Evtl. Schadseite angesurft. Finde keinen Virus etc. Was nun?

[qwertzuio]

Hi Leute,

ich war so unglaublich dumm auf folgenden Link zu drücken.

Spoiler

http://www.hillstreetchildcare.wellington.net.nz/googlelife.php?larger208.php

Ich bekomme noch mit wie meine Systemauslastung auf 100% steigt der Browser nicht mehr reagiert und ich auf eine russische Seite geleitet werde. Die Seite war danach im Browser nicht mehr aufzurufen, sondern es kam ein redirect auf Google.

Ich hab Avira laufen lassen und den Windows Defender aber keine Schadsoftware gefunden.

Weiß jemand was ich jetzt noch tun kann, bzw. ob man herausfinden kann, was da ablief als ich die Seite öffnete?

 

[castol]

Ist denn alles soweit normal?

 

[gman32]

Erstmal den Link raus tun... Das brauchst hier nicht. Und läuft denn jetzt alles wieder normal?

 

[fkress]

Lass doch mal Spybot Search&Destroy etc laufen

 

[qwertzuio]

Spybot sagt mir 11 Probleme:

Adviva, DoubleClick, Fastclick, Mediaplex, Tradedoubler...

Ich habe das behoben und lasse einen zweiten Scan laufen.

Trotzdem...es gibt Programme die sich so nicht finden lassen. Gibt es einen Netzwerk- oder Prozessmonitor, der mir wirlich alles anzeigt, also auch jeden noch so gut versteckten Prozess?

 

[fkress]

Na wenigstens mal das, Immunisieren nicht vergessen!

McAfee Labs Stinger wäre bei mir der nächste.
Und um ganz sicher zu gehen Hiren’s BootCD.

Den System Explorer 3.9 kannst Du nehmen

 

[powerfx]

Die gepostete URI gibt's (zumindest z.Z.) nicht.
Wenn darunter doch etwas gefunden wird, ist evtl. bereits Malware auf dem System.

 

[Lavaground]

http://www.hijackthis.de/de kann da auch gut helfen

runterladen -> installieren -> ausführen -> logfile auswerten lassen....

 

[qwertzuio]

Immunisieren ging. Alle meine Browser bis auf Chrome.

Stinger findet nichts.

ich weiß nicht genau was ich mit Hiren machen soll?!

Also,

Hijack war in Ordnung bis auf zwei Prozesse:

O23 - Service: ATLMonitorService - Cmedia Electronics Inc - C:\Windows\system\MonitorService.exe

O23 - Service: ATLOISAService - Cmedia Electronics Inc. - C:\Windows\system\ATLOISAService.exe

 

[punkrockfan]

wie wäre es mit der bitdefender rescue disc von heise.de ergooglet und dann mal nicht unter windows sondern schon viel früher von cd aktualisiert zu scannen? ;-)

 

[hübie]

Und um himmels willen: klemm das Internet ab. Stecker raus! Mit einem anderen Rechner lädst du dir Process Monitor sowie Process Explorer herunter, kopierst das auf den infizierten Rechner (USB-Stick mit Schreibschutz kaufen) und schaust nach verdächtigen Aktivitäten. Mit dem Explorer schaust du nach Prozessen die CPU-Last erzeugen und mit dem Monitor achtest du genau auf Dateinamen die Festplattenaktivität erzeugen (z.B. svchost.exe = gut, scvhost.exe = schlecht).

Dann gehst du am besten in den safe mode von Windows und löschst entsprechende Dateien. Falls das net geht mit regsvr32.exe /u derigistrieren. Diese Methode ist aber nur empfehlenswert wenn du weißt was du tust. Admin ist in jedem Fall für die Kommandokonsole (cmd.exe) erforderlich und sollte per Passwort geschützt sein. Zeitansatz ~20 Minuten wenn du langsam bist.

Ansonsten Virenscanner einsetzen und alles intensiv scannen (ggf. Heuristik aktivieren) - kein quick scan.

Viel Erfolg

Edit: Falls Zugriffsrechte erforderlich sind "cacls /?" benutzen. Das Fenster "Ausführen" erreichst du übrigens über die Tastenkombination "Windows-Taste+R" (R=run).

 

[Teiby]

Ich hab den Link in einer Sandbox aufgerufen. Die Seite wird garnicht gefunden. Chrome leitet auf ne googleähnliche Seite weiter und Firefox sagt einfach, das es nicht erreichbar ist.
Hab jede Datei in der Sandbox durchgecheckt - nichts ungewöhliches dabei.

 

[hübie]

Ist ja vmtl. auch schon bereinigt worden Metalinks... Machen die gerne mit normalen Seiten.

 

[qwertzuio]

Auch nichts bei

Spoiler

http://www.news12.com.verygoodnews.life.health-story24.com/?s=208

http://medis-2011.ru/meteos?2

die zusätzlich mit der Seite verknüpft waren?

Avira hat jetzt TR/Spy.Small.cxv TR/Agent.139264.BV gefunden.

 

[hübie]

Wo nichts bei? Wenn filemon/procmon nix zeigt ist auch nix aktiv. Es sei denn du filterst es heraus.

 

[powerfx]

Auch nichts bei

Spoiler

http://www.news12.com.verygoodnews.life.health-story24.com/?s=208

http://medis-2011.ru/meteos?2

Nein, von mir aus beide nicht erreichbar.

 

[Boogeyman]

https://www.virustotal.com/url/4a1fcc6f39ea4f8e90e7c1e91b8ec41eb8a665eb30cc1de0801ba33e056db1a5/analysis/1341348635/
https://www.virustotal.com/url/fde66218ec4b6c4d7eee7d3a2e23979bd748f4ac061a113ecb31c2be5408f467/analysis/
https://www.virustotal.com/url/8445781e92c774d84e3fadee196effea2e52cd94f19eaf25228097834e9a442d/analysis/1341348712/

Nach Malware scannt man übrigens am besten mit einer Boot CD, Spybot, Stinger und Konsorten sind dafür komplett ungeeignet.

Wenn du etwas strukturiert vorgehen möchstest, kannst du emlyn d. mal fragen:
[Anleitung] Erste H!lfe bei Malwareverdacht/-infektion - Vor dem Posten beachten!

 

[qwertzuio]

Welche Boot USB Stick Version soll ich den zum Scannen nehmen? Ich habe kein optisches Laufwerk.

Mit Hiren weiß ich nichts anzufangen.

 

[punkrockfan]

wenn dein bios dich von usb booten lässt kannst die rescue disc auch da drauf packen

http://www.heise.de/download/bitdefender-rescue-cd.html

 

[Lavaground]

hab bei heise zum thema "zemra" nen kommentar mit dem selben link gesehn und die person ist sich auch unschlüssig ob sie nun infiziert ist...