Google verlinkt auf teils anstößige Seiten.
 

Hey Leute,
ich habe ein Problem. Wie schon bei vielen anderen hier werde ich manchmal auf falsche Seiten umgeleitet, wenn ich Suchergebnisse öffnen will. Diese sind teils anstößige Seiten und in letzter Zeit ist es immer die gleiche. Ich habe die Beiträge in diesem Forum schon durchgelesen, jedoch keine brauchbaren Lösungsansatz für mich gefunden. Jetzt habe ich, wie von Larusso beschrieben, die drei Log-Files erstellt und poste die hier mal:
Ein kleines Problem tritt auf: Ich kann die anderen Logs nicht posten, sind vielleicht zu lang. Jedenfalls passiert nach dem Editieren nichts.
OTL:OTL Logfile:
--- --- ---
Extras:OTL Logfile:
--- --- ---
Gmer:

Wo sind die Logs dazu?
Bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ok hier sind alle Logs die bis jetzt entstanden sind. Ich hoffe das sind die gewünschten Logs. Das Datum stimmt in keinem Text. Liegt daran, dass meine PC-Uhr + Datum sich immer verstellt :/

Hoffnungslos veraltet. Installiere die neue Malwarebytes-Version 1.50.11.
Danach manuell mit einem Klick auf den Updatebutton noch die Signaturen updaten auf min. Version 6130. Mach danach einen Vollscan.

Also:
1. Konnte ich keine Setup Datei für MB herunterladen bzw. waren sie dann immer 0 Byte groß und keine gültige Win32-Anwendung. Habe dann über Malwarebytes alles runtergeladen.
2. Nach einer 3 stündigen Suche wurden 20 infizierte Dateien gefunden. Habe dann mal auf Entfernen gedrückt, was hoffentlich kein Fehler war. Nun habe ich noch 41 Objekte in der Quarantäne. Kann ich die problemlos löschen?
3. Hier die lezte LogDatei:

Was hast du mit diesem Schmutz vor? :balla:

Ach das hab ich mal für ein Computerspiel gebraucht. Keine Sorge nichts illegales gemacht ;) Oder meinst du es könnte mir schaden? Ich versteh das Programm sowieso kaum. Aber jetzt brauch ichs eigentlich nicht mehr.
Wie siehts denn sonst aus? Irgendetwas besonders verdächtig? Und die Quarantäne würde ich gern löschen, nur mach ich sowas ungern weil ich ja keine Ahnung von dem Zeugs hab was dort alles landet.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danke habe ich gemacht:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Alles wie beschrieben gemacht. Bis zu dem Punkt als ich cofi.exe öffnen sollte. Ich hab dies gemacht und der PC wurde sofort neu gestartet (also nicht herunter gefahren). Danach ist nichts mehr passiert.

Lade CF neu als cofi.exe herunter und probier es nochmal.

So nun hat alles geklappt :)
Hier das Log:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Vielen Dank schonmal für die ausfürliche Hilfe :)
Einen Neustart hat es zwar nicht gegeben, es wurde auch nach keinem gefragt, aber hier ist das Log:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Okay habe das Kaspersky Tool ausgeführt. Also das obere, den Rest nicht. Es wurde aber nichts gefunden, hier das Log:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Okay hat alles geklappt. Nach MBRCheck hatte ich aber erstmal einen BLueScreen und ich hab den PC neu gestartet. Zweimal kam dann die Mledung von einem Disk Boot Fehler oder so. Jetzt gehts wieder und hier sind die logs:

MBRCheck ist unvollständig!!

Bitte mit OSAM deaktivieren und löschen (delete from storage)

Also habe alles gemacht wie beschrieben. Es sind jedoch 2 Probleme aufgetreten.
1. Habe ich den kgryraod Eintrag nicht gefunden. Hab ein paar mal genau durchgeschaut, er war aber nicht zu finden. Wenn ich das richtig gesehen habe, dann wurden durch den Filter alle "Hidden registry entry, rootkit activity" rot angezeigt. Und es gab nur einen roten Eintrag, der aber nicht der gesuchte war.
2. Habe ich wahrscheinlich versehentlich den Report übersprungen. Es gab da nur eine kleine Box, mit einem Haken und dem Eintrag. Wusste nicht, dass das der Report ist. Nach dem löschen des Eintrags kam diese Box nochmal und ich ahbe dessen Inhalt mal gespeichert:

Hoffe das ist kein großes Problem.

Ist schon ok. Der wurde von GMER generiert und ist eh harmlos.
Der andere wurde anscheinend gelöscht. Schau mal mit OSAM nach, ob der Eintrag auch wirklich gelöscht wurde.

Der Eintrag ist nicht mehr zu finden :)

Poste das Log von mbrcheck bitte noch vollständig.

Das ist alles was drin steht:

mehr steht da nicht?? :confused:

Nein tut mir Leid. Soll cih den Check nochmal machen?

Ja, aber lass mbrcheck mal bitte länger laufen. Ne Minute mindestens.

Tut mir Leid, dass es immer so lange dauert bis ich anworte. Hab ich lezter Zeit viel zu tun. Habe nun einen MBRCheck gemacht, mit dem gleichen Ergebniss:
Der PC ist ausgegangen -> Bluescreen mit dem Hinweis, mein PC wurde ausgeschaltet, damit er nicht beschädigt wird -> ähnliches MBRCheck-Log, das genauso wie das vorherige aufhört.

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. (wurde von combofix installiert)
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Es gibt schon wieder ein Problem. Die Wiederherstellungskonsole ist zwar vorhanden, jedoch kann ich sie nicht ausführen. Während den 2 Sekunden in denen mir die Wahl zwischen Konsole und normalem Start gelassen wird, schaff ich es weder mit Pfeiltasten noch mit der Entertaste irgendwie auf die Konsole zu kommen. Da reagiert nichts.

1.) alle Dateien anzeigen lassen => http://www.trojaner-board.de/59624-a...-sichtbar.html
2.) Rechtsklick auf boot.ini direkt auf Laufwerk C:\ => Eigenschaften => Haken bei Schreibschutz rausnehmen => ok
3.) boot.ini per Doppelklick mit notepad.exe (Editor) öffnen
4.) 2. Zeile ändern zu timeout=30
5.) abspeichern und neu starten
6.) Bootmenü sollte nun 30 Sekunden angezeigt werden

Also ich kann immernoch nichts machen. Die Pfeiltasten und die Entertaste funktioneren nicht. Wahrscheinlich liegt an der Tastatur, die beim Hochfahren noch nicht läuft. Werde in morgen eine andere besorgen :)

USB-Tastatur? Wenn ja, im BIOS die Option USB Keyboard Support aktivieren.

Also wenn ich die Konsole starte kommt da die Frage: Bei welcher Windowsinstallation möchten sie sich anmelden. Dort kann ich dann nur einen Buchstaben eingeben. Konnte also nicht fixmbr etc. eingeben.

Du musst dich da auch schon bei der Windows-Installation anmelden!! Erst dann kann man die Befehle eintippen und ausführen

Ja aber was soll ich denn da eingeben? Wenn ich nur Enter drücke, wird der Vorgang abgebrochen. Ich weiß ja nicht wie ich mich da anmelden soll.

Dir wird eine Ziffer vor der WIndows-INstallation angezeigt. Müsste die 1 sein

Tut mir Leid, dass ich nochmal nachfrage: Da steht, dass das irgendwas mit meinen Partitionen zu tun hat und ich möglicherweise danach nicht mehr darauf zugreifen kann. Ist das richtig so? Da steht nämlich ich soll es lassen, wenn ich keine Probleme mit dem Zugriff habe. Ich weiß das ich Ihnen vertrauen kann, aber wollte nur nochmal sicher gehen.

Ja fixboot und fixmbr müssen bestätigt werden. Musst du machen, sonst werden diese Befehle nicht ausgeführt.

fixmbr und fixboot ausgeführt. MBRChecke nocheinmal versucht, jedoch erscheint immernoch der BlueScreen und ich muss neustarten.

Dann mag dein Rechner mbrcheck nicht...

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So habe nun endlich Zeit gefunden die Scanns laufen zu lassen. Hier die Ergebnisse:

Überreste und Cookies.

Fehlalarme? Kennst du die Dateien?


Du hast Malwarebytes vorher nicht aktualisiert bzw. der Scan liegt schon zu lange zurück.
Bitte updaten und einen Vollscan machen.

Also die WYSIWIG Dateien hab ich noch so dunkel in Erinnerung, dass ich die mal gebraucht hab. Aber eigentlich weiß ich nicht mehr so ganz wofür. Was soll ich denn jetzt mit den Funden von SUPERAntiSpyware machen?
Hier der aktuelle Bericht von MBAM:

Entfern die Funde mal. Falls was wichtiges dabei war, was nicht schädlich ist, kannst du das aus der Quarantäne von SASW wieder zurückholen.

Eine zusätzliche Meinung kann uns ein OnlineScanner geben - bevor du die Teile mit SASW entfernst!!


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Also die Dateien sind glaube ich schon in Quarantäne. Und von dort sollte ich sie erstmal nicht löschen, oder?
Und ist es nötig noch den online Scanner laufen zu lassen?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Als zusätzliche "Meinung" kann der OnlineScanner nicht schaden.

Hey,
tut mir Leid, dass ich jetzt erst wieder antworte. Es ist einfach irgendwie in Vergessenheit geraten.
Also erstmal möchte ich mich bedanken für die ganze Hilfe. Ich find es echt toll, dass das hier einfach so gemacht wird.
Ich mach wahrscheinlich bald nochmal ein paar Scans, da mein PC in letzter Zeit manchmal von alleine Neustartet (also ohne herunterfahren).