Und bitte geht NICHT auf die Seite von goingonearth.com!! Da kriegt man das Ding je nach Browsersicherheit direkt und sofort auf den Rechner!!!
Es kann auch über Dateianhänge per Mail (wie bei mir) und sonstige Downloads reinkommen.
Gefragt wird man nicht, es ist einfach drin. Meistens meldet sich angeblich noch ein anderes Sicherheitsprogramm, welches den PC umso besser testen möchte.
Dieses kann jedoch aufgrund funktionierender Virenscanner unterbunden werden und nicht angezeigt werden. Das Problem ist, dass sich dieses Programm dennoch in den wichtigen Einstellungen einnistet.
Solltet ihr das Problem haben, dass Firefox, Chrome und Internet Explorer eventuell eure Suchanfragen bei Google, bzw. die Links immer auf eine falsche Adresse / URL umleiten , dann habt ihr ggf. einen Trojaner / Virus an Board.
Es öffnen sich nicht die gewünschten Seiten, sondern irgendwelche Seiten, die durch goingonearth.com (going on earth) vorgeschlagen werden. Irgendwelche Gewinnseiten, irgendwelche Malware-Seiten, irgendwelche Partnerseiten,… etwas, was ihr jedenfalls nicht dort erwartet – dann habt ihr ggf. den Trojaner.
Die Entfernung ist verhältnismäßig einfach.
Entfernung geht nur im Abgesicherten Modus (mit Netzwerk) (F8 beim Systemstart):
Herunterladen:
http://www.bleepingcomputer.com/download/anti-virus/rkill
http://www.malwarebytes.org
Und beides nacheinander im Abgesicherten Modus starten und Geduld haben!
Tipp 2 – geht recht schnell, setzt nur manche Präferenzen zurück combofix.exe:
combofix.exe herunterladen, im Abgesicherten Modus ausführen, lange ausführen lassen und das Problem ist vom Tisch.
Übrigens wird er bisher von kaum einem Virenscanner gefunden / entdeckt (Avira, Avast,…) und selbst von Ad-Aware und Spybot Search and Destroy nicht behoben.
Es wird dabei das Sicherheitscenter (jedenfalls bei Windows 7) ausgeschaltet und der Windows Defender deaktiviert.
Angeblich wird auch die lmhost Datei umgeschrieben und es gibt im normalen Windowsbetrieb Bluescreens, Abstürze und vor allem Verlangsamungen.
Vielleicht hilft diese Info ja weiter.