Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.03.2011, 15:14   #1
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Icon34

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Hallo zusammen,

seit 2 Tagen habe ich nun auf den unterschiedlichsten Seiten (Facebook, Google, Sport1, so ein Zeug...) das Problem, dass ich entweder auf eine Seite "gostats.com" weitergeleitet werde (sehe ich unten in der Statusleiste), oder neuerdings werden auch Werbungen irgendwann eingeblendet, wo dann oben steht "served by Yourprofitclub".

Nach einigen Recherchen konnte ich zumindest das Problem mit "gostats.com" irgendwie beheben. Ich habe Malwarebytes' Anti-Malware installiert und gefundene Sachen gelöscht, ich habe SUPERAntiSpyware installiert und Vorkommnisse gelöscht, ich habe einen "ATF Cleaner" im gesicherten Modus von WinXP laufen lassen und Sachen entfernen lassen.
Dann bin ich endlich mal, weil ich mich an HijackThis erinnert habe, auf dieses (endlich mal deutschsprachige) Board gestoßen.
Gerne hätte ich auch zu dem gleichen Problem (http://www.trojaner-board.de/95907-i...seiten-um.html) geantwortet, aber anscheinend war mir das nicht erlaubt, also mache ich ein neues Fass auf.

Nun bin ich letztendlich auch der Anleitung des CCleaners gefolgt und habe anschließend einen Scan mit ComboFix gemacht.

Ob sich mittlerweile etwas geändert hat, keine Ahnung, jedoch habe ich die wage Vermutung, dass das Problem immer noch nicht behoben ist. Denn auch nach mehrfachen Durchläufen mit Anti-Spyware und SUPERAntiSpyware kam es später trotz der Isolation und Löschung der vermeintlichen Viren/Malware trotzdem wieder zu Vorkommnissen, die wieder gleich aussahen. Ich stehe also wieder am Anfang und ich kann auch nicht alle 4 Std einen kompletten Scan laufen lassen, um dann 1 Std wieder frei surfen zu können.

Im Anhang findet ihr Logdateien (ja, auch Hijackthis, wenn es vielleicht was nützt...), in der Hoffnung, dass man da evtl was findet...

In der Hoffnung, dass mir hier jemand helfen kann um die Malware endlich mal in den Griff zu bekommen, verbleibe ich mit vielen Grüßen.
Angehängte Dateien
Dateityp: txt CombiFix log 01.03.2011 15.51.txt (21,5 KB, 216x aufgerufen)
Dateityp: txt hijackthis.txt (8,8 KB, 208x aufgerufen)

Alt 01.03.2011, 15:26   #2
markusg
/// Malware-holic
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



bitte combofix niemals nicht mehr ohne anweisung nutzen.
dieses tool ist nur unter anleitung eines erfahrenen helfers einzusetzen da es probleme geben kann
öffne Malwarebytes logdateien, poste alle logs.
start programme zubehör editor kopiere rein


Killall::
Rootkit::
c:\windows\system32\bdb88c09.exe
c:\windows\system32\iwteamzygwd.exe
c:\windows\system32\Langi.dll

datei speichern unter, ort dort wo sich combofix.exe befindet, dateityp alle dateien
name
cfscript.txt
ziehe cfscript auf combofix programm startet log posten
__________________

__________________

Alt 01.03.2011, 20:39   #3
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Ich habe ComboFix ja nur ausgeführt, weil es im anderen Thread mit den gleichen Symptomen als Lösung stand.

Anbei die Log-Dateien vom 2. Durchlauf ComboFix und Malware...

Danke schonmal für die Antwort!
__________________
Angehängte Dateien
Dateityp: txt CombiFix log 01.03.2011 19.34.txt (21,2 KB, 210x aufgerufen)
Dateityp: txt mbam-log-2011-02-28 (12-10-08).txt (3,5 KB, 239x aufgerufen)
Dateityp: txt mbam-log-2011-03-01 (14-05-29).txt (1,4 KB, 190x aufgerufen)

Alt 02.03.2011, 10:29   #4
markusg
/// Malware-holic
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



update mal Malwarebytes und mach nen vollständigen scan, log posten, funde löschen
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 02.03.2011, 22:54   #5
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Hey,

hab nochmal n Scan gemacht, er hat diesmal nichts gefunden, lag aber wahrscheinlich daran, dass ich vorher n Quick-Scan gemacht hab und er da schon was gefunden hatte (siehe frühere LOG).

Das Problem besteht dennoch. Immer wenn er was bei nem Scan findet habe ich 1-2 Std Ruhe, dann bekomme ich auf jeglichen Seiten zu irgendwelchen Zeitpunkten verschiedenste Werbungen eingeblendet :/

Angehängte Dateien
Dateityp: txt mbam-log-2011-03-02 (13-13-59).txt (1,7 KB, 184x aufgerufen)
Dateityp: txt mbam-log-2011-03-02 (16-01-54).txt (1,1 KB, 177x aufgerufen)

Alt 03.03.2011, 10:18   #6
markusg
/// Malware-holic
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



poste bitte auch die alten logs von malwarebytes, zu finden unter logdateien.
__________________
--> Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"

Alt 03.03.2011, 12:21   #7
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Ich habe bereits alle 4 gepostet, siehe den Post vom 01.03.2011, 21:39.
Mehr habe ich nicht, sorry...

Alt 03.03.2011, 12:39   #8
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Ich könnte noch 2 Log vom SUPERAnti-Spyware anbieten, falls das was hilft. Glaube aber mittlerweile, dass nur eine Neuinstallation das Problem behebt

Alt 03.03.2011, 13:55   #9
markusg
/// Malware-holic
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



poste einen GMER report
http://www.trojaner-board.de/74908-a...t-scanner.html
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.03.2011, 07:38   #10
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Soo, anbei der Log vom GMER Scan. Habe übrigens grad auch hier just auf dieser Forums-Seite Werbung eingeblendet bekommen...

Alt 04.03.2011, 10:16   #11
markusg
/// Malware-holic
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
nutzen und log posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.03.2011, 11:24   #12
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



1 Threat gefunden:

Service name: sptd
Service type: Kernel driver (0x1)
Service start: Boot (0x0)
File: C:\WINDOWS\system32\Drivers\sptd.sys
MD5: cdddec541bc3c96f91ecb48759673505

Habe das hier abgeschrieben, weil unten in der Log-Datei ja nur steht, dass ich die Bereinigung übersprungen habe (stand ja so in der Anleitung)

Alt 04.03.2011, 11:32   #13
markusg
/// Malware-holic
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



ok das ist nichts gefährliches.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.03.2011, 11:51   #14
Branclynn
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



Done. Musste die OTL.txt splitten, da sie zu groß für einen Upload war.
Angehängte Dateien
Dateityp: txt OTL1.txt (69,6 KB, 140x aufgerufen)
Dateityp: txt OTL2.txt (71,9 KB, 128x aufgerufen)
Dateityp: txt Extras.Txt (56,3 KB, 202x aufgerufen)

Alt 04.03.2011, 13:31   #15
markusg
/// Malware-holic
 
Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Standard

Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"



O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
warum sind dieser und weitere in deiner hosts zu finden?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"
anfang, anleitung, anti-malware, cleaner, combofix, entfernen, firefox, gelöscht, google, hallo zusammen, hijack, hijackthis, logdateien, malwarebytes, neues, problem, scan, seite, seiten, superantispyware, surfen, trotz, weitergeleitet, weiterleitung, werbung, winxp



Ähnliche Themen: Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"


  1. Link Klick öffnet zunächst eine Link Fremde Seite " Casino Werbung " " Siele Werbung " "Erotik Seiten " oder ähnliches!
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (17)
  2. neuer PC auf einmal sehr langsam, Firefox-Meldungen "Skript beschäftigt oder antwortet nicht", "keine Rückmeldung"
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (26)
  3. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  4. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  5. Firefox wird von Werbung zugespammt ("Ads by ss8" und jetzt "Ads bei info")
    Log-Analyse und Auswertung - 16.09.2014 (30)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  8. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  9. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  10. "Falsche" E-Mail von Freund mit Link ins Netz -> Virus oder nur "Werbung"?
    Log-Analyse und Auswertung - 30.07.2012 (1)
  11. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  12. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  13. Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"
    Log-Analyse und Auswertung - 10.03.2011 (4)
  14. Wie soll ich "HTML/Rce.gen" in "\Firefox\Profiles\p2hadvdz.default\Cache" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (1)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" - Hallo zusammen, seit 2 Tagen habe ich nun auf den unterschiedlichsten Seiten (Facebook, Google, Sport1, so ein Zeug...) das Problem, dass ich entweder auf eine Seite "gostats.com" weitergeleitet werde (sehe - Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"...
Archiv
Du betrachtest: Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.