Trojaner blendet Infektionsmeldung ein

nils1

Die Meldung wird durch ein Browser-Helper-Objekt angezeigt und lautet in etwa so:

Error!
Your computer was hijacked by dangerous virus! Some results was changed by porn advertising, your passwords and other private info no more safe! You must clean your system immediately to prevent it. Download the newest antivirus software!

Die Meldung kann gleichen/ähnlichen Inhalts auch auf Deutsch erscheinen.

Das Ding ist relativ neu.

Es firmiert bei einigen Virenscannern, die Bezeichnungen lauten dann z.B. TR/BHO.hfl,Generic11.BHZY,Win32/ FakeAlert.HO trojan. ,Trojan.Win32.BHO.hfl TrojanDownloader:Win32/Renos.DU, Trojan.Win32.BHO.hfl, Generic11.BHZY
Viele andere erkennen ihn leider derzeit nicht. Mehr dazu unter http://virscan.org/report/a1e4bafed1...dc1d7e61d.html


Die Meldung erscheint immer wieder. Es kann keine eigener assoziierter Prozess gefunden werden, denn es handelt sich um eine DLL namens gopfa.dll, die direkt von der Explorer.exe ausgeführt wird. Daher ist sie auch nicht einfach zu löschen. Sie liegt im %SYSTEMROOT%\System32-Verzeichnis.

Ebenso liegt dort eine k.txt, die aber binären Code enthält.

Mein Weg, diese Files zu löschen:
1. cmd-Fenster öffnen
2. in der Box nach %SYSTEMROOT%\System32 wechseln
3. Process-Explorer von Sysinternals ausführen und damit alle explorer.exe-Prozesse killen
4. "del gopfa.ddl" und "del k.txt" in der Box ausführen
5. regedit aufrufen
6. Alle Keys löschen, die gopfa.dll enthalten

Gibt es noch was, was ich vielleicht übersehen habe?


Viel Erfolg bei der Beseitigung,
Nils