|
Google verlinkt auf falsche bzw. verdächtige Seiten Hallo Zusammen! Mein Problem stellt sich wie folgt dar: Die bei der Google-Suche angezeigten Links (ich benutze Mozilla Firefox) führen auf falsche Seiten. Ich klicke auf den Link, muss ein paar Sekunden warten und werde dann auf höchste dubiose Seiten weitergeleitet, manche wollen sogar Trojaner und Mal-/Adware auf meinem Rechner installieren. Ich habe auch das Gefühl, dass mein Rechner und auch Firefox in den letzten Tagen erheblich langsamer geworden sind. Manchmal geht die CPU Auslastung ohne mir ersichtlichen Grund auf 100 % hoch und nichts geht mehr. Ich habe schon mehrmals Programme wie AVG Antivir, Malwarebytes´Anti Malware, Spyware Terminator und CC Cleaner durchlaufen lassen mit der Hoffnung auf Besserung. Die Programme hatten auch immer etwas gefunden, was ich dann gelöscht hatte, jedoch keine Besserung. Ich habe schon daran gedacht, das System neu aufzusetzen, wollte mich aber mal vorher an dieses Forum richten. Ich habe im Forum zum Thema "Google verlinkt auf falsche Seiten" eine Menge gelesen. Von "alles klar es funzt wieder" bis "hmm da musst du wohl dein System neu aufsetzen" war alles dabei. Aus diesem Grund wollte ich hier mal meine HijackThis-Logfile posten mit der Hoffnung, dass jemand etwas verdächtiges erkennt und mir helfen kann (bin ein eher unerfahrener Anwender). Code: Bitte helft mir!! Gruss Stefan |
deinstaliere spyware terminator ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
Hallo, danke für die schnelle Hilfe! Hab alles so gemacht wie beschrieben und die OTL Logfiles als Anhang hinzugefügt. Grüße Stefan |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
so logfile mit combofix erstellt. hab die file in den anhang gepackt. |
deinstaliere spyware terminator! start programme zubehör editor, kopiere rein: Killall:: Rootkit:: c:\dokumente und einstellungen\Kowa\Anwendungsdaten\sdfsfs.bat c:\dokumente und einstellungen\Kowa\Anwendungsdaten\dsfsds.bat Folder:: c:\dokumente und einstellungen\Kowa\Anwendungsdaten\gnupg Driver:: ctjioqjy rfasznkmppllsi ymiaian DDS:: uInternet Settings,ProxyServer = http=127.0.0.1:5555 uInternet Settings,ProxyOverride = <local> Datei speichern unter, ort dort wo sich combofix befindet, typ alle dateien, name cfscript.txt ziehe cfscript.txt auf combofix, programm startet, log posten |
alles wie beschrieben ausgeführt und die log in den anhang gepackt.. spyware terminator hatte ich bereits deinstalliert.. |
öffne den arbeitsplatz, dann c: dort nen rechtsklick auf qoobox und zu qoobox.rar oder zip hinzufügen, archiv hochladen bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix nutzt du gnupg? dann müssten wir das wieder herstellen |
so hier die combofix log (hab sie auch zusätzlich nochmal in den anhang getan): Code: ComboFix 10-10-12.03 - Kowa 13.10.2010 21:57:09.3.1 - x86gnupg nutze ich nicht - jedenfalls nicht dass ich wüsste.. doofe frage aber was macht man denn damit? |
mails verschlüsseln, oder auch texte. sorry ich hatte oben den falschen link gepostet. archiv hier hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
so datei befindet sich auf dem upload channel :-) nein gnupg benutze ich nicht.. nicht dass ich wüsste.. ich benutze ein mail programm (incredimail) aber hab da nix besonderes bezüglich verschlüsselung eingestellt.. |
ok, öffne die microsoft update seite, hohle dir das servicepack 3 und sonstie wichtigen updates, danach n neues hijackthis log posten. |
so habe das SP3 und dazugehörige Updates installiert und nochmal hijackthis durchlaufen lassen.. hier die logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
ok upgrade avg und dann scanne. Antivirus kostenlos - Virenschutz, Antivirenprogramm, Antivirensoftware | AVG Free |
ok hab AVG upgegraded und nen scan gemacht.. dabei hat er noch eine Bedrohung gefunden: D:\System Volume Information\_restore{4795C74B-304A-4C4C-A8C8-20A54335B3AB}\RP52\A0006247.exe; [Trojaner: Generic10.ONI] |
oh hab grade gesehen dass diese datei sich auf den trainer bezieht, den ich für das spiel rome total war benötige.. ist diese datei trotzdem schädlich? |
das ist in der systemwiederherstellung wie kommst du auf trainer? |
naja die infektion mit dem namen "Generic10.ONI" wird mir 2mal angezeigt.. einmal unter d:/spiele/rome total war/trainer.exe und dann halt unter dem pfad den ich geposted hab.. gehört das nicht zusammen? keine ahnung hab nur gemutmaßt :-I |
ja aber wenn du mir nur einen pfad postest, bin ja kein hellseher. ich kenne leider keine adresse um false positives an avg zu senden, vllt kannst du in den avg einstellungen ne ausname für die daei eintragen, somit wird sie nicht mehr erkannt |
ja du hast recht.. sorry mein fehler.. hab bereits ausnahmen hinzugefügt.. ist jetzt auf dem rechner wieder alles in ordnung? also ich merke jedenfalls dass er wieder schneller läuft und die google links funzen auch wieder.. danke für deine superschnell und kompetente hilfe! das trojaner board ist echt unschlagbar.. |
|
habe die log vom Free ESET Online Antivirus Scanner in den Anhang gepackt |
hi markus, hab im installationsverzeichnis von eset noch ne andere log mit mehr infos gefunden... vl bringt die ja mehr.. wie soll ich nun weiter vorgehen? |
nutze den ccleaner bereinige dateien + registry. reinige mit otcleanit: http://oldtimer.geekstogo.com/OTM.exe Klicke cleanup! dein pc wird evtl. neu starten programm löscht sich selbst, + die verwendeten tools rechtsklick auf arbeitsplatz, dort eigenschaften, dann systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen /ok. 5 min warten, wieder einschalten |
ok alles wie beschrieben ausgeführt.. wie gehts weiter? :confused: |
ok, jetzt der ent spurt. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. einer der sichersten browser ist opera. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox. außerdem ist er auch noch schneller im seitenaufbau etc. mit diesem tool lässt sich ein werbeblocker laden Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren lesezeichen importieren: Lesezeichen ? OperaWiki bitte folgendes durchführen: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de download link ist hier http://ntsvcfg.de/svc2kxp.zip lies den abschnitt über die svc2kxp.md du solltest die methode 2 wählen, diese ist ausreichend gut. je weniger dienste der pc nach außen anbietet, desto besser. automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach. start ausführen services.msc suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: Sandboxie Download anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. bitte alle passwörter endern. bitte surfe ab sofort nur noch unter sandboxie, mit klick auf "sandboxed web browser" wenn du mit opera nicht zurecht kommst, sag bescheid, dann nenne ich dir noch sinnvolle erweiterungen für den ff + die richtigen sandboxie einstellungen. |
wow danke für die zahlreichen hinweise! ja das einzige problem ist dass ich sehr gut auf firefox eingespielt bin und ungerne opera benutzen würde.. kannst du mir daher wie angedeutet die sinnvollen erweiterungen für den ff + die richtigen sandboxie einstellungen nennen? das wär echt super! :dankeschoen: |
na aber sicher doch. du kannst dir den opera ja trotz alle dem ansehen kann man ja instalieren und dann bei nicht gefallen löschen :-) ok dann zu firefox + sandboxie. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. jetzt zu sandboxie den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. das wars schon :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board