[Virus/Trojan/Wurm]Facebook wird weitergeleitet

lordmafi · 13.01.10, 12:18

Hallo zusammen,

Ich wende mich an euch, obwohl ich denke, dass ich schon vieles über den Umgang mit PC's etc. weiß, denn ich bin an ein Problem gestoßen, dass mein Latein zum Ende bringt.

Ich habe mir irgendetwas eingefangen, dass immer wenn ich versuche mich bei Facebook einzuloggen, auf eine Phishing-Seite weiterleitet:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

keine Sorge, ich habe die Firma kontaktiert und dieser User wurde gebannt vom System.
Er hatte Facebook so eingerichtet auf seinem Space, dass es genauso aussah wie original, ich bin nicht darauf reingefallen und nun ist die Seite auch gesperrt. Mein Problem besteht jedoch weiterhin, denn es ist mir einfach nicht möglich aufzuspüren, was die Weiterleitung verursacht.

Was ich bereits getan habe ist folgendes:
Mit Avira Antivir Professional 4.8 das ganze System durchgesucht
Mit Spybot Search & Destroy Immunisiert und Gesucht
Mit Malwarebytes Anti-Malware alles durchsucht und aufgehoben
Mit SuperAntiSpyware Free Edition durchsucht und aufgehoben

Dann habe ich noch ein paar Tipps befolgt und folgendes getan:
-Google Chrome und die neuste Version vom Flashplayer installiert
-Cookies, Temp etc. gelöscht
-DNS-Dienst in der Systemsteuerung beendet und deaktiviert

Ich habe auch zusätzlich mit rsit 2 Logs erstellt die Auskunft über mein System geben und die ich euch hier gerne extern zum Anschauen anbiete.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Ich bin wirklich am Ende meiner Möglichkeiten hier und bitte euch um Hilfe.

haze303 · 13.01.10, 12:54

Du bist auf jeden Fall noch kompromittiert. Ich lege dir nahe, dein Systm neu aufzusetzen, weil man nie 100%ig sicher sein kann, dass dieser Schädling komplett vom System zu entfernen ist.

O1 - Hosts: 79.106.2.131 localhost
O1 - Hosts: 79.106.2.131 facebook.com
O1 - Hosts: 79.106.2.131 [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Hier nur ein Beispiel aus deinen Logs - dies ist eine albanische IP-Adresse. Möglicherweise wurde dein Rechner bereits in ein Botnet eingegliedert.

lordmafi · 13.01.10, 13:08

Da gibt es keine andere Möglichkeit? :/ würde nur ungerne neu Aufsetzen

lordmafi · 13.01.10, 13:11

Ich habe auch diesen Poker Bot geladen

Shame on me ^^

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Kann das daran liegen und dann wieder funktionieren?

Jesus22 · 13.01.10, 13:13

Jep, das liegt daran, das das in der Hosts-Datei eingetragen ist. Einfach rauslöschen und dann sollte das wieder laufen.

lordmafi · 13.01.10, 13:22

Genau das tut es wieder

danke für deinen Denkanstoss (botnet + ip) damit habe ich diesen Beitrag finden können

haze303 · 13.01.10, 13:50

Aber ihr geht jetzt nicht wirklich davon aus, dass es mit dem Löschen der Einträge in der HOSTS gegessen ist, oder?
Onlinebanking und andere wichtige Dinge, würde ich auf diesem Rechner nicht mehr ausführen.

absolutboy · 13.01.10, 13:58

ja online bankin würde ich auch nie ausführen<< das wichtigste ist halt auch mit msn und sowas die kennwörter nie speichern!! Immer die mühe machen und alles eingeben...

lordmafi · 13.01.10, 15:50

Dieses kleine Ding hat den einzigen IPs in die Host getan und sonst nichts mehr angestellt laut 5 verschiedenen Suchdingern, Avast, Spybot, etc. die Datei habe ich auch schon gelöscht...

haze303 · 13.01.10, 16:10

Es geht nicht darum, ob du diesen Trojaner, einen Virus oder was auch immer auf deinem Rechner mit einem Virenscanner oder ähnlichem finden kannst, sondern darum, was dieses Schadprogramm an deinem System nachhaltig verändert hat.

Nehmen wir uns mal ein Beispiel: Du fängst dir einen Trojaner ein, kannst diesen identifizieren und auch erfolgreich bekämpfen - laut Virenscanner und Antispyware-Software.
Nur was wäre, wenn dieser Trojaner einen einfachen Socket an eine DLL angehängt hat, welcher einfach nur eine Verbindung zu einem anderen Server aufbaut oder auf eine Verbindung lauscht und dieser ist so Programmiert, dass es ein stink normaler Socket ist, wie ihn jedes Spiel mit integriertem Updater besitzt.
Du würdest denken, dass dein Rechner sauber ist, aber dein Rechner wird bereits als Zombie in einem Botnetz missbraucht und du merkst dies noch nicht einmal.
Was auch durchaus mit einem solchen Socket passieren kann ist, dass über diesen Socket Schadsoftware nachgeladen werden kann, um deinen Rechner somit 2 Wochen später erst mit einem anderen/weiteren Trojaner zu infizieren?

Traue in der heutigen Zeit NIEMALS einem Cleaner und denke NIEMALS, dass dein Rechner 100%ig von Schadsoftware befreit werden kann.
Das war noch möglich, als wir nur Windows 95 oder DOS-Viren hatten, da diese simpel und auch fast alle 100%ig cleanbar waren.
Heute ist dies nicht mehr der Fall - Schadsoftware ist und wird immer intelligenter...

Dies waren nur mal meine Gedanken zu diesem Thema - letztendlich ist es jedem selbst überlassen, wie er weiterverfährt.

CherryCola · 14.01.10, 13:03

Albanien hat Internet ?

xD

ja setz neu auf... deine sicherheit sollte dir eigentlich mehr wert sein als deine dateien ^^ (nimm dir n paar stunden zeit hau s auf ne externe ggf. usb stick oder whatever und ab gehts mit nem neuen CLEANEN system)