virus-seite? google suche wird zu einem werbe paradies...
 

Die Überschrift spricht schon alles in einem Satz aus. Als ich gestern auf der Suche nach dem Programm Express Rip war, (von NCH Software und natürlich die Testversion) kam eine Werbeanzeige, die ich versehentlich angeklickt hatte weil sie mir entgegengesprungen ist. Urplötzlich sah ich den Setupdownload. Als ich das startete verschwand die Datei und avast schlug Alarm, was mich nicht sehr wunderte. Danach ist das Windows Sicherheitszenter ausgegangen und es wurde mir als Problemmeldung angezeigt. Da ich nicht so ein Vollidiot bin wusste ich, dass der Trojaner sich direkt im AppData Ordner verstecken würde, was er auch getan hat. Weil ich einen Wutanfall bekommen habe war der Trojaner schneller gelöscht als er sich ausbreiten konnte:applaus:. Und wer jetzt denkt das wars, DAS HÄTTEST DU WOHL GERN:uglyhammer:: Denn ab jetzt passiert das immer wieder: Wenn ich eine Seite google und anklicke (Beispiel als ich TrojanerBoard gegoogelt habe), dann öffnet sich ein Link, der heisst:"www.goingonearth.com/search.php?q=trojanerboard&n=1303039480", also mit meiner Suche und dann werde ich zu einer Werbeanzeige geleitet die sofort von 3 Schutz-add-ons (WOT, avast WebRep, Computerbild Abzockschutz) blockiert wird. Und das passiert STÄNDIG :headbang:. Malwarebytes Scans haben nichts ergeben.. das muss endlich ein Ende haben :koch: Wer kennt sich mit sowas aus? Ich mache auch OTL Scans, falls nötig. Danke im Vorraus:singsing:
EDIT: ... www.mywot.com/en/forum/8429-goingonearth-com-stay-away

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

4.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

5.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

6.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

7.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Also als allererstes Mal : Danke für die Hilfe... nun die befolgten Anweisungen:


1. Hier die Log-File von GMER


2. Muss ich ehrlich sagen ich hab die Anweisungen befolgt aber die CMD schließt sich zu schnell, als dass ich lesen kann oder überhaupt etwas eingeben könnte. Shit happens.


3. Malwarebytes Scans habe ich heute 2 mal gemacht, es wurde nur eine Datei gefunden, sprich flh.exe, also der Trojaner bzw. Dropper. Den habe ich bereits aus meinem AppData-Ordner entfernt, man kann die Datei nochmal in der HijackThisScanList sehen.


4. HijackThis-Log:

5. Da ich zum Glück ein wenig Erfahrung in Sachen kleinere Viren habe, wusste ich wo sich ein Trojaner als erstes verstecken würde, also weiss ich wie man den AppData Ordner usw sichtbar macht (Organisieren => Ordner-& Suchoptionen)


6. HJTScanlist:



7. Und so kam das nächste Problem:
http://www.bilderhoster.at/upload/wmpki1303084245.png

Das kommt ständig und auch bei CCleaner. Warum auch immer. Leider hab ich keine Ahnung wie das weggeht, wobei ich schon einiges ausgetestet habe.




Ich hoffe, ich habe alles richtig gemacht und hoffe, dass es nicht zu einem gezwungenen Recovery kommen muss.

Zusatz: Am Besten schaust du in der HJTScanfile nach der Datei die ich dir genannt hatte, also den Trojaner.
MfG Fi3t3

Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

-> Ergebnisse von Kaspersky C:\TDSSKiller und Malwarebytes bitte posten! Wenn Du mehrere Durchläufe gemacht hast, alle Logs!

Ausserdem:

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
2.
wenn du keinen Proxyserver lokal installiert hast, nimm die Proxyeinstellungen aus den Interneteinstellungen raus
im Firefox: http://www.proxytype.de/tutorials-ho...tellungen.html
über das Menü Extras-> Einstellungen-> klicke auf den Reiter "Erweitert"-> Netzwerk-> bei "Verbindung" schauen

im Internet Explorer::-> http://windows.microsoft.com/de-AT/w...ernet-Explorer
über das Menü Extras-> Internetoptionen-> Verbindungen-> den Unterpunkt LAN-Einstellungen

oder/und mit HJT fixen:
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
3.
unter Start> Zubehör> Systemprogramme> Aufgabenplaner...
Löschen:
4.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...Inhalt markieren-> löschen

5.
poste erneut - nach der vorgenommenen Reinigungsaktion:
-> TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
die alten Logfiles löschen und ein neues erstellen. Rchtsklick auf HijackThis-> als Admin ausführen wählen
-> hjtscanlist v2.0 - Dateiliste

6.
- Versuche erneut die fehlenden Schritte noch durchzuführen.

Die Anweisungen 1. - 4. habe ich befolgt.
Eine kleine Bemerkung nebenan: Malwarebytes hat nur Dateien gefunden die sicher sind. Metin 2 ist ein Spiel und keine Bösartigkeit. Stress Relief habe ich auch. Es kopiert den jetzigen Hintergrund und man kann ihn zerstören mit nem Hammer, oder mit nem Stempel, also Fun, Jokes, ungefährlich! Und push.exe ist eine Datei die mir ein Freund gemacht hat, man drückt eben die ganze Zeit irgendeine Taste, dann muss man es nochma machen und so weiter. Ist eigentlich eine .bat Datei von mir gewesen, er hat dann eine .exe daraus gemacht. Der Logbuch Creator war genau das Gleiche. Seine Aufgabe war nur, ein Textdokument zu beschriften und zu erstellen, wie der Name schon sagt. Ausserdem habe ich eine Boot-CD mit einem speziellen Linuxsystem und dem AntiVirenprogramm BitLocker fertig gemacht und direkt gescannt. Ich habe aber nichts mehr gefunden, weil flh.exe schon verschwunden war.
:Boogie:
HijackThis-scan ist im Edit.

Ok, dann bitte Schritte 6. bis 9. noch erledigen

2. Als ich die Sache mit mbr.exe gemacht habe, hat alles geklappt, aber das einzige was ich sehen kann ist ein leerer Editor... :schrei: :snyper:
7. Das kann ich nicht machen weil ich die Meldung bekomme, die ich gezeigt habe. Die bekomme ich ständig:schrei: Das liegt daran, dass das Rootkit wahrscheinlich zu viele Rechte hat, wie mein Vater schon sagte, der kennt sich mit sowas auch ein wenig aus, weil er mal eins hatte, aber er ists nicht losgeworden, was mir zu denken gab. :daumenrunter:

Kleiner Edit: Ich konnte zwar CCleaner installieren aber nicht öffnen wegen der Meldung -> shit happens ^^

HJT-Scanlist:
HJT Scan:

Ich habe alles befolgt, alle Fenster geschlossen!

tja...unter 64 Bit Systeme funktionieren nicht!

1.
Anwendungen, die im Hintergrund laufen während der Reinigung, können die Leistung deines Computers und auch unsere Arbeit negativ beeinflussen, deswegen bitte die hier aufgelisteten Programme zuerst mal abschalten/deaktivieren!
Dienste beenden:

• Klicke auf "Start" -> gibst Du in das Suchfeld "Dienste" ein
• dann klicke im oberen Bereich mit der rechten Maustaste auf den Eintrag "Dienste"
• und im Kontextmenü auf "Als Administrator ausführen" ->Anleitung/tipps4you.de
• den ausgewählte Dienst auf deaktiviert setzen!

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
3.

• Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
• Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
• Starte die TDSSKiller.exe durch Doppelklick.
• Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
  Bestätige das ggfs. mit Y(es).
  Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
• Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

4.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
- die alten Logfiles löschen und ein neues erstellen. Rechtsklick auf HijackThis-> als Admin ausführen wählen

1. Dienste... das kann man nicht in Worten ausdrücken ...
http://bilderhoster.at/upload/kqyco1303335844.png
na toll ...

2. Erledigt!


3. TDSS-Killer Log:

4. das mache ich jetzt^^

1. Dienste... das kann man nicht in Worten ausdrücken ...
http://bilderhoster.at/upload/kqyco1303335844.png
na toll ...

2. Erledigt!


3. TDSS-Killer Log:

4. das mache ich jetzt^^

- sollst Du aber!

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

Ich bin zwar schon auf ein Backup vorbereitet, aber ich währe zufrieden, wenn das endlich verschwinden würde^^

OTL Scan:
Extras:
Ausserdem werde ich seit kurzem nichtmehr auf oigtreaognnh.com geleitet wenn ich ne google Suche mache! Das lag daran, dass ich GoogleToolbarNotifer dank msconfig ausm Systemstart geworfen und gelöscht habe. Bevor du dich fragst: Warum hast du das gemacht?
Ich habe das typische erkannt-> Ganz plötzlich hat er so viel Anwendungsspeicher gebraucht wie kein Spiel oder Firefox :schrei: (hängt wie sau ich steig auf Google Chrome um :Boogie: ) und das war halt sehr ungewöhnlich. Und wie das halt so is mit böser Software, versucht sie ja immer einem das Arbeiten am PC zu erschweren, indem das System voll ausgelastet wird. Ich habe gleich reagiert und GoogleToolbarNotifer.exe entfernt, auch weil avast ihn als ich ihn einzeln gescannt hatte nur bedingt erkannt hatte. Also es stand zwar da keine Bedrohung gefunden aber ich hab gesehen, dass öfters diese Interneteinstellungsdingsbumsmeldung sich geöffnet hat und avast nicht kommunizieren lassen wollte, weil es Zugriff auf diese Datei wollte. Da der Rootkit mehr Rechte als ich hat, konnte er das unterbinden nach einer kurzen Zeit, aber nicht meinen Verstand :aufsmaul:
Zum Glück habe ich alles für einen Backup vorbereitet... aber ich werde auf keine andere Seite mehr geleitet, was schonmal ein gutes Zeichen ist, aber ich bin mir sicher, dass ich den Rootkit noch lange nicht losbin, ich glaube er kann nur eingeschränkt funktionieren, wenn ich WOT eingeschaltet hab. Es blockiert zum Glück die weiteren bösen Seiten... :dummguck:

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

4.
CCleaner - bitte erneut versuchen

Diesmal mische ich ein wenig... sorry dasses so lang gedauert hat. Einiges kommt in den Edit weil ich in der Zeit jeden Tag weg war und das jetz über die Nacht laufen lassen müsste, was ich lieber nicht mache... aber ich kann jetzt schon sagen der hat ein paar Sachen gefunden, die werde ich dann löschen und später posten!

1. Ich suchte nach einer Log, wo ist sie? :wtf:

4. Das hat leider wieder nicht geklappt, aber ich hab teilweise Wege gefunden, das zu umgehen ... Zum Beispiel, wenn man Rechtsklick auf dem Lautstärkezeichen macht, dann gibt es da bei mir ein paar Optionen. Zum Beispiel Aufnahmegeräte und wenn ich das dann anklicke kommt dieser Internetschutz, was ich noch nie hatte. Das hat ja eigentlich garnix mitm Internet zu tun :stirn: Da bekomm ich einen kleinen Anfall und gebe es bei Start ein und es klappt direkt:uglyhammer: . Aber als ich es nochmal unten teste geht es wieder nicht. Ich bin kurz davor diese Sache zu umgehen. Möglicherweise kann ich CCleaner anders starten. Das muss ich noch ein wenig testen.

2. Obwohl ich alles erlaubt hatte, konnte ich den Online-Scan nicht ausführen und habe es schnell mit dem Programmdingens gemacht. Also hier die Log:


3. Das ebenfalls...