Hallo,
bitte nicht gleich schimpfen wegen dem Titel, hab selbst grad keinen Plan.
Es geht darum:
Ich habe den PC eines Freundes, da bei diesem eine Weiterleitung auf unangeforderte Websites erfolgt (auch die Google Seite scheint mir gefaked).
Dies passiert sowohl im IE als auch mit FF.
hatte das Gefühl dass es erst nach der Installation von Adobe Flash passiert sein könnte, allerdings nach deinstallation auch keine Besserung.

Ich habe den PC deswegen formatiert und siehe da....das gleiche Spiel wieder...
nach nochmaliger systemwiederherstellung (Acer Laptop mit vertseckter systempartition) wieder das gleiche Spiel und ich bin ratlos.

Kann mir wer helfen?

Kann sich der Wurm/Virus vielleicht in der versteckten Partition oder in einem "master boot sektor" der hdd eingenistet haben?

Wie könnte ich alles löschen / formatieren damit es keine chance mehr gibt dass irgendwo etwas sein könnte?

Oder gibt es noch eine Alternative den "Dreck" wegzubekommen?

Vielen Dank im Voraus!

mmm...

LiveCD/ RescueCD wäre eine Variante, um das System erstmal zu scannen

http://www.raymond.cc/blog/archives/2008/12/11/13-antivirus-rescue-cds-software-compared-in-search-for-the-best-rescue-disk/

Ansonsten kannst du mit einem Lowlevel- Format- Tool des HDDs Herstellers die HDD komplett leeren.

iss komplett neu drauf, mit anti viren software find ich nichts,
lasse jetzt mal spybot SD drüberlaufen...

Superantispyware (http://www.superantispyware.com/) ist auch ganz gut. Die Scans aber unbedingt im abgesicherten Modus machen.

Und einen online Scan machen?

empfohlener online scanner?

edit:
grad ma beim boot up spybot SD durchlaufen lassen, udn hat 5 probleme behoben und jetzt scheint es wieder ohne umleitung zu funktionieren.
allerdings ists mir nicht geheuer dass es trotz neuinstallation schon drauf war, kan man irgendwie checken, ob man das system jetzt ohne bedenken benutzen kann?

edit2:
ok FF bloated sich auf 300mb mit einer seite udn stürzt dann ab....

edit3: onlien scanner kann ich vergessen, ist imemr noch da, original suche wird angezeigt in FF und IE aber dann folgt ne weiterleitung an irgend eine scheiß website....

so werd jetzt im abgesicherten mal super antispyware testen

kommt nur die Meldung: Der Systemadministrator hat Rihctlinien erlassen, um diese Installation zu verhindern.
(bin aber als admin drin, nicht als der normale user account)

im abgesicherten am scannen grad, alledings bisher ohne erkennung...

Funde:
adware.iwantsearchbar (3)
adware.trackingcookie (5)



ist ne WD verbaut, falls jemand nen gutes LL Fromat prog dafür kennt raus damit...
die versteckte partition irgendwie rettbar? da das die acer backup cd ist sozusagen...oder würdet ihr die auch löschen?

neue fragestellung:
ist es möglich dass dieser wurm bereits übertragen wird, direkt nach der neuinstallation , da ich alle updates inkl sp3 (ist nur nen frühes sp2 drauf) per MS Update lade?

sonst würd ich einfach nochmal ne sys wiederherstellung machen und sp3 direkt offline drüberinstallieren inkl nem update pack...

Hört sich nach Sinowal an. MBR/Bootkit/Rootkit. Zielt auf Manipulation von Bankingseiten ab.

Formatieren reicht nicht, solange der MBR intakt ist und den Treiber aus dem unpartitionierten Bereich in die Bootkette injiziert. Die meisten (Windows-)Virenkiller sind durch das Rootkit machtlos. Avira kann als einer der wenigen Virenkiller den MBR erkennen, aber nicht (in Windows) löschen. Der MBR wird über manipulierte Windowsfunktionen gespiegelt und nicht erkannt.

Zieh das runter (GMER MBR) (http://www2.gmer.net/mbr/mbr.exe) und starte es mit Administratorrechten. Dadurch sollte eine .log Datei erstellt werden. Benenne die Log-Datei um (damit sie nicht überschrieben wird - das ist wichtig), reinige den MBR mit 'Fixmbr' (Recoverykonsole) und starte GMER erneut. Poste beide Logs hier.

mmm...

Hab doch geschrieben, dass du eine LiveCD nehmen sollst. Damit umgehst du das Problem, dass der Virus unter Windows den Scanner, egal welcher, deaktivieren kann.

Alternativ eine Low-Level-Formatierung durchführen. Danach ist alles, also wirklich alles weg. Danach gibt es nichtmal eine Partitionstabelle und auch kein MBR mehr.
Wenn du eine Lowlevelformatierung gemacht hast, am besten den PC für eine Minute ausstellen und dann wieder einschalten. Das sollst du machen, um sicher zu gehen, dass der Virus sich nicht im Speicher eingenistet hat und einen Reboot überlebt ;).

mmm...

Hab doch geschrieben, dass du eine LiveCD nehmen sollst. Damit umgehst du das Problem, dass der Virus unter Windows den Scanner, egal welcher, deaktivieren kann.

Alternativ eine Low-Level-Formatierung durchführen. Danach ist alles, also wirklich alles weg. Danach gibt es nichtmal eine Partitionstabelle und auch kein MBR mehr.
Wenn du eine Lowlevelformatierung gemacht hast, am besten den PC für eine Minute ausstellen und dann wieder einschalten. Das sollst du machen, um sicher zu gehen, dass der Virus sich nicht im Speicher eingenistet hat und einen Reboot überlebt ;).

Sry, war nicht in Vergessenheit geraten,
hatte nur noch die andren sachen am laufen, da ich auf der seite erst keine gescieten verlinkungen gefunden hatte.
Habe die "computerbild" :freak: notfall cd 2.0 dann ma probiert und mit kaspersky (natürlich neueste updates vorher gezogen) drüberlaufen lassen.
auf der versteckten und auf der D: wurde wohl nichts gefunden (Code 0).
Auf C: allerdings Code 10, leider gabs kein logfile was genau da war...
es scheint jetzt doch tatsächlich wieder zu funktionieren.
Also schonmal vielen Dank Lokadamus,
allerdings frage ich euch: Würdet ihr das System jetzt so weiterverwenden?
Ohne irgendwelche Bedenken?

Und zu der Frage vorher:
Würde es Sinn machen jetzt nochmal aus der versteckten udn wohl ungeschädigten Partition den Systemursprungszustand(Auslieferungszustand) wiederherzustellen, jedoch offline (ohne IE 6 und MS Update) die neuesten Patches aufzuspielen inkl SP3 und zu schauen ob dann auch keien Weiterleitung mehr erfolgt?

Tut mir Leid für die vielen Fragen, ist halt nicht mein Sys, und der Bekannte macht sein onlineBanking drüber und musste als das Teil drauf war 10TANs auf einmal eingeben^^ was ich nicht gemacht hätte....

Würdet ihr das System jetzt so weiterverwenden?
Ohne irgendwelche Bedenken?

Und zu der Frage vorher:
Würde es Sinn machen jetzt nochmal aus der versteckten udn wohl ungeschädigten Partition den Systemursprungszustand(Auslieferungszustand) wiederherzustellen, jedoch offline (ohne IE 6 und MS Update) die neuesten Patches aufzuspielen inkl SP3 und zu schauen ob dann auch keien Weiterleitung mehr erfolgt?mmm...

Ehrlich gesagt nein. Da nicht bekannt ist, ob der Virus erfolgreich entfernt wurde, würde ich das System aufjedenfall neu aufsetzen.
Allerdings würde ich im derzeitigen Zustand nicht die Wiederherstellung benutzen wollen.
Zuerst müsste der MBR neu geschrieben werden, um sicher zu gehen, dass der Virus weg ist. Eventuell einmal vorsichtig Linux installieren, wobei du hier darauf achten must, dass du nicht die Recovery- Partition platt machst.
Danach könnte man versuchen, aus der Recovery- Partition Windows wieder herzustellen.
Wenn das Windows sauber ist und Kaspersky oder welchen Virenscanner du benutzt hast, nichts findet, kannst du erstmal herausfinden, wie du eine Betriebsystem- CD/DVD erstellst.
Acer hat dafür ein Tool bereitgestellt, um so eine CD zu erstellen.
http://de.answers.yahoo.com/question/index?qid=20070731075047AAxwcyz
Wenn die CD/DVD erstellt wurde und fehlerfrei funktioniert, kannst du das NB komplett platt machen.

Welchen Browser benutzt dein Freund für das Online Banking?

Spreche ich chinesisch? Nimm GMER als Indikator und einen zweiten externen Scanner. http://www.free-av.com/de/tools/12/avira_antivir_rescue_system.html

Du hast bereits einen irreversiblen Fehler gemacht. Die initiale GMER Logdatei hätte Aufschluss über den Virus geben können. Jetzt weißt du nichts.

Bootkits sind deutlich schwieriger in Vista und Win7 zu integrieren (wenn es überhaupt schon welche gibt), daher wäre es nicht verkehrt, auf ein solches OS zu wechseln.

Unbedingt der Bank Bescheid geben. Normalerweise melden die sich innerhalb von 24h, wenn ungewöhnliches Verhalten auffällig geworden ist und die Transaktion abgefangen wurde.

sry held im zelt, hab dein posting scheinbar übrlesen.
mit der live cd, hatte ich auch zuerst scon den mbr neugeschrieben, danach dann mit kaspersky.

mit wiederherstellung meine ich nicht die wdh von windows, sondern die wiederherstellung desimages aus der versteckten partition.

muss leider auf die arbeit melde mich danach und gehe auf eure postings ein, hab grad leider keine zeit mehr. schonmal danke!

@Held im Zelt
ja genau der wars: Sinowal, hatte den Namen leider vergessen.
der wurde dann mit antivir entfernt, aber lief trotzdem net gescheit...neuinstallation etc..aber das weißt du ja, da du den wohl kennst.

Kannst du mir auf genau diesen sagen wie man vorgehen sollte?

(Bei seiner Bank ist alles normal geblieben, scheinbar nochmal Glück gehabt).

Ich habe scheinbar dasselbe Problem mit meinem PC, die Suchergebnisse von Google oder auch Bing werden immer direkt umgeleitet. Und genau wie beim TS bringt es nichts das System platt zu machen. Ich habe ein Image welches ich vor einigen Monaten erstellt habe wieder eingespielt und nachdem ich die Windowsupdates aus dem Netz gezogen habe war der Fehler wieder da.
Zudem schein der "Virus" sich einen eigenen Benutzer in Windows anzulegen den er HelpAssistent nennt und der Mitglied der Administratoren ist.
Avira, AVG und TrendMicro finden nichts...

mmm...

Mit der LiveCD von Kaspersky mal das System durchsuchen.

Sinowal: http://www.pcwelt.de/start/sicherheit/virenticker/news/198933/analyse_der_sinowal_malware/

mmm...

Mit der LiveCD von Kaspersky mal das System durchsuchen.

Sinowal: http://www.pcwelt.de/start/sicherheit/virenticker/news/198933/analyse_der_sinowal_malware/ Aktualisiert sich das Ding denn online? weil der Virus muss recht neu sein, alle foreneinträge die ich zu dieser Sache finde sind von den letzt 3 oder 4 Tagen...

mmm...

Ich würde sagen, ja, dieser Virus aktualisiert sich auch online (laut dem Beitrag wird deshalb auch auf andere Seiten umgelenkt) und so wie es aussieht, wird man den auch nicht so einfach los.
Dadurch, dass er sich in den MBR schreibt, scheint er wohl ein paar Sachen wie Neuinstallation zu überleben.

Also, ich habe jetzt die Rescue-CD v.8.8.1.36 von Kasperski runter geladen und die hat im Bootsektor tatsächlich den Backdoor.Win32.Sinowal.fka gefunden. Ich lasse jetzt noch den Rest der Platte Scannen mach das Image wider drauf und dann hoffe ich mal das dann alles OK ist. Aber erstmal big thx diese Boot CD hat im Gegensatz zu den anderen Scannern zumindest was gefunden ...

Also, ich habe jetzt die Rescue-CD v.8.8.1.36 von Kasperski runter geladen und die hat im Bootsektor tatsächlich den Backdoor.Win32.Sinowal.fka gefunden. Ich lasse jetzt noch den Rest der Platte Scannen mach das Image wider drauf und dann hoffe ich mal das dann alles OK ist. Aber erstmal big thx diese Boot CD hat im Gegensatz zu den anderen Scannern zumindest was gefunden ...

bin leider nicht mehr zum texten und neu aufspielen gekommen...
habe das aber die taeg vor udn wollte dich fragen ob bei dir jetzt alles gekllappt hat mit deiner methode?
funktioniert alles wieder einwandfrei?

Danke schonmal für deine antwort!