|
Probleme mit der Google-Suche Hallo Ich habe seit einer Weile das Problem, dass, wenn ich etwas bei Google suche, statt im selben Tab (Firefox) in einem neuen Tab irgend eine Werbeseite geöffnet wird (im Google-Tab tut sich hingegen nichts.) Wenn ich danach die Adresse hinter dem Link, der mich auf die Werbeseite umgeleitet hat, anschaue, steht dort nicht mehr der "Original Link" sondern so etwas: Zitat:
Und ebenfalls dieses GMER laufen lassen. Auch bei mir findet es hauffenweise Dateien/Einträge von der Art UACd...(irgendetwas). Antivir zeigt nichts an und andere Programme/Online-Checks haben ebenfalls nichts gefunden. Was soll ich tun? Ebenfalls die gleiche Anleitung befolgen. Oder muss ich etwas anderes machen? Als Notlösung habe ich die firefox.exe umbenannt. Danach tritt dieses Problem nicht mehr auf. Dies bekämpft jedoch leider nicht die Ursache, sondern nur die Symptome. Gruss black messiah Ps: GMER Log werde ich schnellstmöglich nachliefern. |
Und so hier noch das GMER-Log: (in Teilen wegen der Längenbegrenzung) Teil 1: Code: GMER 1.0.15.14966 - http://www.gmer.net |
Teil 2: Code: C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) |
Teil 3: Code: ---- Devices - GMER 1.0.15 ---- |
Und noch Teil 4: Code: ---- Services - GMER 1.0.15 ----Gruss black messiah |
Hallo und :hallo: Seit wann hast du Probleme? Ist dir der Auslöser bekannt? Irgendetwas runtergeladen und installiert? 1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
2.) Poste ein neues Gmer-Log. ciao, andreas |
Hallo Also die Probleme habe ich seit ungefähr 2-3 Tagen. In dieser Zeit habe ich jedoch meines Wissens nach keine Programme installiert odr direkt ausführbare Programme gestartet (mit Ausnahme von ProcessExplorer). Ist es möglich sich sowas übrs Internet (präparierte html-Seite odr so ähnlich) einzufangen? Hier noch das Log von Hopsassa/Avenger: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46GMER ist am laufen. Vor morgen (was ja schon in einer Stunde ist) wird das sicher nichts. Aber schon mal Danke (im Voraus) für deine schnelle Hilfe. Gruss black messiah |
Zitat:
Bitte nur in HJT-Logs editieren, die anderen Logs so lassen, wie sie sind. Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Kamera, Handy, Memorysticks, Speicherkarten, externe Laufwerke, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Ups....das kann passieren.... Combofix lasse ich dann morgen laufen. Erstmal GMER fertig werden lassen. Muss ich dann alle Geräte anschliessen oder nur die jenigen, die ich seit dem Befall angeschlossen habe? (habe eben zu wenig USB Stecker) Wie es aber bis jetzt aussieht ist alles wieder in Ordnung (hoffentlich) Gruss black messiah |
So hier noch das Log-File von GMER (nach der Reinigung): Code: GMER 1.0.15.14966 - http://www.gmer.net |
Gut, den Rootkit bist du los und dem Rechner geht es besser, aber durch sind wir noch lange nicht. Die Teile laden üblicherweise Unmengen nach. :( ciao, andreas |
Hallo so Combofix ist auch fertig. Hier das Log: Code: ComboFix 09-04-03.01 - g_hegi 2009-04-04 11:46:16.1 - NTFSx86Gruss black messiah |
Zitat:
Download und Ausführung des Norton-Entfernungsprogramms Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hallo Edit: Ich will/wollte Combofix starten, und es meldete Antivir Desktop wäre noch aktiv, aber ich habe denn LiveGuard deaktiviert. Und jetzt weiss ich nicht was ich tun soll? Combofix starten (nur noch OK drücken) oder wie kann ich Antivir abschalten? Bitte um schnelle/dringende Hilfe! Wieso Spybot deinstallieren? Der sollte doch auch dafür sorgen, dass solche Sachen nicht passieren (oder?) ist damit die Reinigung/Desinfektion des Computers fertig? Danke für deine schnelle Hilfe :daumenhoc Gruss black messiah |
Ich will/wollte Combofix starten, und es meldete Antivir Desktop wäre noch aktiv, aber ich habe denn LiveGuard deaktiviert. Und jetzt weiss ich nicht was ich tun soll? Combofix starten (nur noch OK drücken) oder wie kann ich Antivir abschalten? Bitte um schnelle/dringende Hilfe! Inhalt des Fensters: *Antivir Desktop Die obigen Real-Time-Scanner sind immernoch aktiv aber ComboFix wird trozdem mit dem Suchlauf fortfahren. Bitte nehme zur Kenntniss, dass dies in deiner eigenen Verantwortung geschieht. (OK-Button) |
Zitat:
Wenn Spybot so toll ist, warum hat er dich nicht vor dem Rootkit bewahrt und du hast noch immer einen Backdoor laufen: pnicml.sys - Dangerous PNICML.SYS, Prevx Zitat:
ciao, andreas |
Hallo also alles hat ohne Probleme funktioniert, soweit ich das beurteilen kann. Einzig der Desktop (Explorer.exe) ist mit einer Fehlermeldung abgestürzt während Combofix lief und irgend ein Fenster von Antivir ging kurz auf. Jedoch tritt seit dem Ausführen von Combofix ein Problem mit dem Explorer auf. Wenn ich im Arbeitsplatz auf ein Laufwerk doppelklicke, dann öffnen sich in einem neuen Fenster die Eigenen Dateien. Wie kann ich das wieder ändern/reparieren? Hier noch das Log von Combofix: (wiedermal in Teilen, wegen der Länge) Teil 1: Code: ComboFix 09-04-03.01 - g_hegi 2009-04-04 14:17:01.2 - NTFSx86 |
Teil 2: Code: c:\dokumente und einstellungen\g_hegi\Anwendungsdaten\BitTorrent |
Teil 3: Code: C:\found.000 |
Teil 4: Code: c:\programme\Spybot - Search & Destroy |
1.) Lösche von Hand die beiden Ordner:
ciao, andreas |
Gut. Endlich.... Den Ordner von Symantec unter All Users kann ich nid löschen. Es kommt ein Popup mit der Nachricht: "Quarantäne kann nicht gelöscht werden. Zugriff verweigert." Was soll ich tun? Und das Problem im Arbeitsplatz (statt Laufwerk öffnet sich in einem neuen Fenster die Eigenen Dateien) besteht immernoch. Danke für deine Hilfe. Gruss black messiah |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. Zitat:
ciao, andreas |
Ja mit der rechten Maustaste lassen sie sich ohne Probleme öffnen, nur mit der Linken (Doppelklick) nicht. Und es gibt noch 2 weitere Probleme: 1. malwarebytes ist irgendwie abgestürtzt beim scan. 2. Antivir zeigt irgendwelche Trojaner (Bsp. Tr/Agent.49664.10) unter C:/System Volume Informatioln/.../A0167190.sys und vorhher noch 1-2 weitere ähnliche Sachen. (mit dem Explorer wird dieser Ordner nicht angezeigt) (das während malewarebytes noch geloffen ist, resp. abgestürzt ist...) Gruss black messiah |
Zitat:
Zitat:
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden. Gibt es im Rootverzeichnis eine Datei autorun.inf? 3.) Start => Ausführen => combofix /u => OK ciao, andreas |
Hallo 1.Also beim 2ten Durchlauf ist Malware jetzt ohne Probleme über C: weg und druchsucht noch den Rest (Report folgt also). Abgestürzt ist es wahrscheinlich genau in diesem C:/System Volume Information vielleicht durch Antivir verursacht. 2.Wiederherstellung ist deaktiviert. Also Wiederherstellunspunkte wurden entfernt. Werde nachdem Malware fertig ist neustarten und wieder aktivieren und anschliessend mit Antivir alles Durchsuchen lassen. 3. Wenn du mit Root-Verzeichnis das C:/ meinst, dann ist dort keine autorun.inf 4. Werd ich auch noch tun. Gleiche Regeln wie für Combofix.exe? resp. was bewirkt das? Gruss black messiah |
Das Log vom letzten ComboFixlauf fehlt noch. Bitte alle Logs posten. Zitat:
ciao, andreas |
Hallo Wenn du mit dem letzten Lauf den von diesen Symantec-Ordnern meinst, den habe ich nicht durchgeführt, da sie sich nach einem Neustart ohne Probleme löschen liessen. und wegen den gleichen Regel. Das ist bezugnehmend auf dein Posting hier gemeint: 3.) Start => Ausführen => combofix /u => OK Und was bewirkt dieses? Löst dies das Problem mit den Laufwerken? Gruss black messiah PS: ich hoffe ich bin bald fertig mit dem ganzen Reparieren/Desinfizieren... will nur wieder einen funktionierenden Computer.... |
Zitat:
Zitat:
Zitat:
Zitat:
Falls du doch lieber säubern möchtest, dann Kaspersky Online Scan Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
ciao, andreas |
Sorry, ich bin ein bisschen fertig wegen dieses ganzen Problems... Combofix wurde nie installiert soweit ich weiss, sondern einfach als Programm gestartet soweit ich weiss. Soll ich trozdem das "combofix /u" ausführen? Den Onlinescan mache ich sobald Malware fertig ist (das dauert ja ewigs...) Und das Problem mit den Laufwerken, hast du dorf villeicht einen Lösunsvorschlag? Ich denke nicht, dass es sich um einen Virus handelt, sondern um eine falsche Einstellung irgendwo. Hab aber bis jetzt keine finden können. Gruss black messiah |
Zitat:
Zitat:
ciao, andreas |
So Malwarebytes ist fertig. 2 der Ergebnisse sind mit der Deaktivierung der Wiederherstellung schon weg. Und alle nochmal durch Malwarebytes entfernt. Werde nachher den Rest laufen lassen. combofix /u funktioniert nicht, es findet nichts entsprechendes (heisst es). bis morgen kommt dann noch der Kasperky Report. Gruss black messiah Log: Code: Malwarebytes' Anti-Malware 1.35 |
Kontrolliere, ob es einen Ordner C:\Qoobox gibt. ciao, andreas |
Hallo Ja einen solchen Ordner gibt es tatsächlich. Was soll ich damit tun? Gruss black messiah |
1.) Lösche die Ordner:
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 3.) Lassen sich die Laufwerke noch immer nicht öffnen? Was passiert, wenn du im Windowsexplorer die Laufwerke anklickst? Gibt es im Rootverzeichnis eine versteckte Datei desktop.inf? ciao, andreas |
Also zu: 1) Alle Ordner gelöscht, bis auf C:/Combofix, welcher nicht existiert. 2) erledigt. 3) Die Laufwerke lassen sich mit einem Doppelklick der linken Maustaste nicht öffnen (statt dessen öffnen sich i einem neuen Fenster die Eigenen Dateien). Jedoch mit einem Rechtsklick und dann Öffnen geht es problemlos. Und die Datei desktop.inf gibt es nicht. So nebenbei: Kasperky Online Scan ist am laufen. Also bald kommt dann der Report. Gruss back messiah |
Dann warte ich noch 2 Minuten. :D ciao, andreas |
2 Tage wäre realistischer...im ernst wohl eher 2-3 Stunden |
So nebenbei: Auf meinem anderen Computer meldet sich seit neustem Antivir mit einer Meldung, dass in einer Datei Namens C:/Windows/system32/servises.exe (genau mit s!) einen Trojaner Namens TR/Crypt.ZPACK.Gen findet (Guard). Ich klicke jedesmal auf zugriff verweigern. Wie mir scheint hat er sich noch nicht ausgebreitet. was soll ich tun? oder geört dies in einen eigenes Thema? Edit: mache auch dort eine vollständige prüfung mit antivir (ist am laufen). Gruss black messiah |
Zitat:
ciao, andreas |
So Kasperky Online Scan ist auch fertig: Log: Code: --------------------------------------------------------------------------------Wies aussieht ist der Pc nun Virenfrei...Danke für die Hilfe! Das einzige was jetzt noch bleibt wäre das Problem mit den Laufwerken (also nur vie Rechtsklick und Öffnen, sonst erscheinen die eigenen Dateien. Gruss black messiah |
Zitat:
|
Wenn du in der linken Ordnerliste meinst, dann öffnet sich das Laufwerk ganz normal/problemlos. Ebenso über Rechte Maustaste öffnen im Arbeitsplatz. Programme können ebenso auf alle Laufwerke zugreifen (hab 5-6 ausprobiert...). Nur hald Arbeitsplatz -> Doppelklick funktioniert nicht richtig.... |
Dann kontrolliere das hier: Doppelklick im Arbeitsplatz öffnet Suchfenster anstatt Laufwerk - PCtipp.ch - Praxis & Hilfe ciao, andreas |
Danke hat super funktioniert. Jetzt ist alles wieder in Ordnung bei meinem Computer. Und ich prüfe nochmal mit Antivir und Kasperky. (sicher ist sicher...) Danke für deine kompetente und schnelle Hilfe! Gruss black messiah |
Hallo, john.doe! Vielen hezlichen Dank! Nun ja, ich hatte dasselbe Problem wie unser Messia und nun, nach einer Woche des roten Gefahrhinweisen-Lesens, habe mir die ganze Nacht Zeit genommen und deinen Anweisungen genaustens nachgegangen. Es ist auch etwas zu spät - sprich zu früh - geworden, aber es hat sich allemal gelohnt. Guter Job, Mister! Und vielen Dank noch mal. Keine Bange um die Ergebnisse. Ich fürchte, die sind schwer in Ordnung. Denn es hat natürlich einen Heiden Mühe gekostet die ganzen Logfiles zu vergleichen und die Parallelen zu ziehen - und deine Vorgehensschritte schienen mir endlos zu sein... Tscha, der PiCi ist durch deine Hilfe erstmal gerettet. Und wie! Auja, habe ich schon einen Dank ausgesprochen? Falls noch nicht: DANKE :taenzer: |
:dankeschoen: ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board