Hallo zusammen,

ich hab mir den Hijacker Goingonearth vor ungefähr einer Woche eingefangen.
Wenn ich bei Google Links anklicke werde ich ständig zu goingonearth.com weitergeleitet. Eine Suche nach Goingonearth leitet mich ständig weiter zu MSDN von Microsoft. Zudem ist das Sicherheitscenter deaktiviert. Betriebssystem ist Windows 7.

Ich hab schon x Malware Scanner ausprobiert, Malwarebytes findet nichts mehr, Spybot findet ständig 2 Fehler Windows Security Center Disabled (tritt aber trotz Behebung immer wieder auf). Mit den Logs von OTL kann ich nicht allzuviel anfangen, hab sie mal gepackt und angefügt. Auch Combofix habe ich mal laufen lassen, danach ging auch kurzzeitig das Sicherheitscenter wieder. Die Redirects waren zwischenzeitlich auch mal weg, aber die Quelle anscheinend nie.

Kann mir da jemand weiterhelfen ?

Zitat:

Ich hab schon x Malware Scanner ausprobiert, Malwarebytes findet nichts mehr

Was hat Malwarebytes bisher gefunden? Bitte alle Logs posten

Ich weiß nicht, ob das, was Malwarebytes gefunden hatte, der gleiche Virus war. Naja im Anhang sind mal noch zwei Logs von Malwarebytes und eins von Combofix !

Was ich vergessen habe zu erwähnen: Malwarebytes stoppt ständig einen Zugriff auf eine IP-Adresse, ausgelöst von rundll32.exe !

Zitat:

und eins von Combofix !

Wieso führst du denn CF aus!! Die Warnhinweise sind dick und fett und auch nicht aus Spaß da!

Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich bin hier neu in dem Forum, hatte das bisher nicht gelesen. CF hab ich ausgeführt, da ich das in einem anderen Forum bei dem selben Problem/Symptomen gelesen habe. Mal nebenbei: Was ist denn so schlimm daran, wenn das Programm nicht mal eine Eingabe erfordert ? Soll heißen, was kann man falsch machen ?

CF ist ein sehr mächtiges Tool! Alles weitere steht doch im Hinweis zu CF!

Erst lesen => http://www.trojaner-board.de/95175-combofix.html
Dann hätte sich die Frage auch garnicht gestellt!

Viel schlauer bin ich jetzt nicht, soll heißen man wendet es nur bei bestimmten Infektionen an ?

Aber, um das ganze mal fortzuführen. Ich habe auch noch andere Scans durchgeführt. Da wäre noch SUPERAntiSpy, mit dem Ergebnis:

- Rogue MSE Fraud (C:\Users\Appdata\Roaming\Install)
- Trojan.Agent/Gen-FakeSecurity (C:\USERS\...\ROAMING\41844\PDMN2.EXE)
- Trojan.Agent/Gen-Falcomp (C:\WINDOWS\SYSWOW64\WMSPDMOD0.DLL)

Log find ich von dem Programm leider nicht. Die Umleitungen sind jetzt weg, ich kann auch wieder nach "Goingonearth" suchen, und die ominöse Kontaktaufnahme, die ständig von Malwarebytes blockiert wird, scheint auch weg zu sein. Das Sicherheitscenter lässt sich allerdings immer noch nicht aktivieren.

Weiterhin hab ich TDSSKiller laufen lassen. Auch hier eine Infektion gefunden, sptd.sys, scheint eine Datei von DeamonTools zu sein. Log ist im Anhang. Ich hoff, ich hab da nicht schon wieder ein Programm benutzt, das ich nicht benutzen sollte

Jemand eine Idee, wie ich das Sicherheitscenter wieder zum Laufen kriege ?
Gruß

Zitat:

Viel schlauer bin ich jetzt nicht, soll heißen man wendet es nur bei bestimmten Infektionen an ?

Dezent überlesen => "Bevor wir die Nutzung von Combofix empfehlen, müssen wir uns ansehen, in wie weit das System infiziert wurde. "

nochma kurz, da es mich langsam nervt: ja ich hab das dämliche combofix benutzt ohne zu wissen, was es anrichten kann ! ja ich werds nie mehr machen ! und nein ich bin immer noch nicht schlauer aus den 2 sätzen. dass cf schlimm ist weiss ich jetzt auch, meine frage eher warum, was macht das denn so anders, dass es so mächtig ist ?

aber das sollte nebensache sein! es geht hier um den goingonearth-hijacker. also zum thema: nach einem neustart nach dem letzten scan mit tdsskiller, ließ sich das sicherheitscenter nun wieder starten. eine antispysoftware, wie von win7 verlangt, ließ sich bisher aber noch nicht starten.

Zitat:

aber das sollte nebensache sein!

Siehst du so, weil es dir primär um dein Problem geht. Ich will nicht, dass andere hier mitlesen und einfach CF ausführen weil du das ja auch einfach so gemacht hast
Und ja, dein OTL-Log schau ich mir gleich an

Zitat:

23.06.2011 18:11:45

mbam-log-2011-06-23 (18-11-45).txt

Das letzte Mal Malwarebytes ist ja auch schon über ne Woche her.
Mach bitte einen neuen Vollscan, vorher die Signaturen aktualisieren.

ok, ich glaub aber es hat sich mittlerweile erledigt. keine redirects mehr, das sicherheitscenter läuft, und auch der windows defender läuft wieder (wenn er denn überhaupt was bringt).

welche software empfiehlst du denn so als präventivschutz, dass sowas nicht mehr vorkommt ?

Erst machst du einen Wind, jetzt ist alles ok oder was?

was heißt hier bitte wind machen ?

ich hab lediglich um durchschauen der logfiles gebeten, weil ich damit nix anfangen kann. malwarebytes laufen lassen is ja nix besonderes. aber das hat einfach nix erkannt. das ding zieht sich ja jetzt schon ne woche, is klar dass ich nicht vorm pc hock und das darauf beruhen lasse..

ob alles okay ist weiss ich nicht, die letzten programme haben aber anscheinend das teil ausfindig gemacht ...

irgendwie komm ich mir hier dumm angeschoben vor, erst die cf-belehrungen und jetzt das. auf fragen wird erst mal auch nicht reagiert.
trotzdem danke für deine hilfestellung.

Nein ich will nur, dass man hier auch mal die Hinweise richtig liest!
Alles ist hier dich und fett vermerkt und es wird trotzdem ignoriert oder überlesen, ich mag sowas nicht! Dann musst du dir auch diese "Belehrungen" gefallen lassen, schließlich hast du auch mehrmals erwähnt, dass du es immer noch nciht verstehst!


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.