Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Suchergebnisse bei google werden zu Werbeseiten verlinkt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.12.2009, 16:12   #1
jsr
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



Hallo Leute,

ich bin langsam am verzweifeln... Wnn ich mit google eine Suche durchführe und auf einen gefundenen Link klicke, werde ich zu unseriösen Werbeseiten umgeleitet. Meistens zu der Seite "hochu-spat.com". Habe schon alles versucht, auch schon eine alte Sicherung von vor 2 Monaten draufgespielt. Nix hilft...

Habe jetzt mal mit HijackThis einen Scan durchgeführt und hoffe, ihr könnt mir weiterhelfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:02:17, on 20.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Fingerprint Sensor\AtService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Abaqus\Licence\License\Lmgrd.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Abaqus\Licence\License\Lmgrd.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Catia\intel_a\code\bin\CATSysDemon.exe
C:\Programme\VPN_Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Fujitsu\Manageability\HaMDevMg.exe\1.01\HaMDevMg.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\ElsaWin\bin\LcSvrAdm.exe
C:\ElsaWin\bin\LcSvrDba.exe
C:\ElsaWin\bin\LcSvrHis.exe
C:\ElsaWin\bin\LcSvrPas.exe
C:\ElsaWin\bin\LcSvrSaz.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Abaqus\Licence\License\ABAQUSLM.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe
C:\ElsaWin\bin\VSgate.exe
C:\WINDOWS\Explorer.EXE
C:\ElsaWin\bin\LcSvrAuf.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Reifegerste\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ross-Tech VCDS DRV Updater.lnk = C:\Programme\OBD\VCDS-908DE\VCDS908DE.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://citrix.industriehansa.de/Citrix/MetaFrame/ICAWEB_common/de/ica32/wficat.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236895481875
O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://citrix.industriehansa.de/net6helper.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCF82638-BEA7-46FF-B73B-D813475C8428}: NameServer = 192.168.2.1
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\ElsaWin\bin\wiProt.dll
O23 - Service: Abaqus - Macrovision Corporation - C:\Programme\Abaqus\Licence\License\Lmgrd.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\Programme\Fingerprint Sensor\AtService.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Catia\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN_Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Fujitsu HaMDevMg.1.01 (HaMDevMg.1.01) - Fujitsu Technology Solutions - C:\Programme\Gemeinsame Dateien\Fujitsu\Manageability\HaMDevMg.exe\1.01\HaMDevMg.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAdm.exe
O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAuf.exe
O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - C:\ElsaWin\bin\LcSvrDba.exe
O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - C:\ElsaWin\bin\LcSvrHis.exe
O23 - Service: ELSA PASS Server (LcSvrPAS) - Volkswagen AG - C:\ElsaWin\bin\LcSvrPas.exe
O23 - Service: ELSA APOSpro Server (LcSvrSaz) - Volkswagen AG - C:\ElsaWin\bin\LcSvrSaz.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe
O23 - Service: ELSA Vaudis Service (VSGate) - Volkswagen AG - C:\ElsaWin\bin\VSgate.exe

--
End of file - 10199 bytes

Alt 21.12.2009, 08:39   #2
kira
/// Helfer-Team
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________


Alt 22.12.2009, 09:46   #3
jsr
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



Hallo und vielen Dank für die Anleitung um die Log-files zu erstellen. Leider habe ich das Problem, dass GMER OHNE Avira abstürzt. Mit Avira läuft es bis zum Ende, allerdings kann ich dann das Ergebniss nicht speichrn.

Sobald ich es geschafft habe, werde ich es sofort unline hinterlegen.

Nochmals vielen Dank für die Unterstützung.
__________________

Alt 22.12.2009, 13:42   #4
jsr
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



so, jetzt hat es endlich funktioniert.

hier die links zu den entsprechenden log-files:

Scan mit CCleaner
Scan mit filelist.bat
Scan mit GMER

hoffe ihr könnt mir damit weiterhelfen.

Alt 23.12.2009, 07:12   #5
kira
/// Helfer-Team
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



hi

1.
- xp-AntiSpy - wäre gute Idee abzustellen (Störungsfaktor), vorher auf Standardeinstellungen zurücksetzen zurücksetzen!
- TuneUp Utilities auch abstellen
- - unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> schreibst Du in das Dialogfenster den Befehl services.msc rein-> Ok
Dienst auf "Manuell" stellen

2.
Master Boot Record überprüfen:
  • Lade Dir die MBR.exe von GMER herunter
  • Speichere auf deinem Desktop
  • Per Doppelklick starten.
  • wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

4.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben


Alt 24.12.2009, 10:42   #6
jsr
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



Hier der Log der mbr.exe:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0xfc4d23e0
NDIS: Bluetooth-Gerät (PAN) -> SendCompleteHandler -> 0xfaede460
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Alt 24.12.2009, 11:05   #7
Hawky
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



Ich weiß gar nicht in welche Topic ich das reinschreiben soll, gibt ja einige zu dem Thema zur Zeit.

Habe/hatte den gleichen Befall. Selbst das zurückspielen eines definitiv sauberen, 1,5 Monate alten Images hat spätestens nach dem 2ten Neustart des Systems für eine Neuinfektion gesorgt. Das Ding steckt auf jeden Fall im MBR um sich jederzeit erneuern zu können.

Was ich bisher noch rausfinden konnte ist, das es sich (nachdem es sich erneuert hat) in einem Helfer-Benutzerprofil versteckt (genauer Name des Accounts ist mir grad entfallen, hab das System jetzt eventuell wieder halbwegs sauber), und von dort aus Java Scripte ausführt die jederzeit das System neu kompromitieren. Eine der Seiten die es "zufällig" rerouted installiert auf dem System auch die a.exe, b.exe, c.exe sowie msa.exe, also den Blattschuss für das Betriebssystem.

Das einzige was bisher geholfen zu haben scheint ist, das ich ein älteres Image aufgespielt habe, danach das Windows NICHT gestartet habe, und stattdessen über die WinXP InstallationsCD fixboot sowie fixmbr ausgeführt habe. Dann das System starten, und nochmal mbr.exe von GMER ausgeführt.

Den direkt kompromittierten Code meldet mir mbr.exe daraufhin nicht mehr, allerdings bekomme ich immer noch die meldung von "malicious code @ sector xyz". Ob mir das noch zu denken geben muß kann ich jetzt noch nicht sagen, auf jeden fall läuft das System bei mir jetzt so erstmal Augenscheinlich sauber weiter, andere Tools melden auch nix mehr, und der Internet Explorer sowie Firefox verhalten sich (auch wieder Augenscheinlich) normal.

Ich wäre ehrlich gesagt froh wenn es zu dem Problem ne Sammeltopic gäbe, ich glaube das das was "interessanteres" zu sein scheint was da durch die Systeme rollt.

Alt 24.12.2009, 11:56   #8
jsr
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



hier der log mit malwarebytes':

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3423
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.12.2009 12:55:56
mbam-log-2009-12-24 (12-55-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 365826
Laufzeit: 55 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 29.12.2009, 10:32   #9
kira
/// Helfer-Team
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



@Hawky

Allgemeine Forenregeln: Neue Thread eröffnen!
Also bitte nicht in die Threads anderer User hineinposten,sondern suche dir das richtige Unterforum für deine Frage aus!
Dort "Neues Thema" auswählen und dein Problem so kurz und detailliert wie möglich beschreiben

Alt 29.12.2009, 10:32   #10
kira
/// Helfer-Team
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



@jsr

Punkt 4. - Kaspersky -> http://www.trojaner-board.de/80590-s...tml#post488588 - kommt noch?

Alt 02.01.2010, 16:58   #11
jsr
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



Oh entschuldige bitte... habe den Scan noch am 24. gemacht gemacht, dann aber vergessen hier zu posten. Die Feiertage waren bis gestern der Stress pur... Und mit Frau, Kind und Kegel war dann keine Zeit mehr, um ins Internet zu gehen.

Link zum Online-Scan von Kaspersky

Alt 05.01.2010, 01:13   #12
kira
/// Helfer-Team
 
Suchergebnisse bei google werden zu Werbeseiten verlinkt - Standard

Suchergebnisse bei google werden zu Werbeseiten verlinkt



hi

1.
Gelöschte Mails endgültig löschen:
1. Beende Outlook Express.
2. Suche über die Windows-Suche („Start, Suchen“ oder im Windows-Explorer) nach der Datei „Gelöschte Objekte.DBX“. Da die Datei normalerweise versteckt gespeichert ist, musst Du im Explorer einstellen, dass versteckte Dateien sichtbar sind: „Extras, Ordneroptionen, Ansicht, Alle Dateien und Ordner anzeigen“.
3. Lösche die Datei.
4. Starte Outlook Express wieder – das Programm legt dann die Datei „Gelöschte Objekte.DBX“ neu an.

2.
das solltest ab und zu mal machen:
Outlook öffnen-->Datei-->Ordner-->Alle Ordner komprimieren...
Starte dein Mailprogramm, lösche den Inhalt aus der Inbox und leere dann den Papierkorb deines Mail-Programms:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren - (im Menü Datei, Alle Ordner des Kontos komprimieren)

3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 17 schon fällig!)

4.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Gibt es Probleme mit dem Rechner?

Geändert von kira (05.01.2010 um 01:18 Uhr)

Antwort

Themen zu Suchergebnisse bei google werden zu Werbeseiten verlinkt
.com, adobe, agere systems, antivir, antivir guard, avira, bho, desktop, einstellungen, excel, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, mozilla, mp3, notification, pdf-datei, rundll, scan, software, system, windows, windows xp



Ähnliche Themen: Suchergebnisse bei google werden zu Werbeseiten verlinkt


  1. Statt Google-Suchergebnisse immer Link auf Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 19.03.2013 (9)
  2. Google Suchergebnisse führen auf Werbeseiten, sowie dauerhafte Deaktivierung Windows Sicherheitscenter
    Log-Analyse und Auswertung - 10.01.2013 (5)
  3. Google Suchergebnisse leiten ständig auf Werbeseiten etc. um
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (7)
  4. Google verlinkt auf englische Werbeseiten (Firefox, Opera)
    Plagegeister aller Art und deren Bekämpfung - 21.06.2012 (32)
  5. Google Suchergebnisse werden weiter geleitet Windows 7 Firewall kann nicht mehr aktiviert werden
    Log-Analyse und Auswertung - 15.07.2011 (19)
  6. Google Suchergebnisse werden weitergeleitet + Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2011 (24)
  7. google Suchergebnisse sind falsch verlinkt, erst beim 3.Versuch wird die richtige Seite geöffnet
    Log-Analyse und Auswertung - 15.04.2011 (54)
  8. Google Suchergebnisse werden zu Werbeseiten umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 13.04.2011 (1)
  9. Google und Bing Suchergebnisse werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (39)
  10. Google Suchergebnisse werden umgeleitet
    Log-Analyse und Auswertung - 16.11.2010 (12)
  11. Google Suchergebnisse und Links werden umgeleitet
    Log-Analyse und Auswertung - 24.09.2010 (16)
  12. Auch bei mir werden Google-Suchergebnisse umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 20.01.2010 (19)
  13. Google-Suchergebnisse sind falsch verlinkt
    Log-Analyse und Auswertung - 26.01.2009 (6)
  14. Google-Suchergebnisse landen auf Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 21.01.2009 (1)
  15. PC sendet Datenpackete und Google verlinkt auf Werbeseiten!!! Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.09.2007 (5)
  16. Google Suchergebnisse werden umgelenkt
    Log-Analyse und Auswertung - 21.02.2007 (3)
  17. Google Suchergebnisse falsch verlinkt
    Plagegeister aller Art und deren Bekämpfung - 27.09.2006 (1)

Zum Thema Suchergebnisse bei google werden zu Werbeseiten verlinkt - Hallo Leute, ich bin langsam am verzweifeln... Wnn ich mit google eine Suche durchführe und auf einen gefundenen Link klicke, werde ich zu unseriösen Werbeseiten umgeleitet. Meistens zu der Seite - Suchergebnisse bei google werden zu Werbeseiten verlinkt...
Archiv
Du betrachtest: Suchergebnisse bei google werden zu Werbeseiten verlinkt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.