorer-Ordnersymbol und anstelle des Explorer-Ordnerinhalts wurde eine Hotmail-Seite angezeigt, auf der ein Benutzer namens „Homer Stinson“ angemeldet war. Die Titelleiste war leer und es gab keine Symbolleisten. Ich fragte den Kunden, ob dies seine E-Mail-ID sei, was er verneinte. Ich öffnete den Task-Manager, der dieses Explorer-Fenster in seiner Registerkarte „Anwendung“ nicht zeigte. Ich wechselte zurück zum „Rogue“-Fenster und stellte fest, dass die Hotmail-Einstellungsseite nun geöffnet war, die sich später in die Hotmail-Profilbearbeitungsseite für denselben Benutzer änderte. Ich klickte auf nichts. Dann schloss sich plötzlich das Fenster.
Ich habe die Autorun-Speicherorte überprüft und einen Malwarebytes Anti Malware-Scan gestartet, der ein relativ sauberes Ergebnis lieferte. Auf dem System war außerdem eine aktualisierte AVG-Installation installiert.
Ich möchte keine Lösung für dieses Virus(?)-Problem. Ich habe das hier gefragt, weil ich wissen wollte, ob jemandem so etwas schon mal untergekommen ist. Was für eine Malware kann das sein?
Der Benutzer hatte zuvor noch kein ähnliches Fenster gesehen und ich hätte Screenshots machen sollen.
(PS: Homer Stinson ist ein Fantasiename. Ich habe mit einigen relevanten Schlüsselwörtern nach dem anderen echten Namen gesucht, konnte aber keinen Diskussionsbeitrag zum Thema Viren/Malware finden.)
AKTUALISIEREN:
Als ich den PC später überprüfte, war beim Schließen ein DEP-Fehler aufgetreten, der den PC neu startete.
(Dep-Fehlerdialog, mit freundlicher Genehmigung von Google Images)
UPDATE 2:
Am nächsten Tag fand ich das gleiche seltsame E-Mail-Registrierungsfenster, mehrere Male, jedes Mal mit der Registrierung einer E-Mail-ID bei AOL, Hotmail oder Yahoo (meine Vermutung, da es keine Adressleiste gab). Ein solcher Screenshot ist beigefügt.
Ich konnte mit der Seite interagieren, z. B. auf Links klicken und Text eingeben. Ich habe versucht, Text einzugeben, während der andere „Benutzer“ tippte und die Steuerung in ein normales Textfeld verlagerte, während der andere „Benutzer“ das Kennwortfeld eintippte (das Kennwort, das ich sah, bestand aus zufälligen Zeichen). Der andere „Benutzer“ fuhr in der Zwischenzeit mit der Registrierung fort, obwohl ich nicht bemerkte, dass der „Benutzer“ das Captcha ausfüllte, und daher kann ich nicht sagen, ob der „andere“ eine echte Person oder ein Bot war.
Ich habe Scans von AVG, Malwarebytes und Spybot ausgeführt und bin auf Adware, Registrierungsfehler und Fehler bei der Umleitung der Hosts-Datei gestoßen. Malwarebytes konnte das Problem mit der Hosts-Datei nicht beheben. Ich habe die Hosts-Datei manuell geprüft und festgestellt, dass sie in Ordnung ist (sie enthielt die Standardkommentare und die Zeile 127.0.0.1). Beim erneuten Scannen hat Malwarebytes immer noch denselben Fehler bei der Umleitung der Hosts-Datei angezeigt.
Ich konnte das DEP-Problem beheben, indem ich den Schalter „AlwaysOff“ zur Systemstartzeile hinzufügte, aber die Fenster zur E-Mail-Registrierung bereiteten mir Sorgen.
Ich habe Active Ports ausgeführt und festgestellt, dass explorer.exe mit einer Remote-IP kommunizierte. Screenshot folgt.
Selbst nachdem explorer.exe beendet und neu gestartet wurde, stellte es immer noch eine Verbindung zu Remote-IPs her, die alle zu.mail..yahoo.*-Domänennamen.
Ich erinnere mich auch, dass der Windows-Firewall-/ICS-Dienst deaktiviert war und nicht gestartet werden konnte.
Da auf dem PC eine Sicherungskopie der Dokumente vorhanden war, habe ich mit der Neuinstallation des Betriebssystems begonnen. Allerdings würde ich gerne wissen, mit welcher Art von Malware ich es zu tun hatte.
Ist jemand auf ein ähnliches Problem gestoßen? Jede Information ist willkommen.
PS: Bitte bearbeiten Sie die Frage zur besseren Verständlichkeit.
Antwort1
Weitere Informationen zu dieser POP1-Adresse http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html
Ja, es ist ein Winlogon.exe-Virus
Keine Neuinstallation erforderlich.
Befolgen Sie die unten angegebene Reihenfolge, um Ihren PC ordnungsgemäß zu desinfizieren
1.) Erstellen Sie eine bootfähige AV-Disk, booten Sie von der Disk und scannen Sie die Festplatte. Entfernen Sie alle gefundenen Infektionen. Ich persönlich bevorzuge die Kaspersky-Disk. Die neue Kaspersky-Disk 2010 kann die AV-DAT-Dateien aktualisieren, wenn Sie zum Zeitpunkt des Scans mit dem Internet verbunden sind. Es wird empfohlen, die Aktualisierung vor dem Scan durchzuführen.
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) Dann: Installieren Sie das kostenlose MBAM, führen Sie das Programm aus, gehen Sie zur Registerkarte „Update“ und aktualisieren Sie es, gehen Sie dann zur Registerkarte „Scanner“ und führen Sie einen Schnellscan durch, wählen Sie alles aus und entfernen Sie alles, was es findet.
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) Wenn MBAM fertig ist, installieren Sie die kostenlose SAS-Version, führen Sie einen Schnellscan durch und entfernen Sie die automatisch ausgewählte Version. http://www.superantispyware.com/download.html
Bei den letzten beiden handelt es sich nicht um Antivirus-Software wie Norton, sondern um On-Demand-Scanner, die nur dann nach schädlichen Programmen suchen, wenn Sie das Programm ausführen, und Ihren installierten Antivirus nicht beeinträchtigen. Sie können einmal täglich oder wöchentlich ausgeführt werden, um sicherzustellen, dass Sie nicht infiziert sind. Aktualisieren Sie sie unbedingt vor jedem täglichen oder wöchentlichen Scan.
.
Antwort2
Haben Sie eine Fernverwaltungssoftware wie LogMeIn installiert? Wenn es sich um einen Firmencomputer handelt, sollten Sie mit Ihrer IT-Abteilung darüber sprechen und herausfinden, was sie tun.
Antwort3
Detektivarbeit:
- Es gibt mindestens6 Leutemit dem Namen „Homer Stinson“ in den Vereinigten Staaten. Dies könnte also ein echter Name sein.
- Das seltsame E-Mail-Fenster ist dasAOL WebMail-Anmeldung, der Virus ist also dabei, ein neues AOL WebMail-Konto zu erstellen.
- Bei dem Server
pop1.plus.mail.vip.sp2.yahoo.com
handelt es sich um einen Yahoo!-Mailserver. Der Virus macht dort wahrscheinlich dasselbe.
Der Virus erstellt möglicherweise neue Konten zum Spammen oder versucht mit roher Gewalt, die Namen vorhandener Konten herauszufinden. Es handelt sich wahrscheinlich um einen Teil eines Spam-Bots.
Aufgrund der vielen Symptome würde ich vermuten, dass es sich bei Ihrem Virus tatsächlich um einen Trojaner handelt und er möglicherweise einige „Freunde“ mitgebracht hat. Ich habe von Fällen gehört, in denen aufgrund einer einzigen Trojaner-Infektion Dutzende von Viren installiert wurden.
Der Computer ist möglicherweise inzwischen so stark infiziert, dass es nahezu unmöglich ist, herauszufinden, wo die Infektion begann. Wenn Sie immer noch neugierig sind, können Sie mehrere derOnline-AntivirusDienste, um den Computer zu scannen und eine Liste aller gefundenen Viren zu erstellen. Laden Sie auch mehrere Boot-CDs bekannter Antivirenprodukte herunter und führen Sie sie außerhalb von Windows aus. Verwenden Sie für einen gründlichen Scan auch Spybot S&D und Lavasoft Ad-Aware.
Die einzige Lösung besteht darin, alle Festplatten zu formatieren und Windows neu zu installieren. Dieser Computer kann nicht mehr wiederhergestellt werden. Ihre Bemühungen, den Virus aufzuspüren, sind möglicherweise nicht die aufgewendete Zeit wert.
Antwort4
Ich glaube nicht, dass die Frage so beantwortet wurde, wie Sie es wollten. Es handelte sich ganz einfach um ein bisschen Botnet-Malware. Ein Botnet ist eine Gruppe von Computern, die mit Malware infiziert sind und zusammenarbeiten, um eine Aufgabe zu erfüllen, sei sie bösartig oder anderweitig. Dieser Code oder diese Person hat möglicherweise den Computer als legitime Fassade verwendet, um eine große Anzahl von Konten auf verschiedenen Websites zu erstellen. Höchstwahrscheinlich hat derjenige, der das Botnet kontrollierte, mehr als nur diesen PC für sich arbeiten lassen. Wenn es sich nicht um eine Botnet-Sache handelte, dann hat einfach irgendjemand diesen Computer als eine Art Proxy verwendet, um zu verbergen, was er tat, und um die erstellten Konten legitim aussehen zu lassen. Die Malware selbst ist eigentlich ziemlich einfach. Er hat eine Art Phishing-Betrug verwendet, um die Software auf den Computer zu bringen, und die Software war so eingerichtet, dass der PC sie nicht sehen oder etwas dagegen unternehmen konnte. Das Fenster, das sich öffnete, war im Grunde eine Glanzleistung: „Seht mich an, seht, was ich kann.“ Nichts davon war für diese Art von Dingen wirklich notwendig.