Hallo ihr Lieben,

leider habe ich mir einen Virus eingefangen, der mich bei Google-Anfragen auf falsche Webseiten umleitet. Mestens auf die Webseite "goingonearth.com".
Zusätzlich zu den Umleitungen wird die Firewall von Mcafee nach einigen Minuten nach dem Hochfahren des PCs deaktiviert und die Wlan-Verbindung von meinem PC zur Fritzbox funktioniert nicht mehr.
Vor mehreren Tagen habe ich routinemäßig mit McAfee meinen PC gescannt. Er hat dabei Trojaner gefunden und sie auch in Quarantäne geschickt. Den Quarantäne-Ordner kann ich im McAfee-
Programm aber nicht mehr öffnen. Ein neuer Scan mit Mcafee ergibt keine Befunde. Die Umleitung bei der Google-Suche bestehen immer noch.

Zum Scannen habe ich folgende Programme benutzt:
Spyware Terminator
Malewarebytes
McAfee

In der Datei: "01_Spyware-Terminator" befindet sich ein Vollscan des PCs.
Die kritischen Objekte habe ich entfernen lassen

In der Datei: "01-2_Spyware-Terminator_nach_ anschließendem_Qiuckscan
habe ich einen erneuten Scan durchgeführt. Die "gelöschten" kritischen Objekte sind wieder aufgetaucht. Google meint, dass es sich immer um MS-Software handelt.

Es wäre nett, wenn ihr mir helfen könntet. Danke euch! )

Viele Grüße,

Andreas

Der Scanbericht von McAfee ist unbrauchbar. Es bringt nichts wenn man nur weiß wie viele Objekte gefunden wurden, es fehlen die Angaben zu den angeblich schädlichen Objekten (Dateiname, kompletter Pfad, Schädlingsname)

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,

danke Dir für Deine Antwort auf mein Posting.
Der Scan von Malwarebytes (s.o.) war der einzige, den ich erstellt habe.
Das McAfee-Antiviren-Programm war auf meinem PC beim Neukauf vorinstalliert. Ich habe es deinstalliert und bin zu Bitdefender übergegangen.

Herzlichen Dank für Deine Bemühungen!

Viele Grüße,

Andreas

Zitat:

Das McAfee-Antiviren-Programm war auf meinem PC beim Neukauf vorinstalliert. Ich habe es deinstalliert und bin zu Bitdefender übergegangen.

Und wann? Ich wollte noch das alte Log von McAfee sehen!

Hallo Arne,

Bitdefender habe ich gestern am Abend installiert. Das ist jetzt totales Pech. Ich dachte, dass der Scan-Bericht, den ich oben in euer Board hochgeladen hatte, alles ist, was McAfee-Antivirus als Protokoll festhält. Da ich McAfees Quarantäne-Ordner nicht mehr öffnen konnte und die Firewall sich immer deaktivierte, McAfee-Antivirus also defekt war, habe ich schnell nach einem (besseren) Ersatz gesucht, damit ich nicht schutzlos im Netz war. - Tut mir echt leid.

Danke Dir aber wieder für Deine Antwort.

p.s. Ich kann mich leider immer erst abends melden, da ich so lang arbeite.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

danke Dir für Deine Anleitung.

Hier nun das Lofile von OTL:

Viele Grüße,

Andreas

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2011.04.30 20:00:23 | 000,000,000 | ---D | M] -- C:\Users\Andreas\AppData\Roaming\0C8C1515-1A20-4CA1-8762-99BB3A1D4AB6
@Alternate Data Stream - 76 bytes -> C:\Users\Andreas\Documents\Meditationen und Musik.rcl:Roxio EMC Stream
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

ganz herzlichen Dank für Deine Hilfe!
Nach dem Fix waren die Einträge auf meinem Rechner erfolgreich gelöscht:

========== OTL ==========
C:\Users\Andreas\AppData\Roaming\0C8C1515-1A20-4CA1-8762-99BB3A1D4AB6 folder moved successfully.
ADS C:\Users\Andreas\Documents\Meditationen und Musik.rcl:Roxio EMC Stream deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07212011_180054


Allerdings befand sich laut Bitdefender ein Trojaner auf meinem PC. Eine Entfernung durch Bitdefender bewirkte, dass der PC nicht mehr hochfahren konnte und Win 7 einen Wiederherstellungspunkt gesucht hatte, an dem das System noch lief. Dabei war der Trojaner aber noch auf dem PC. Ich habe dann einen Wiederherstellungspunkt gewählt, bevor ich den Google-Hijack entdeckt hatte.
Nun läuft wieder alles, es gibt kein Google-Hijack, keinen Trojaner (untersucht mit Bitdefender und Malewarebites) und mein Java ist nun auch auf der Höhe.

Ich danke Dir sehr für Deine Hilfe und wünsche euch weiterhin viel Erfolg!

Viele Grüße,

Andreas

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne,

danke Dir wieder für Deine Hilfe!
Hier nun das Log von TDSS:



2011/07/25 17:14:11.0446 6780 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/25 17:14:13.0458 6780

================================================================================
2011/07/25 17:14:13.0458 6780 SystemInfo:
2011/07/25 17:14:13.0458 6780
2011/07/25 17:14:13.0458 6780 OS Version: 6.1.7600 ServicePack: 0.0
2011/07/25 17:14:13.0458 6780 Product type: Workstation
2011/07/25 17:14:13.0458 6780 ComputerName: MEINEREINER
2011/07/25 17:14:13.0458 6780 UserName: Andreas
2011/07/25 17:14:13.0458 6780 Windows directory: C:\Windows
2011/07/25 17:14:13.0458 6780 System windows directory: C:\Windows
2011/07/25 17:14:13.0458 6780 Running under WOW64
2011/07/25 17:14:13.0458 6780 Processor architecture: Intel x64
2011/07/25 17:14:13.0458 6780 Number of processors: 8
2011/07/25 17:14:13.0458 6780 Page size: 0x1000
2011/07/25 17:14:13.0458 6780 Boot type: Normal boot
2011/07/25 17:14:13.0458 6780

================================================================================
2011/07/25 17:14:13.0755 6780 Initialize success
2011/07/25 17:14:19.0230 4008

================================================================================
2011/07/25 17:14:19.0230 4008 Scan started
2011/07/25 17:14:19.0230 4008 Mode: Manual;
2011/07/25 17:14:19.0230 4008

================================================================================
2011/07/25 17:14:23.0333 4008 MBR (0x1B8) (cf7fe017ae24b7cebc28557b10717e64) \Device\Harddisk0\DR0
2011/07/25 17:14:23.0396 4008

================================================================================
2011/07/25 17:14:23.0396 4008 Scan finished
2011/07/25 17:14:23.0396 4008

================================================================================
2011/07/25 17:14:23.0396 5872 Detected object count: 0
2011/07/25 17:14:23.0396 5872 Actual detected object count: 0




Viele Grüße und herzlichen Dank.

Andreas

Das Log sieht anders aus als erwartet - hast du es wie beschrieben ausgeführt? Per Rechtsklicks als Admin und beide Haken waren gesetzt?

Hallo Arne,

ja, den Scan habe ich so ausgeführt wie bei euch beschrieben.
Ich habe den PC noch einmal gescannt und dabei meinen Virenscanner ausgeschaltet. Das Ergebnis ist das selbe:

2011/07/25 20:06:25.0913 4784 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/25 20:06:26.0693 4784 ================================================================================
2011/07/25 20:06:26.0693 4784 SystemInfo:
2011/07/25 20:06:26.0693 4784
2011/07/25 20:06:26.0693 4784 OS Version: 6.1.7600 ServicePack: 0.0
2011/07/25 20:06:26.0693 4784 Product type: Workstation
2011/07/25 20:06:26.0693 4784 ComputerName: MEINEREINER
2011/07/25 20:06:26.0693 4784 UserName: Andreas
2011/07/25 20:06:26.0693 4784 Windows directory: C:\Windows
2011/07/25 20:06:26.0693 4784 System windows directory: C:\Windows
2011/07/25 20:06:26.0693 4784 Running under WOW64
2011/07/25 20:06:26.0693 4784 Processor architecture: Intel x64
2011/07/25 20:06:26.0693 4784 Number of processors: 8
2011/07/25 20:06:26.0693 4784 Page size: 0x1000
2011/07/25 20:06:26.0693 4784 Boot type: Normal boot
2011/07/25 20:06:26.0693 4784 ================================================================================
2011/07/25 20:06:27.0051 4784 Initialize success
2011/07/25 20:06:30.0421 5044 ================================================================================
2011/07/25 20:06:30.0421 5044 Scan started
2011/07/25 20:06:30.0421 5044 Mode: Manual;
2011/07/25 20:06:30.0421 5044 ================================================================================
2011/07/25 20:06:34.0961 5044 MBR (0x1B8) (cf7fe017ae24b7cebc28557b10717e64) \Device\Harddisk0\DR0
2011/07/25 20:06:35.0023 5044 ================================================================================
2011/07/25 20:06:35.0023 5044 Scan finished
2011/07/25 20:06:35.0023 5044 ================================================================================
2011/07/25 20:06:35.0023 1952 Detected object count: 0
2011/07/25 20:06:35.0023 1952 Actual detected object count: 0



Danke Dir für Deine Hilfe!

Viele Grüße,

Andreas

Etwas anders sieht es schon aus. Aber ist immer noch zu kurz. Vergessen wir den TDSS-Killer.
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

ganz herzlichen Dank für Dein letztes Posting.

Ich habe Combofix 2 Mal über meinen Rechner laufen lassen.
Die Log-Dateien befinden sich im Dateianhang:

a) 01_Combofix-Datei_1._Scan.txt
Zu diesem Scan hatte ich alle Funktionen von Bitdefender deaktiviert. Trotzdem zeigte sich ein Eingriff von Bitdefender in einer Scan-"Stufe", bei der irgendeine Aktion von Combofix "erfolgreich" gesperrt wurde.

b)02_Combofix-Datei_2._Scan_ohne_Bitedefender.txt
Ich habe heute Bitdefender zum 2. Scan kurzerhand deinstalliert. Es wurde bei dem Scanvorgang auch kein Eingriff sichtbar.

Herzlichen Dank für Deine Bemühungen!

Viele Grüße,

Andreas