Google Ergebnisse werden regelmäßig umgeleitet
 

Hallo zusammen,

ich (Win XP, IE 7) habe hier folgendes Problem: Gelegentlich (regelmäßig, aber auch nicht immer) werden meine Google-Ergebnisse umgeleitet. Das läuft dann so ab:

* Ich suche irgendwas bei Google
* Mir wird eine Ergebnisseite angezeigt
* Ich klicke auf irgendeinen spannenden Link
* Mein Browser leitet mich auf eine ganz andere Seite, meist Werbekram aber auch Gefährlicheres
* Ich klicke auf "Seite zurück", bis wieder Google erscheint (manchmal gibts mehrere Redirects hintereinander)
* Ich klicke abermals auf den identischen Link!
* Diesmal wird der Link problemlos geöffnet.

So, das Problem ist einigermaßen bekannt, habe viel darüber bei Google gefunden, und auch schon einiges überprüft, aber bisher keine Lösung gefunden. Getestet habe ich zB:

* hosts-Datei nach unerwünschten Einträgen durchsuchen (enthält aber nur die eine gute Zeile)
* Registrierung nach seltsamen Einträgen durchsuchen (an vielen verschiedenen Orten, aber weiß Gott nicht überall)
* Browser nach unerwünschten Add-Ons durchsucht (einige abgestellt, aber Problem existiert weiterhin)

Ebenfalls noch anzumerken ist, dass ich hier ohne Admin-Rechte agieren muss, also die beiden Prüf-Programme aus dem Sticky anscheinend nicht (ohne weiteres) benutzen kann:

A) Load.exe
Ein Fenster erscheint und fragt, als wer das Programm ausgeführt werden soll. Folgende Auswahlmöglichkeiten und weitere Ergebnisse (leider keine positiven):

Ausführen als?
- Ich
-- Unterpunkt: Computer und Daten vor nicht autorisierter Programmaktivität schützen?
--- Ja
---- AutoIt Error
---- Unable to open the script file
--- Nein
---- gleiches Fenster erscheint wieder (15 mal hintereinander probiert, dann abgebrochen)
- Admin
-- kein Admin Account zur Verfügung

B)
Wenn ich "mbam-setup.exe" starten will, erhalte ich folgende Meldung:
"Auf das angegebene Gerät bzw. Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können"


Wie oben erwähnt, erscheint auf den umgeleiteten Seiten meistens nur Werbung, manchmal sind da aber anscheinend auch bösartige Skripte hinterlegt. Vor zwei Wochen hatte ich vermutlich deswegen plötzlich die sehr nervige Software "SecurityTool / Security Tool", die ich aber anscheinend wieder loswerden konnte.

Momentan nerven mich nur die fortdauernden Umleitungen der Google-Ergebnisse, gegen die ich noch kein Mittel fand. Jede Hilfe wird gern angenommen!

:)

Kebap

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Hallo cosinus,

das bringt leider auch keine Hilfe. Ich erhalte weiterhin die gleiche Fehlermeldung, bzw wenn ich die "mbam-setup.exe" aus dem ersten Link vorm Umbenennen auszuführen versuche, wird mir gesagt, dass ich nicht über die nötigen Rechte verfüge und das als Administrator ausführen soll.


Wie ist das hier im Board, gibt es nur Support für User mit Admin-Rechten? Hab nichts dazu finden können. Oder gibt es von den Test-Tools evtl auch portable Versionen, die sich nicht nach c:\Programme installieren wollen, bevor sie die Arbeit erledigen.

Da momentan nur der Browser betroffen scheint, könnte ja evtl eine "kleinere" Lösung schon helfen.

Warum genau hast du keine Adminrechte? Ohne Adminrechte kann man nicht bereinigen.
Was ist mit dem abgesicherten Modus?

Ich habe keine Adminrechte, weil das hier nicht mein PC ist.

Die Infektion fand aber anscheinend auch ohne Adminrechte statt, daher vermute ich, dass eine Bereinigung funktionieren könnte.

Kennst du eigentlich das Thema, Umleitung von Google-Ergebnissen?

Und wessen PC Ist das?
Wie gesagt, keine Adminrechte keine Bereinigung. Geht nicht, NO WAY!!

Der PC gehört meinem Arbeitgeber.

Und warum kümmert sich nicht dein Arbeitgeber um den PC?
Habt ihr keine EDV-Abteilung?

Die scheint damit völlig überfordert zu sein.

Da kann ich dir leider nicht weiterhelfen. Beauftrage einen externen Dienstleister der Vor-Ort-Service leistet, ob er an Adminrechte kommt (kommen darf!) ist aber wieder eine andere Sache. Frag aber mal vorher nach, ob dir die Kosten erstattet werden, um Ärger zu vermeiden.

Das Problem tritt auch (ebenso unregelmäßig) in Firefox auf, scheint also keine spezielle IE-Einstellung zu sein.

Nochmal: Ohne Adminrechte können wir NICHTS machen!

Ich danke dir für deine Hilfe, aber das ist ja offensichtlich falsch. Natürlich kann man auch ohne Adminrechte einiges machen. ZB die hosts Datei zu editieren, hätte ich auch ohne machen können. Aber du meinst vermutlich etwas anderes und ich eröffne hier eine Grundsatzdiskussion. Naja, das will ich auch nicht. Ich gebe hier nur Infos für andere, die vielleicht von ähnlichem Mist befallen sind, und vielleicht eine Idee haben oder so.

Bin einfach etwas verzweifelt, weil meiner IT-Abteilung anscheinend auch nichts besseres eingefallen ist, als eine der vielen Schadseiten zu blocken, auf die da weitergeleitet wird.

Wie lange bräuchte ich denn die Adminrechte? Vielleicht kann ich sie mir für einen kurzen Zeitraum irgendwie ausborgen... :kaffee:

Sry aber wenn du einfach behauptest, meine Ausführungen wären falsch und man kann mit eingeschränkten Rechten die Hostsdatei bearbeiten, könnte man den Eindruck bekommen, du fängst an zu trollen oder hast gar keine Ahnung.
Mal ehrlich, hast du es ausprobiert? Eingeschränkte Rechte Hostsdatei ändern? Lässt sich die Datei speichern? Standardmäßig dürfen nur Benutzer mit Adminrechten im Windowsordner Dateien ändern. Es sei denn man vermurkst sich die Berechtigungen oder verwendet noch das Steinzeit-Dateisystem FAT32.

Hast du nun Adminrechte oder nicht oder keine Ahnung ob du sie tatsächlich hast?
Mach mal: Start => ausführen => control userpasswords2 eintippen, ausführen.
Welches Fenster poppt auf?

Vllt kann sie dir einfach mal das Gerät neu einrichten?
Du willst mir doch nicht erklären, dass du mit diesem undefinierten Zustand des Gerät seit Anfang Februar rumgurkst?

Sorry, ich meinte, die Hosts-Datei lesen und auf Veränderungen überprüfen. Editieren kann ich tatsächlich nicht.

Bei "control userpasswords2" werde ich auch darauf hingewiesen, dass ich dazu Adminrechte brauche.

Ja, ich gurke tatsächlich, daher ja auch meine Verzweiflung. Werd mal den Vorschlag weiterreichen.

Und die überforderte IT-Abteilung kann/will/darf dir die Adminrechte nicht geben?

Wenns mal so transparent wäre, tatsächlich haben sie sich dazu noch gar nicht geäußert. Es ist jedenfalls nicht üblich. Sie hatten mich nur um ein konkretes Beispiel gebeten, inklusive Uhrzeit und verwendeten Suchbegriffs (das alleine zeigt mir aber schon, dass sie das Problem evtl nicht ganz verstanden haben), damit sie das dann aus den Logs abfilmen können. (Anscheinend wird hier jede unserer Aktionen für späteren Gebrauch aufgezeichnet...) Als ich einige Tage später erneut so einen Fall hatte, hab ich das dann gemeldet, und seitdem nie wieder was gehört. Hab noch einige Male darauf hingewiesen, dass das Problem weiterhin besteht, aber keine Antwort. Hab dann nur zufällig gemerkt, dass eine der Schadseiten inzwischen von unserem Proxy geblockt wird.

Das wäre ja nur Symptombekämpfung, denn das Gerät ist noch in keinster Weise entseucht.
Das einzige was du ohne Adminrechte machen könntest wäre ein Booten von einer Rescue-Disc mit Virenscanner. Avira und Kaspersky bieten da was an.

=> http://www.trojaner-board.de/83997-k...scue-disk.html

=> http://www.avira.com/de/support-down...-rescue-system

Mein Reden. Weiß auch nicht, ob die jetzt wegen meiner Meldung geblockt wurde, oder ob es noch jmd anderem aufgefallen ist.

Danke erstmal für den Vorschlag, das schau ich mir an.

Ich erhalte am Freitag für einen Tag Adminrechte! Damit sollte ich dann hoffentlich all deine Fragen beantworten können. :applaus:

Naja, in dieser bisher verplemperten Zeit hätte man das Gerät sicherlich schon 10x formatieren und neuaufsetzen können :balla:

Da hast du vermutlich absolut recht. Ich vermute auch, dass ich nur deshalb Adminrechte zugestanden bekommen habe, weil es für die IT-Abteilung ggf. noch mehr Aufwand bedeutet hätte, das System komplett neu aufzusetzen.

Aber egal.

Ich habe jetzt zwar Admin-Rechte, konnte aber dennoch nichts herausfinden. Hier sind meine Resultate bisher:

* Wollte die Anleitung hier befolgen: http://www.trojaner-board.de/69886-a...-beachten.html
* OTR konnte ich nicht laden, der Link scheint tot, siehe: http://www.trojaner-board.de/99630-k...tml#post664286
* Malwarebytes konnte ich zwar laden, wenn ich es aber (als Admin) starten wollte, erhielt ich nur diese Meldung: "Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item." - ?!
* Als ich mich als Admin eingeloggt hatte, erschien ungefragt noch ein Popup namens "Microsoft Windows Malicious Software Removal Tool - March 2011" und berichtete mir "Malicious software was detected and removed from your computer", nämlich "PWS:Win32/Zbot.gen!Y - Removed".

Schätze, ich werde nun mal meine Daten von hier evakuieren und dann eine komplette Formatierung vorschlagen.

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php


Zu OTL gibt es einen Ersatzlink => http://www.itxassociates.com/OT-Tools/OTL.exe