Google-Weiterleitung auf unerwünschte Seiten
 

Hallo und guten Abend -
nachdem ich schon ein paar Mal in Eurem wunderbaren Forum Hilfe für kleinere Ärgernisse gefunden habe, scheine ich diesmal nicht als stummer Nutznieser davonzukommen und wende mich direkt hilfesuchend an Euch.

Seit ein paar Tagen, vermute ich, lenkt google mich bei Klick auf das Suchergebnis um auf sinn- und inhaltslose Seiten (wie searchkismet.com oder gomeo.de). Bei einer Suche im Netz fand ich, dass es sich um was Trojanerartiges handeln könnte.

Wie im Post "Für alle Hilfesuchenden![...]" angegeben, habe ich mich daran gemacht, die notwendigen scans durchzuführen, und hänge sie als .zip an (OTL, Gmer, Malwarebytes). Einzig OTL weigert sich standhaft, neben der otl.txt auch eine extra.txt zu erstellen...

Ich danke für jeden Hinweis und jede Hilfe!
Johannes

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hi Arne -

vielen Dank für die Antwort!
Da waren noch reichlich logs, ich hab mal alle in ein weiteres zip gesteckt; nur zwei davon sind von gestern und haben mit meinem versuch zu tun, google niederzuringen (übrigens passiert mit bing dasselbe, wie ich vorhin gesehen habe...).

Danke!
Jo

Äh bei sowas hört der Spaß aber auf. :nono:

Edit: du hast es deinstalliert und brav vorher den Kram gelöscht, das geht i.O.

Versteh ich, wie Du an den letzten Malwarescans sehen kannst, hab ich windows auch inzwischen ganz regulär und sauber aktiviert etc., die bösen Programme gelöscht – ohnehin waren sie nicht da, um microsoft über den Tisch zu ziehen, sondern aus, zugegeben: vielleicht falscher, Sorge um Privatsphärenschutz.
Da ich eure Richtlinien vor dem Posten gelesen und verstanden habe, habe ich all das entfernt, und nicht etwa getarnt (wie und ob das geht weiß ich ohnehin nicht).

Danke trotzdem.
Jo.

Hm? Ich das KEINE gecrackte Version, die aber mit dem antiwpa behandelt wurde?
Wenn du Microsoft nicht vertraust (offensichtlich nicht, sonst hättest du die Sorge um Privatspäre nicht) - warum verwendest du dann Windows? Und generell ist es absurd aus Sorge um die Privatspäre, die MS lt. Gerüchten in Kreisen des Internets angeblich verletzt, irgendwelche dubiosen Cracks von nicht vertrauenswürdigen Quellen zu nutzen...

Hola -
die Version ist eine ganz rechtschaffen-reguläre, das antiwpa-ding hat "nur", wenn ich es richtig verstanden habe, beim systemstart die wpa-abfrage blockiert; sobald ich es entfernt hatte musste ich auch windows aktivieren, sonst ging beim hochfahren gar nichts: aktivieren oder herunterfahren.
Mein irrationales Beharren auf Windows hat mit Faul- und Dummheit zu tun, da ich mich nach Jahren des Windowsens damit leidlich auszukennen meine (und auch beruflich an MS gar nicht vorbeikomme), andererseits meine große Bewunderung für Linux-Systeme bislang an der nicht unerheblichen Einarbeitungs- und Umgewöhnungsschwelle abgeperlt ist. Das herumspielen mit stärker Windows-ähnlichen Distributionen gibt einem zwar ein warmes Gefühl ums Herz, schmeckt aber auch immer stark nach Kapitulation. Und mit einer irrationalen Reaktion (dubiose Software) eine andere zu kompensieren (MS-Abneigung) ist, m.E., da irrational auch durchaus menschlich. Sie fußt in meinem Fall überdies auf der üblichen Küngelei, die sich seit jeher um das Phänomen Computer bildet (und auch in diesem Board eine höchst löbliche Spielart entwickelt hat), man bekommt von Freunden dies und jenes empfohlen, und da allein schon die Bezeichnung Freund ein hohes Maß an Vertrauen impliziert, die Bezeichnung Microsoft (bzw. Riesenkonzern insgesamt) selbiges naturbedingt eher nicht für sich veranschlagen kann, kommt eines zum anderen, und jetzt setze ich wohl mein System neu auf.

Ade!
Jo

Nein du hast ja brav vorher die Cracks gelöscht. Wenn du neu installieren willst mach es, aber wir können noch bereinigen.

Lieber Arne,
für den womöglich gekränkt erscheinenden Ton meines Posts möchte ich mich entschuldigen. Ich habe ja auch vollstes Verständnis für eure Regeln und Richtlinien. Wenn Du doch bereit bist, Dich meiner anzunehmen, bin ich Dir sehr dankbar. Neuinstallationen sind von Zeit zu Zeit ja auch ganz spaßig, eine andere Lösung wäre mir jedoch sehr viel angenehmer.
Danke -
Jo

Du hast die Regeln ja eindeutig eingehalten - ich bin es, der übers Ziel hinausgeschossen ist! Ich frage immer nach alten MBAM-Log um zu sehen mit welchen Infektionen ich es zu tun habe. Bei Dir war (leider) ein antiwpa dabei, aber ich hätte mich erinnern müssen, dass man vorher sowas Illegales löschen muss. Schwamm drüber? :abklatsch: ?

Schwamm drüberst, gerne. :abklatsch:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Merci!
Folgendes kam dabei heraus:

Jo

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Danke nochmal!

Hier der report:

- Jo

Bitte alles entfernen! Da werkelt ein Rootkit!

Ich hatte im ersten Durchlauf erstmal nur auf "continue" geklickt ohne irgendwas zu verstellen, um nicht im Übereifer was anzustellen...

bei dem backboot-ding bietet der tdskiller mir nur skip, copy to quarantine oder restore an. das schien mir dem entfernen am ähnlichsten.
Log:

nach dem booten hab ich den scan nochmal gemacht, da war der immernoch da, mit denselben optionen:

Danke!!

Jo

Taucht der beim Neustart ständig wieder auf? :wtf:

Hallöle!
Zumindest zweimal hat er das getan. Da ich momentan aber auch fernab meines Rechners bin, kann ich es nicht wieder und wieder verifizieren. Das müsste ich Sonntag Abend machen. Sorry!
Jo

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Frohen Sonntag -

und wie immer: tausend Dank für die Hilfe.

Hier das ComboFix-log:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Verehrtester -

unterwegs kam es zu einem herzlichen bluescreen, angeblich wegen eines plug and play treibers. Ich habe folglich noch kein log. soll ich die prozedur schlichtweg wiederholen, oder lieber ein foto des screens posten?

Verzeihung, verzeihung -

Jo.

Starte neu und wiederhol es bitte, verehrtester :D

Voilà:


:dankeschoen: J.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier die neuesten Posts -

Gmer
Osam:
MBR-Check:
Merci und schönen Wochenauftakt!

Jo

Wir sollten den MBR reparieren. Sichere für den Fall der Fälle jetzt alle wichtigen Daten.

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRcheck und GMER nochmals aus und poste das neue Log.

Hallo!
Danke für die Anweisungen, der MBR scheint nicht explodiert zu sein. Nach mehreren Anläufen hab ich auch gmer dazu gebracht, mir eine logdatei zu überreichen:


MBR:
gmer:

:pfeiff: Jo

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo!
Sagte ich schon Danke?
Anhängend die log-Dateien der teilweise recht zeitaufwändigen Scans.

Jo

Sowas und ähnlichen Müll umgehend löschen!

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner ansonsten wieder ok?

Cosinus!
google macht wieder, was es soll, auch sonst scheint die Maschine zu schnurren und ohne zu murren zu tun, was ich will.

- Tausend Dank! :applaus:

Ich beschränke mich mal auf eines dieser grinsenden Wesen, bevor die ganze Seite im Überschwang blinkt und zuckt. Vielen, vielen Dank für Deine unermüdliche Hilfe!

Jo

Dann wären wir durch! :abklatsch:

Die Programme können alle wieder runter. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.