Google Redirector
 

Eine Bekannte beobachtet auf ihrem XP Rechner seit ca. 1 Woche folgendes:

Ein Klick auf die Resultate einer Google Suche führt meist zu Websites mit
Werbung/ Spam/ Malware., ohne Bezug zur Suche.

Sie meinte, das hätte ganz aus heiteren Himmel angefangen, keine Installation, kein Absturz o.ä.

Das Problem war mit dem IE und Chrome reproduzierbar. Die Suchmaschiene Benefind war nicht betroffen, andere hab ich nicht probiert.

Beim Stöbern fiel mir auf, das die Google Toolbar bei Deinstallation nur eine Fehlermeldung brachte.
Ich hab die GoogleToolbar.dll und GoogleToolbarUser.exe gelöscht.

Damit verschwand zwar das Problem, die Datein selbst scheinen, laut Markus und Virustotal, aber harmlos zu sein.

Wo finde ich den Übeltäter?

Anhang OTL Files

Danke und Gruß Leonardo8

Hallo Leonardo8 und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.



Ich habe ihn wohl schon gefunden.
Mach aber zuerst noch das:


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Bitte poste in deiner nächsten Antwort:

• Log von Gmer

Hallo Leo,


hier das log vom Gmer:

---------------------------------------------------------------------------------------------GMER Logfile:
--- --- ---
------------------------------------------------------------------------------

Danke und bis bald :-)

Leonardo8

Hallo,

hier kommen die nächsten Schritte:


Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2

Falls noch nicht vorhanden, lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Starte bitte die OTL.exe.
• Unter Extra Registry, wähle Use SafeList.
• Setze den Haken bei Scan all Users.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle anderen Programme.
• Klicke nun auf Run Scan.
• Kopiere danach den Inhalt von OTL.txt und Extras.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Combofix
• Logs von OTL

Das laden der Reparaturkonsole dauerte ziemlich lang, lief dann über Nacht.


Hier die gewünschten logs:

Log Combofix:

--------------------------------------------------------------------------------------------------------------Combofix Logfile:
--- --- ---
------------------------------------------------------------------------------------------

Log OTL.txt

-------------------------------------------------------------------------------------------OTL Logfile:
--- --- ---
-------------------------------------------------------------------------------------

und Extra.txt

----------------------------------------------------------------------------------------OTL Logfile:
--- --- ---
--------------------------------------------------------------------------------------------------------------------------
danke und Gruß Leonardo8

Hallo,

hier die nächsten Schritte:


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Software.
• Suche und deinstalliere dort folgenden Eintrag:
  • Ask Toolbar
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschliesslich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link.
• Speichere es erneut auf den Desktop (wichtig!).
• Drücke die {Windows} + R Taste, schreibe notepad in das Ausführen Fenster und drücke OK.
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  http://www.trojaner-board.de/132574-google-redirector.html#post1034183

Collect::
c:\windows\system32\wbdbasef.dll

File::
c:\windows\Tasks\Jdmhejm.job

  ---

• Speichere dies als CFScript.txt auf deinen Desktop.
• Wichtig: Stelle deine Antiviren-Software temporär ab. Diese kann ComboFix bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schliesse alle anderen laufenden Programme, damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Zum Schluss wird Combofix Dateien zur Analyse einschicken. Folge einfach den Anweisungen, um dies zuzulassen.
• Wenn ComboFix fertig ist, wird es ein Log erstellen (C:\ComboFix.txt).
• Bitte füge den Inhalt dieses Logs in deine Antwort ein.

Schritt 3

Lade bitte folgendermassen Dateien bei uns zur Analyse hoch:

• Deaktiviere bitte temporär deinen Virenscanner.
• Suche folgenden Ordner

  C:\Qoobox

  und packe ihn in ein zip-Archiv (Rechtsklick darauf -> Senden an -> zip-komprimierten Ordner).
• Gehe nun zum Trojaner-Board Upload-Channel:
  1. Drücke auf Durchsuchen..., wähle das erstellte zip-File aus und klicke Öffnen.
  2. Füge den Link deines Themas im Forum in das entsprechende Feld ein.
  3. Gib deinen Benutzernamen ein.
  4. Drücke auf den Button Hochladen.
• Du kannst jetzt deinen Virenscanner wieder aktivieren.
  (bebilderte Anleitung)

Schritt 4

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Combofix
• Log von OTL

Es gibt leider ein Problem. Der Computer startet jetzt nicht mehr. Werd mal schnell hinfahren. Der Reboot nach dem Combofix Lauf war ok, OTL ist in normaler Zeit durchgelaufen.

Ich vermute, daß Combofix das Problem verursacht hat. Wie krieg ich es dazu, das wieder rückgänig zu machen?

Gruß Leonardo8

Hallo,

seit wann bootet er nicht mehr? Nach den obigen Schritten? Oder bevor du die neuen Anleitungen in Agriff genommen hast?
Kannst du mir bitte genauer beschreiben, was passiert, wenn du den Rechner starten willst?

Bildschirm zeigte Windows wird gestartet, dann passierte nichts mehr.

Habs behoben. der Desktop war aufgeräumt worden, dabei der combofix.exe in ein Verzeichnis auf dem Desktop verschoben worden.

Habs im abgesicherten Modus rückgänig gemacht, jetzt geht er erstmal wieder.

Die Ask Toolbar hab ich in Systemssteuerung ->Software nicht gefunden.

Soll ich jetzt das restliche Prog abarbeiten ?

Gruß Leonardo8

Ja, dann mach mit den restlichen Schritten weiter.

Ist durchgelaufen.

Der scheint erst mal weg zu sein.

Der Rechner verhält sich leider immer noch nicht normal

-- Sehr lanlsamer Start.

Ständige Festplattenaktivitäten, auch wenn eigentlich kein Anwenderprogramm läuft. Laut Taskmanager CPU Auslastung ca 6%

Programme starten recht zäh

Ein Java basiertes ANwenderprogramm startet nicht mehr (ging vor dem letzten Lauf noch..

Vielleicht ist doch noch was auf der Kiste...
Da ich die Tage wegfahren werde wird mir die Zeit knapp.. ev. mach ich morgen ne Neuinstallation.
Soll ich noch irgendwas für das Board rausziehn??


Die LOGs:

Combofix.

-------------------------------------------------------------------------------Combofix Logfile:
--- --- ---
Hochladen war erfolgreich
----------------------------------------------------------------------------------------------------

OTL:

----------------------------------------------------------------------------------------------------------OTL Logfile:
--- --- ---
--------------------------------------------------------------------------------------------------------------

Uplod des Fans kommt gleich..


Gruß Leonardo8

Hallo,

danke für den Upload.

Ich glaube, dass das nicht durch Malware verursacht wird, sondern einen anderen Grund hat.
Mach bitte Schritt 1 und schau dann nach einem Neustart, ob der Rechner wieder flüssiger läuft, bevor du neu installierst!
(Malware ist nämlich sonst im Moment keine zu sehen, wir wären bald fertig.)


Schritt 1

HDD-Controller-Treiber zurücksetzen nach Scan mit GMER
(Originalwebseite und mit freundlicher Genehmigung von Hans-Georg Michna)

• Mache einen Rechtsklick auf diesen LINK, wähle "Ziel speichern unter ..." und speichere es auf deinem Desktop.
• Falls die Datei als resetdma.vbs.txt gespeichert wird, benenne sie um in resetdma.vbs
• Starte die Skriptdatei und lasse die Ausführung zu. Achtung Virenscanner könnten anschlagen.
• Falls das Programm etwas gefunden und repariert hat, starte deinen Computer neu.
• Berichte, ob sich die Performance verbessert hat.

Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

Downloade dir bitte Malwarebytes Anti-Malware.

• Installiere das Programm in den vorgegebenen Pfad.
• Starte nun Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 4

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 5

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Ok werd ich probieren.

Leider bin ich jetzt ein paar Tage weg, werd für die Bekannte was basteln müssen...

Bis dann Leonardo8

In Ordnung, danke für die Mitteilung.

HAbs doch noch geschafft :-))



HDD-Controller-Treiber zurücksetzen hat gefühlt eher wenig gebracht


ADware Cleaner
-------------------------AdwCleaner Logfile:
--- --- ---

------------------------------------------

Malware Bytes:

------------------
Malwarebytes Anti-Malware (Test) 1.70.0.1100
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.03.25.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
***** :: **_******** [Administrator]

Schutz: Aktiviert

25.03.2013 12:39:20
mbam-log-2013-03-25 (12-39-20).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 255756
Laufzeit: 6 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

-----------------------------------


ESET Scanner:

etwas im Cache werde den Cache löschen
-----------------------------------

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45\7dd0a5ad-10f7b848 a variant of Java/Mocup.B trojan
C:\Qoobox\Quarantine\[4]-Submit_2013-03-24_20.19.08.zip a variant of Win32/Ponmocup.GE trojan

--------------------------------------

Securyty Check

---------------------------
Results of screen317's Security Check version 0.99.61
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Spybot - Search & Destroy
Malwarebytes Anti-Malware Version 1.70.0.1100
Java(TM) 6 Update 21
Java(TM) 6 Update 6
Java 2 Runtime Environment, SE v1.4.2_10
Java version out of Date!
Adobe Reader XI
Google Chrome 25.0.1364.152
Google Chrome 25.0.1364.172
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

-----------------------------------------------

Soweit sieht es wirklich gut aus.

Computer ist nach den Scanns wieder benutzbar, etwa wie vorher...


Danke und bis bald!!

Gruß Leonardo8