Unerwünschte Weiterleitung bei Google-Suche
 

Hallo zusammen,

Ich hab da ein Problem... :confused:

Beim anklicken eines Suchergebnisses erscheint oben links im Browserfenster fast immer ein ">" seltener ein "click here to continue..." und ich werde, natürlich ohne zu klicken, auf verschiedenste Seiten weitergeleitet (z.B. gomeo, Seaching4all, itsaboutcar uvm.).

Spybot hat nichts gefunden.
TM Housecall fand:
U.exe auf C:\, TM nennt ihn Trojaner GEN.R37E1JQ
...hab ich entfernen lassen.
Zweiter Durchlauf:
A000086.exe auf C:\System Volume Information
...hab ich entfernen lassen.
Dritter Durchlauf war dann OK.

Keine Veränderung bei der Google-Suche, werde nach wie vor umgeleitet.

Habe dann CCleaner installiert und laufen lassen.
Es wurde analysiert und gereinigt, in der Registry nach Fehlern gesucht.

Bin dann auf Eure Seite gestoßen und habe Malwarebytes und OTL laufen lassen.

Malwarebytes fand:
Spyware.Passwords.XGen
auf C:\System Volume Information\_restore{1FB6B..usw...exe}
...ist jetzt in Quarantäne.
ABER, und jetzt kommt's, ich habe die logdatei GELÖSCHT!!! :headbang:
Jetzt steh ich natürlich schön blöd da! :pfeiff:

Malwarebytes habe ich dann noch mal im Quick u. FullScan laufen lassen.
Beide log's sowie OTL im Anhang.

Ich hoffe Ihr könnt mir da trotzdem irgendwie aus der Klemme helfen.

Vielen Dank schon mal im Voraus

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

Vielen Dank für die schnelle Antwort.

Während das OTL lief kam die Fehlermeldung:
"Kein Datenträger in Laufwerk F:\". :wtf:
Das ist mein DVD Laufwerk.

Mußte mehrfach auf "weiter" und "abbrechen" klicken (ca.10-15x)
Rechner hat dann neu gestartet.

Habe es in Standard-Ausgabe, Extra-Reg BSL und LOP+Purity Prüfung laufen lassen.
Ich hoffe das war ok?

Hier das Logfile


All processes killed
========== OTL ==========
Service FRLIZJTB stopped successfully!
Service FRLIZJTB deleted successfully!
File C:\WINDOWS\System32\frlizjtb.kdd File not found not found.
Service aaudstum stopped successfully!
Service aaudstum deleted successfully!
File C:\DOKUME~1\OSSHQ~1\LOKALE~1\Temp\aaudstum.sys File not found not found.
File F:\AutoRun.exe not found.
File F:\Autorun.inf not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{691fe5c0-e17d-11d9-8cb6-404e57434431}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{691fe5c0-e17d-11d9-8cb6-404e57434431}\ not found.
File G:\setupSNK.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cdbb529b-8361-11df-8072-0007e9ec013d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cdbb529b-8361-11df-8072-0007e9ec013d}\ not found.
File E:\InstallTomTomHOME.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 648556 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: OSS HQ
->Temp folder emptied: 18038418 bytes
->Temporary Internet Files folder emptied: 1491238 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 41146630 bytes
->Flash cache emptied: 518 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 1943223 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 60,00 mb


OTL by OldTimer - Version 3.2.17.2 log created on 11042010_222222

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

Nochmals Danke für Eure Hilfe, die hier so umfangreich angeboten wird.

Während das cofi lief, hat der Rechner neu gestartet. Hab mir nachdem das
log erstellt war bei bleepingco noch mal alles durchgelesen. Im Leitfaden
steht leider nichts drin daß er dies tun wird. Somit hat sich nach dem
Neustart die Firewall wieder aktiviert und ich mußte mehrmals bestätigen, während im Fenster
"Starte keine anderen Programme, bevor...." zu lesen war. :confused:

Falls ich es noch mal laufen lassen soll sag Bescheid dann deinstalliere ich die Firewall.

Die Weiterleitung der Krake ist jetzt wieder ok.

Hier das cofilog.


Combofix Logfile:
--- --- ---

So einen Unsinn kannst Du getrost deinstallieren, die Windows-Firewall verrichtet die Aufgabe genau so gut und ist einfacher zu handeln und updaten (Updates kommen über das Windows-Update). Außerdem lässt sich ausgehender Verkehr sowieso nicht vernünftig kontrollieren, was nach draußen will kommt auch nach draußen.

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?


Bitte noch Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

Hab mir Deine Links durchgelesen. ;) Werde mich in Zukunft daran halten.

Hier die log's

GMER log

GMER Logfile:
--- --- ---



OSAM log

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]


MBR log

Musst Du wissen. Wenn Du meinst die PFW bringt solche Vorteile mit sich dann benutze sie mit allen Konsequenzen. Aber wie gesagt die Windows-Firewall macht das gleiche, in Kombination mit einem DSL-Router gibt es nichts sichereres.

Die Logs sehen ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

Vollscans mit Malwarebytes und SASW einschl. Punkt 3 anbei.
Beide Dateien von SASW sind in Quarantäne. :glaskugel2:


MWB


SASW

Die Funde von SASW sehen eher nach Fehlalarmen aus.
Noch Probleme oder weitere Funde?

Hallo Arne,

Läuft alles wieder top. :daumenhoc:


Hilfe!? Hab schön öfters gehört, daß es bei diesen vielen Tools um "Glaube" und auch "Vertauen" geht. Sag einfach alles ist Spitze und ich kann heute Nacht wieder gut schlafen. :lach:
Zumal Du hier im Board ja einwandfreie Arbeit ablieferst :daumenhoc:applaus::daumenhoc


Hab mich zuerst auch gefragt "Häh, warum jetzt auf D:\?"
Hat das damit zu tun, daß ich OSAM auf D:\ entpackt habe?

Schlaf ruhig, alles ist ok :D

Was da in SYSTEM VOLUME INFORMATION angezeigt wird, sind Bestandteile der Systemwiederherstellung, da liegen also die Dateien der Wiederherstellungspunkte, die angelegt wurden.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Hallo Arne,

Ich deaktiviere!

Soll ich die Teile in der SASW Quarantäne einfach dort lassen und alle anderen Sachen wie OTL usw. vom Desktop löschen?

Malwarebytes werde ich wohl behalten.

Mit SASW musst Du nichts löschen. Was in den Wiederherstellungspunkten ist, wird mit der Deaktvierung der SWH entfernt.

Ansonten wären wir durch, wenn nichts mehr an Problemen offen ist! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

Wie schon gesagt :daumenhoc "TopJob!" :daumenhoc

Vielen Dank noch mal für Deinen Einsatz auf meinem Rechner
und für alle anderen hier im Board. :party:

Kann's gar nicht abwarten bis der nächste bei mir eindringt....:aufsmaul: