google links führen zu falschen seiten
 

hallo und guten morgen!

ich bin neu hier und ihr seit meine letzte rettung! :confused:

seit letztem donnerstag habe ich das problem, dass mich die links nach einer google suche auf irgendwelche seiten schicken, die ich nicht besuchen möchte.
in der adresszeile steht allerdings immernoch die richtige adresse - also die die ich auch gerne besuchen möchte!!!

leider handelt es sich hierbei auch noch um meinen firmen PC!!!!

avira und malwarebyts haben zwar diverse dinge auf meinem pc gefunden aber das problem leider nicht behoben :daumenrunter:

da ich mich mit sowas leider auch gar nicht auskenne weiß ich jetzt nicht mehr weiter!!!!!
bitte, kann mir jemand helfen????

das thema wurde hier schon behandelt aber bei den lösungen immer darauf hingewiesen das es spezielle lösungen nur für den einzelnen und somit nicht für andere anwender sind.
somit poste ich hier nochmal!

da ich davon ausgehe - weil es alle anderen auch machen mussten - habe ich ein hijackthis logfile erstellt und füge dieses an!

vielen, vielen dank vorab für eure hilfe!!!!!
HiJackthis Logfile:
--- --- ---

hier noch das logfile von defogger:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 10:29 on 17/11/2011 (Sekretariat)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

im anhang noch die anderen files die gewünscht werden....
hoffentlich könnt ihr mir helfen!

ach ja, ich bin ziemlich sicher das ich das problem seit letztem donnerstag 10.11. habe. da awr ich auf einer bekannten seite die filme und serien hostet... :stirn:

danke nochmal!

Und wo sind die Logs dazu? Bitte alle posten!

sorry, tut mir leid!!!!!!!
wusste ich nicht das die auch benötigt werden da sie ja nicht geholfen haben!
aber hier jetzt das was ich habe!

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8175

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

16.11.2011 15:42:20
mbam-log-2011-11-16 (15-42-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 350293
Laufzeit: 35 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\sekretariat\AppData\Local\874fadc1\U\80000000.@ (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\sekretariat\AppData\Local\874fadc1\U\800000cb.@ (Backdoor.0Access) -> Quarantined and deleted successfully.
c:\Users\sekretariat\AppData\Local\874fadc1\U\800000cf.@ (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\Users\sekretariat\AppData\LocalLow\mywebsearch\bar\setups\my web search installer.exe (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\Users\sekretariat\AppData\LocalLow\Sun\Java\deployment\cache\6.0\30\7181365e-476a13e8 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\assembly\GAC_MSIL\Desktop.ini (Trojan.Agent) -> Delete on reboot.
c:\Windows\Temp\wpbt0.dll (Trojan.Agent) -> Quarantined and deleted successfully.



Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8175

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

16.11.2011 15:55:07
mbam-log-2011-11-16 (15-55-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 204025
Laufzeit: 3 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


14:03:44 Sekretariat MESSAGE Protection started successfully
14:03:48 Sekretariat MESSAGE IP Protection started successfully
14:04:11 Sekretariat IP-BLOCK 206.161.121.100 (Type: outgoing, Port: 54631, Process: svchost.exe)
14:22:17 Sekretariat IP-BLOCK 206.161.121.100 (Type: outgoing, Port: 55175, Process: svchost.exe)
14:38:31 Sekretariat IP-BLOCK 206.161.121.100 (Type: outgoing, Port: 55338, Process: svchost.exe)



die sachen von antivir habe ich angehängt!

vielen dank für deine hilfe!!!!

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

FERTIG!
hat lange gedauert aber dafür auch was gefunden!
bitteschön!

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3707d3f6e24d3e4eaf47998a4d227ed6
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-17 12:14:22
# local_time=2011-11-17 01:14:22 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 88494 88494 0 0
# compatibility_mode=1792 16777215 100 0 43018871 43018871 0 0
# compatibility_mode=5892 16776573 100 100 15917 159060453 0 0
# compatibility_mode=8192 67108863 100 0 3719 3719 0 0
# scanned=181756
# found=9
# cleaned=0
# scan_time=4311
C:\Program Files\Avira\AntiVir Desktop\avguard.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Google\Update\GoogleUpdate.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\iPod\bin\iPodService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Sekretariat\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\7f7680a8-263396ca Java/TrojanDownloader.OpenStream.NAX trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\drivers\ndasfat.sys Win32/Sirefef.DM trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} a variant of Win32/Sirefef.CH trojan 00000000000000000000000000000000 I

Ich denke es macht hier keinen großen Sinn mehr an diesem System zu doktorn. AntiVir hat schon etliche manipulierte EXE Dateien gefunden, ESET auch noch ein paar. Wer weiß, welche EXE Dateien noch manipuliert aber von keinen der Scanner gemeldet wurden. Selbst MBAM wurde "gepatcht" (bösartig)

Meine Empfehlung: Du solltest deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!

:heulen:
OMG!
wie ich ja bereits sagte ist das der firmen pc...
ich habe keine ahnung wie ich den "plattmache" bzw. wieder so herstelle das alles läuft!!!!

ich weiß ehrlich gesagt noch micht mal was du mit: "...alle Partitionen auflösen, neu erstellen und formatieren." meinst!!!!
das einzige was ich gut kann ist die passwörter ändern :-)

ist nicht so mein ding. aber vielleicht gibt es irgendwo eine bebilderte schritt für schritt anleitung???? :confused:

EDV-Kollegen anrufen oder externen Dienstleister beauftragen.
Einen derart verseuchten Büro-PC zu bereinigen halte ich für verantwortungslos hoch drei!

Artikel Neuinstallation von Windows durchlesen. Denk vor dem löschen des Systems unebdingt an die Sicherung von Daten/Bewegungsdaten falls da noch was Wichtiges auf der Festplatte dieses Rechners ungesichert liegt.

Darf man erfahren welche Position du in der Firma hast und warum du dieses Rechner zur Bereinigung bekommst? Hat "deine" Firma eigentlich eine EDV-Abteilung die für solche Sachen nicht da sein sollte?

leider haben wir keine edv abteilung!
und da es mein rechner ist muss ich mich wohl darum selber kümmern!

werde jetzt mal - mit hilfe - versuchen eine systemwiederherstellung zu machen.
hoffe das funktioniert!

vielen dank erst mal für deine hilfe!!!

Die SWH wird da vermutlich auch machtlos sein.
Wenn du damit nicht weiterkommst ist Neuinstallation angesagt. Ehrlich gesagt würde ich die SWH garnicht mehr probieren.

Wenn man keine EDV-Abteilung hat, muss Chef die Kosten für externen Dienstleister einkalkulieren :pfeiff: