Supportnet / Forum / Security/Viren
Pop-Up Virus ?
Frage
Hi, hab z.Zt. ein recht nerviges Problem. Und zwar hatte ich nach der Benutzung eines cracks einiges an Würmern und Trojanern auf meinem System. Nun habe ich den Großteil davon mit Kaspersky und ad-aware wegbekommen. Nur eine kleine Sache scheint sich nich beheben zu wollen. Ständig öffnen sich pop-ups von diversen Internetseiten. Mittels Hijackthis bin ich dann auf einen Merkwürdigen Eintrag gestossen der da lautet: O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\mvnml9511.dll
So mittels des tools killbox hatte ich dann versucht diese Datei in Verbindung mit einem Neustart zu löschen. Jedoch taucht diese Art von Eintrag nach jedem Neustart wieder unter anderem namen auf, aber immer als "C:\WINDOWS\system32\xxxxxxx.dll". Gibt es noch programme die ich ausprobieren sollte? Habe auch eine Systemwiederherstellung auf einen früheren Zeitpunkt versucht, leider ohne Erfolg. Wäre für jede Hilfe dankbar.
Antwort 1 von Griemokhan
Zitat:
nach der Benutzung eines cracks
nach der Benutzung eines cracks
Solange du noch Wiederherstellungspunkte hast, bringt das Scannen wenig.
Antwort 2 von vogelnest
Ich verstehe nicht ganz wie mir das jetzt weiterhilft ..... ?
Antwort 3 von Griemokhan
Deaktiviere vor dem Scannen die Systemwiederherstellung im abgesicherten Modus.
Antwort 4 von vogelnest
ok danke soweit erstmal. probiere es aus und gebe dann bescheid.
Antwort 5 von vogelnest
So habe jetzt die Systemwiederherstellung auf allen Laufwerken deaktiviert und im abgesicherten Modus mit Kaspersky und Ad-aware solange gescannt bis nichts mehr gefunden wurde. Nun kommt nachdem Neustart nach ca, 1 Minute folgende WIndows Fehlermeldung: " Beim Ausführen von ""C:\Windows\sytem32\MRCTFP.dll" ist eine Ausnahme aufgetreten." Wenn ich nun auf ok klicke und ad-aware nocheinmal drüberlaufen lasse, kommt nach kurzer Zeit diese Meldung: Datenausführungsverhinderung -
Name: Eine DLL-Datei als Anwendung ausfürhen
Ich klicke auf Meldung schließen, und die Pop-ups sind wieder da. Danach weiterer Fehler: rundll32.exe hat ein Problem festgestellt und muss beendet werden. Nachdem nun der Ad-aware scan beendet ist werden 4 Identifizierte Objekte angezeigt. 3 Identifizierte Module & 1 Identifizierte Datei: In der Zusammenfassung liest dich dann "CoolWebSearch (4 Objects total) TAC Bewertung 10. Wenn ich nun versuche diese Objekte zu entfernen, meldet ad-aware, das einige Objekte nicht entfernt werden konnten: C:\WIndows\system32\m0ls0a37ed.dll wie vorher also. Wenn ich nun versuche die Datei nach einem Neustart zu entfernen habe ich wieder alles wie gehabt.
Name: Eine DLL-Datei als Anwendung ausfürhen
Ich klicke auf Meldung schließen, und die Pop-ups sind wieder da. Danach weiterer Fehler: rundll32.exe hat ein Problem festgestellt und muss beendet werden. Nachdem nun der Ad-aware scan beendet ist werden 4 Identifizierte Objekte angezeigt. 3 Identifizierte Module & 1 Identifizierte Datei: In der Zusammenfassung liest dich dann "CoolWebSearch (4 Objects total) TAC Bewertung 10. Wenn ich nun versuche diese Objekte zu entfernen, meldet ad-aware, das einige Objekte nicht entfernt werden konnten: C:\WIndows\system32\m0ls0a37ed.dll wie vorher also. Wenn ich nun versuche die Datei nach einem Neustart zu entfernen habe ich wieder alles wie gehabt.
Antwort 6 von Griemokhan
Antwort 7 von vogelnest
Leider hat das auch nicht geklappt. Nach mehreren Versuchen sowohl im normalen als auch im abgesicherten Modus tauchen die Objekte von CoolWebSearch immer wieder auf ;(
Antwort 8 von 0101
Naja, das hört sich ganz nach einem Rootkit-Virus an!
Ich würde es mit einer Boot-CD versuchen und dann mit entsprechenden Antivirenprogrammen den Virus entfernen.
Ich würde es mit einer Boot-CD versuchen und dann mit entsprechenden Antivirenprogrammen den Virus entfernen.
Antwort 9 von vogelnest
Also ich wollte das ganze natürlich nicht unaufgeklärt lassen, deshalb die Info: Ich habe den Mist endlich sauber vom System bekommen mit dem Tool Spyware Doctor 3.5 (kostenpflichtig). Dieser war als einziges tool in der Lage die Datei zu löschen. Danach genügte ein Fix mit Hijack und schon ist wieder alles in Butter.