|
Google Redirect, trotz 3facher Systemneuinstallation nicht beseitigt Guten Morgen allerseits, seit nunmehr einer Woche quält mich - wie einige andere offenbar auch - der hier schon häufiger besprochene und besiegte (?) Schädling (rootkit?), der Google-Links zu obskuren Seiten wie k-directory, gomeo, ask oder andere kommerzielle Seiten umleitet. Unser Heimnetzwerk besteht aus einem Windows XP-Rechner mit Kabelverbindung zum Router und DSL-Modem, einem Vista-Laptop und einem Windows 7-Laptop (beide über WLAN verbunden). Alle Rechner sind/waren infiziert. Nach eingehender Recherche vor allem in diesem Forum (ich bin absoluter Laie, habe aber das Gefühl, hier auf die größte Kompetenz zu stoßen) habe ich mich schweren Herzens enschlossen, meinen seit 4 Jahren unverändert laufenden PC neu aufzusetzen. Der 1. Versuch, den Eindringling loszuwerden, scheiterte, ich vermute wegen meiner mangelnden Konsequenz. Ich habe meine 2. interne Festplatte, eine externe Platte und einen Flashstick unbehandelt gelassen sowie die infizierten Laptops nicht vom Netz genommen. Der 2. Versuch scheiterte ebenfalls. Die infizierten Laptops waren noch über WLAN am Netz. Im 3. Versuch habe ich alle drei PCs vom Netz genommen und neu aufgesetzt, die beiden Laptops über ihr jeweiliges Recovery-Programm, da keine original CD/DVD mitgeliefert wurde. Diese beiden Computer sind noch nicht wieder am Netz und kommen erst wieder dran, wenn ich wenigstens den XP-Rechner sauber habe. Ich habe den Router und das Modem vom Stromkreis getrennt. Die Festplatten des XP-Rechners habe ich neu partitioniert und die Systempartition neu formatiert. Dann habe ich Windows XP neu installiert. Nach erfolgreicher Installation habe ich die nötigen Treiber installiert. Danach bin ich ins Netz um Windows XP zu aktualisieren (SP 3 + unzählige weiter Patches). Danach habe ich Opera als Browser installiert. Den Virenscanner (Kaspersky Internet Security 2010) konnte ich erst nach der Windowsaktualisierung downloaden. Das habe ich dann auch gemacht. Schon bei der Aktualisierung von Kaspersky traten erste Anomalien von Opera auf. Es öffnete sich plötzlich ein neuer Reiter mit der Startseite Google, die ich jedoch noch gar nicht als Startseite eingetragen hatte. Nach der Kaspersky-Aktualisierung bin ich dann erstmals wieder zu Google gegangen und musste feststellen, dass nach wie vor das System kompromittiert ist. Die Links werden nicht immer aber oft zu den o.a. Seiten umgeleitet. Am späten gestrigen Abend sprach Google.de dann spanisch mit mir (vor ein paar Tagen erschien die Google.de-Seite schon einmal in kyrillischer Schrift. Ich habe dann versucht mit Malwarebytes ein Log zu erstellen. Leider ließ sich das Programm nicht aktualisieren. Es gab eine Fehlermeldung aus und einen zu nennenden Fehler-Code. Als nächstes habe ich load.exe heruntergeladen. Es hat ein paar Aktionen gegeben, beim Rebooten gestern abend hat sich der PC allerdings aufgehängt und ich habe aufgegeben. Heute morgen habe ich mir Antivir heruntergeladen und einen Vollscan gestartet, der zu keinen Ergebnissen geführt hat. Ihr seid nun meine vorerst letzte Hoffnung (die soll man ja nie aufgeben). Kaspersky, Antivir (s. Anhang) und MalwareBytes (s.Anhang) haben keinen Befall feststellen können. Verzweifelte Grüße P:balla:rterRix Ich bin gerade darauf aufmerksam gemacht worden, dass ich natürlich vor meinem ersten Netzbesuch die SP3 und einen Virenschutz installieren muss. Ich werde mein System jetzt also noch mal neu installieren und melde mich dann noch mal. Ich hoffe, noch keine Aktivitäten ausgelöst zu haben. Leider hat auch die vierte Neuinstallation keinen Erfolg gebracht. Trotz der Vorsichtsmaßnahme, SP3 und Antivir vor dem ersten Netzbesuch offline zu installieren, wurde ich schon beim ersten Test in Opera mit Google wieder zu k-directory geleitet - statt einer angepeilten wikipedia-Seite. Inzwischen habe ich ein log mit HijackThis erstellt: Code: Logfile of Trend Micro HijackThis v2.0.2Kann mir jemand helfen? |
Hallo und :hallo: Wenn man formatiert und das OS neu aufsetzt sind garantiert alle aktiven Infektionen weg. Es gab schon ein paar Fälle wo der Router manipuliert wurde. Was für einen Router hast du da genau? Wurde das Zugangspasswort zum Router geändert? |
Hallo Arne, ersteinmal vielen Dank, dass du dich meiner Sache annimmst, obwohl meine Anfrage ein wenig chaotisch strukturiert ist. Mein Router ist ein Netgear WGR614 v6. Das Passwort kann ich im Augenblick von meinem PC aus nicht kontrollieren, da die Router-Software dem Neuaufsetzen zum Opfer gefallen ist und ich, da der Internetzugang auch so funktioniert, die Software noch nicht wieder neu installiert habe (never change a running system :killpc:). Die Laptops kommen mit dem vergebenen Passwort ins Netz. Ich schließe daraus, dass das Passwort also unverändert ist. Wenn ich das richtig sehe, könnte ich die Verantwortlichkeit des Routers dadurch ausschließen, dass ich den PC noch mal neu aufsetze und ihn dann direkt über das Modem ins Netz schicke. Zudem scheint mir noch die Möglichkeit zu bestehen, dass die Malware sich tief im RAM oder gar im BIOS verbirgt. Bisher habe ich den PC immer am Stromnetz gelassen, vielleicht hilft eine kurzzeitige Trennung oder gar die Entfernung der Pufferbatterie auf dem Mainboard. Was meinst du? Ulli |
Zitat:
|
Also ich habe hier eine Netgear-CD für meinen Router in den Händen (Ressourcen-CD), auf der - soweit ich mich erinnere - ein Programm ist, mit dem ich den Router konfigurieren kann (z.B. ob und wie ich das Netzwerk verschlüsseln möchte, mit dem ich das Passwort festlege usw.). Wo und wie kann ich das denn im Browser bewerkstelligen? Gruß Ulli |
Zitat:
Sagmal - steht sowas nicht im handbuch? |
Sorry, ich war da total auf dem Holzweg. Du hast natürlich Recht. Auf der CD befindet sich auch nur ein Installations-Wizzard. Ich bin schon so lange nicht mehr in die Routersteuerung gegangen, dass ich das glatt vergessen hatte. |
Wie dem auch sei - ein Router mit Standardpasswort einfach so lassen ist keine gute Idee. Manche Schädlinge belegen das: unsichere Standardpasswörter sind quasi kein Hindernis, da öffentlich bekannt - es konnten daher problemlos Einstellungen am Router umgebogen werden. Und das vermute ich auch bei deinem Router. |
Hallo Arne, ich habe in der Zwischenzeit mein System noch einmal neu installiert. Dieses Mal habe ich vorher die Stromversorgung des PC für ein paar Minuten komplett unterbrochen und die Mainboard-Batterie kurz entfernt (jetzt ist meine S-ATA-Platte verschwunden und ich konnte sie bisher noch nicht wieder integrieren - aber das ist ein anderes Problem). Ich habe Windows jetzt ersteinmal auf meiner zweiten Festplatte installiert, mit allem, was dazu gehört - ohne Erfolg. Meine Google-Links führen mich nach wie vor zu ask, k-directory, gomeo usw. Bleibt eigentlich nur noch der Router. Ich habe das Passwort nun geändert. Nur zum Verständnis: Du meinst das Zugangspasswort, mit dem ich über den Browser in das Konfigurationsmenu des Routers komme, oder? Nicht das WLAN-Passwort, das natürlich individuell und möglichst kyptisch von mir selbst vergeben worden ist. Reicht diese Maßnahme deiner Meinung nach oder muss ich jetzt den Router noch in irgendeiner Art zurücksetzen? Vielen Dank für deine Mühen Ulli |
Ich habe jetzt meine Festplatte wiedergefunden, den Router auf Werkseinstellungen zurückgesetzt, das Zugangspasswort geändert und das System zum 7. Mal (?) neu aufgesetzt. Jetzt scheint es sauber zu sein. Google verhält sich wieder normal. Vielen Dank für deine Hilfe Gruß Ulli |
Ja, da wurde dein Router manipuliert, da wurde eine IP-Nummer eines bösen DNS-Servers einetragen, der dir auf Anfrage nach Google.de nich eine Google-IP, sondern eine andere liefert! Sowas wird immer durch Standardpasswörter erst ermöglicht, das erste was man bei einem Router macht ist dieses zu ändern. Schau auch mal nach, ob es firmwareupdates für den Router gibt. |
ja, der Router hatte offenbar eine manipulierte primäre und sekundäre DNS Adresse. Ich habe jetzt auch die aktuellste Firmware heruntergeladen und dem Router ein Update verpasst. Ich hoffe, den Plagegeist jetzt endgültig los zu sein. Zurzeit habe ich jedenfalls kein auffälliges Browserverhalten. Vielen Dank noch mal Ulli |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:26 Uhr. |
Copyright ©2000-2024, Trojaner-Board