[Babo77]

Hallo, ich hoffe ich bin hier im richtigen Forum.

Problem: Wenn ich bei google eines der Suchergebnisse anklicke werde ich anstatt auf die gewünschte Seite auf Seiten namens Pornoluxxx.com oder Adult-Porn-Tube.com weitergeleitet. Daraufhin tut sich der Windows Media Player auf und Fragt ob die Seite blablabla etwas auf WMP ausführen darf. Wenn ich auf nein klicke wird die Frage immer wieder gestellt, also beende ich den Media Player Prozess. Danach fragt mich der download manager ob ich irgend eine Binary Datei herunterladen möchte, was ich ebenfalls ablehne. Daraufhin sagt mir Avira das es einen Virus entdeckt hat und ich lasse ihn entfernen.
Ich frage mich wo ich solch einen Virus herbekommen habe, ich besuche außer vielleicht ein Paar file-sharing Seiten nur sichere und schon gar nicht so ein Porno Mist.
Jedenfalls hab ich dann mal mit Maleware bytes einen Quick Scan durchführen lassen. Log:

Spoiler:(zum lesen bitte Text markieren)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5409

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

28.12.2010 22:36:35
mbam-log-2010-12-28 (22-36-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158702
Laufzeit: 12 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 12
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C6A910 56-83E0-4C6E-8DCC-43FC0DFE7A0A} (Trojan.SearchRedir.M) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{7FED029B-47FD-B248-0C92-F90E4E257537} (Trojan.ZbotR.Gen) -> Value: {7FED029B-47FD-B248-0C92-F90E4E257537} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\all users\anwendungsdaten\2aca5cc3-0f83-453d-a079-1076fe1a8b65 (Adware.Seekmo) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\clickpotatolite (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\systemproc (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\MySearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.name-cd5fda878d\anwendungsdaten\whitesmoketranslator (PUP.WhiteSmoke) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\zrpt.xml (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.name-cd5fda878d\lokale einstellungen\Temp\pdfupd.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.name-cd5fda878d\anwendungsdaten\Uxvok\gegat.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa\clickpotatolitesa.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa\clickpotatolitesaabout.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa\clickpotatolitesaau.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa\clickpotatolitesaeula.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa\clickpotatolitesa_hpk.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa\clickpotatolitesa_kyf.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\systemproc\upd.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\1.bin\S4FFXTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\1.bin\s4ffxtbr.manifest (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\1.bin\S4NTSTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\1.bin\s4ntstbr.manifest (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\Cache\0066FAEA.bmp (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\Cache\0066FE07.bmp (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\Cache\007DD91A (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\Cache\files.ini (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\History\search2 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MySearch\bar\Settings\prevcfg2.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato\About Us.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato\clickpotato customer support.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato\clickpotato uninstall instructions.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer.name-cd5fda878d\anwendungsdaten\whitesmoketranslator\stat.log (PUP.WhiteSmoke) -> Quarantined and deleted successfully.

Es wurde dann auch einiges gefunden, dass ich natürlich sofort gelöscht habe, aber vorhin ist selbiges schon wieder passiert.

Was tun?

[Gator]

Das meiste in dem Bericht war zwar "nur" Adware, aber da waren auch 6 Trojaner dabei. Und das ist schon recht viel.
Also ich würde Formatieren und neu installieren. Die Chance, dass du die anderen Trojaner und Viren noch runter kriegst die dein Programm jetzt nicht gefunden hat sind gering.
Und über File-Sharing kann man sich auch ganz toll infizieren. Da lädt schließlich irgendwer irgendeine Datei hoch, ist eine tolle Möglichkeit Trojaner zu verbreiten.

[gorn79]

Siehe meine Antwort in diesem Thread
http://forum.worldofplayers.de/forum...d.php?t=930237