Downloade dir bitte GooredFix.exe auf Deinem Desktop.

• Schliesse bitte alle laufenden Programme inklusive Browser.
• Doppelklick auf die .exe
  Vista User: Mit Rechtsklick "als Administrator starten".
• Gib bitte in folgendes Fenster 1 ein und drücke Enter.
• Wenn der Scan beendet wurde, erstellt das Tool eine GooredLog.
  Diese ist auch auf Deinem Desktop zu finden.

Poste mir bitte den Inhalt der GooredLog.txt
Hinweis: Bitte nicht Option 2 selbständig laufen lassen.


schritt 2

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\rkxbom
         

Also gehe wie hier beschrieben vor:

• Öffne diese Webseite: virustotal
• Klicke auf "Durchsuchen"
• Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
• "Senden der Datei"
• Warte, bis der Scandurchlauf aller Virenscanner beendet ist
• Auf "Filter" klicken
• dann auf "Ergebnisse"
• das Ergebnis (wie Du es bekommst )
  komplett markieren und hier rein kopieren

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

Hab das Proggi ausgeführt.. Gab keine Option 1 oder 2. GoredFix.txt wurde automatisch erstellt:

Code: Alles auswählenAufklappen

ATTFilter

GooredFix by jpshortstuff (26.11.09.1)
Log created at 13:19 on 26/11/2009 (Admin)
Firefox version 3.5.5 (de)

========== GooredScan ==========


========== GooredLog ==========

C:\Programme\Mozilla Firefox\extensions\
{972ce4c6-7e08-4474-a285-3208198ce6fd} [19:31 23/11/2009]
{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} [16:35 04/01/2008]
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} [15:27 26/04/2008]

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
"{20a82645-c095-46ed-80e3-08825760534b}"="c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" [01:09 04/10/2009]
"bkmrksync@nokia.com"="C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\" [19:43 27/10/2009]

-=E.O.F=-
         

Kein Virus gefunden.

Code: Alles auswählenAufklappen

ATTFilter

Datei rkxbom empfangen 2009.11.26 12:25:02 (UTC)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.43	2009.11.26	-
AhnLab-V3	5.0.0.2	2009.11.26	-
AntiVir	7.9.1.78	2009.11.26	-
Antiy-AVL	2.0.3.7	2009.11.26	-
Authentium	5.2.0.5	2009.11.26	-
Avast	4.8.1351.0	2009.11.26	-
AVG	8.5.0.425	2009.11.25	-
BitDefender	7.2	2009.11.26	-
CAT-QuickHeal	10.00	2009.11.26	-
ClamAV	0.94.1	2009.11.26	-
Comodo	3043	2009.11.26	-
DrWeb	5.0.0.12182	2009.11.26	-
eSafe	7.0.17.0	2009.11.24	-
eTrust-Vet	35.1.7143	2009.11.26	-
F-Prot	4.5.1.85	2009.11.25	-
F-Secure	9.0.15370.0	2009.11.24	-
Fortinet	4.0.14.0	2009.11.26	-
GData	19	2009.11.26	-
Ikarus	T3.1.1.74.0	2009.11.26	-
Jiangmin	11.0.800	2009.11.26	-
K7AntiVirus	7.10.905	2009.11.25	-
Kaspersky	7.0.0.125	2009.11.26	-
McAfee	5813	2009.11.25	-
McAfee+Artemis	5813	2009.11.25	-
McAfee-GW-Edition	6.8.5	2009.11.26	-
Microsoft	1.5302	2009.11.26	-
NOD32	4638	2009.11.26	-
Norman	6.03.02	2009.11.25	-
nProtect	2009.1.8.0	2009.11.26	-
Panda	10.0.2.2	2009.11.25	-
PCTools	7.0.3.5	2009.11.26	-
Prevx	3.0	2009.11.26	-
Rising	22.23.03.10	2009.11.26	-
Sophos	4.48.0	2009.11.26	-
Sunbelt	3.2.1858.2	2009.11.26	-
Symantec	1.4.4.12	2009.11.26	-
TheHacker	6.5.0.2.078	2009.11.25	-
TrendMicro	9.100.0.1001	2009.11.26	-
VBA32	3.12.12.0	2009.11.26	-
ViRobot	2009.11.26.2056	2009.11.26	-
VirusBuster	5.0.21.0	2009.11.25	-
weitere Informationen
File size: 91301 bytes
MD5...: 6cd9c2502e14c3ec98803ddab5db7123
SHA1..: 478543a3e9a326e1d50d55f473acf50fa1cc10c9
SHA256: 893ec6396a38e882585f9ccb2e2b2c19c6d9e21fb9e4ea3160afa37aa061a478
ssdeep: 384:DPVBjAF5bIHAy1eWggIMy5B9ZyiUPrCoRAlS96w1r4Hc9lhUIU+vipsemP7E<br>TPRq:DPUAxRAlI1A8L5l8S3AsovZI<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Unknown!
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
         

Starte bitte firefox im Safe Mode.

Kopiere folgende Zeile in die Komandozeile (windows +R Taste).

Code: Alles auswählenAufklappen

ATTFilter

"C:\Programme\Mozilla Firefox\firefox.exe" -safe-mode
         

Schliesse nun den Browser und klicke OK.

Berichte ob die Umleitungen immer noch vorhanden sind.

Bin jetzt die ganze Zeit am surfen und bis jetzt kam keine einzige Umleitung mehr.. Hatte zwischenzeitlich Firefox neu gestartet -evtl. liegts daran.

Soll ich trotzdem so verfahren wie du es eben geschrieben hast?

Ja aber mach das wenn Du wieder umgeleitet bist. Wenn aber alles funktioniert dann halt nicht.

schritt 1

Grundreinigung mit SUPERAntiSpyware

• Bitte lade Dir SUPERAntiSpyware FREE Edition herunter.
• Das Programm ist geeignet für: Windows 98, 98SE, ME, 2000, 2003, XP und Vista.
• Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
• Eine bebilderte Anleitung findest Du hier.
• Schließe alle Anwendungen inkl. Browser.
• Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
• Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
• Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
• Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
• Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
• Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

Schritt 2

• ESET Online Scanner
  • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
  • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
  • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

schritt 3

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

SuperAntiSpyware Scann:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/26/2009 at 02:49 PM

Application Version : 4.31.1000

Core Rules Database Version : 4313
Trace Rules Database Version: 2177

Scan type       : Complete Scan
Total Scan Time : 00:45:21

Memory items scanned      : 423
Memory threats detected   : 0
Registry items scanned    : 5620
Registry threats detected : 5
File items scanned        : 59394
File threats detected     : 11

Trojan.Dropper/Gen-NV
	[photo_id] C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\PHOTO_ID.EXE
	C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\PHOTO_ID.EXE
	[photo_id] C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\PHOTO_ID.EXE

Adware.WhenU
	HKU\S-1-5-21-823518204-682003330-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA2325ED-F9EB-4830-8FCE-0BC35B16969B}
	HKCR\WUSE.1
	HKCR\WUSE.1#WUSE_Id

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@adfarm1.adition[3].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ad.zanox[2].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@zieltrack[2].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ads.im-auto[1].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@microsoftinternetexplorer.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@2o7[2].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@msnportal.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@komtrack[2].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@adtech[1].txt

Trojan.Agent/Gen-Nullo[Short]
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{072C5839-2172-4BDC-BA82-8A70D0562783}\RP194\A0051132.EXE