Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Google-Weiterleitung (meistens) auf die Webseite "goingonearth"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.07.2011, 14:12   #1
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo ihr Lieben,

leider habe ich mir einen Virus eingefangen, der mich bei Google-Anfragen auf falsche Webseiten umleitet. Mestens auf die Webseite "goingonearth.com".
Zusätzlich zu den Umleitungen wird die Firewall von Mcafee nach einigen Minuten nach dem Hochfahren des PCs deaktiviert und die Wlan-Verbindung von meinem PC zur Fritzbox funktioniert nicht mehr.
Vor mehreren Tagen habe ich routinemäßig mit McAfee meinen PC gescannt. Er hat dabei Trojaner gefunden und sie auch in Quarantäne geschickt. Den Quarantäne-Ordner kann ich im McAfee-
Programm aber nicht mehr öffnen. Ein neuer Scan mit Mcafee ergibt keine Befunde. Die Umleitung bei der Google-Suche bestehen immer noch.

Zum Scannen habe ich folgende Programme benutzt:
Spyware Terminator
Malewarebytes
McAfee

In der Datei: "01_Spyware-Terminator" befindet sich ein Vollscan des PCs.
Die kritischen Objekte habe ich entfernen lassen

In der Datei: "01-2_Spyware-Terminator_nach_ anschließendem_Qiuckscan
habe ich einen erneuten Scan durchgeführt. Die "gelöschten" kritischen Objekte sind wieder aufgetaucht. Google meint, dass es sich immer um MS-Software handelt.

Es wäre nett, wenn ihr mir helfen könntet. Danke euch! )

Viele Grüße,

Andreas

Alt 18.07.2011, 10:24   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Der Scanbericht von McAfee ist unbrauchbar. Es bringt nichts wenn man nur weiß wie viele Objekte gefunden wurden, es fehlen die Angaben zu den angeblich schädlichen Objekten (Dateiname, kompletter Pfad, Schädlingsname)

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________

__________________

Alt 18.07.2011, 21:13   #3
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo Arne,

danke Dir für Deine Antwort auf mein Posting.
Der Scan von Malwarebytes (s.o.) war der einzige, den ich erstellt habe.
Das McAfee-Antiviren-Programm war auf meinem PC beim Neukauf vorinstalliert. Ich habe es deinstalliert und bin zu Bitdefender übergegangen.

Herzlichen Dank für Deine Bemühungen!

Viele Grüße,

Andreas
__________________

Alt 19.07.2011, 09:18   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Zitat:
Das McAfee-Antiviren-Programm war auf meinem PC beim Neukauf vorinstalliert. Ich habe es deinstalliert und bin zu Bitdefender übergegangen.
Und wann? Ich wollte noch das alte Log von McAfee sehen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.07.2011, 20:56   #5
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo Arne,

Bitdefender habe ich gestern am Abend installiert. Das ist jetzt totales Pech. Ich dachte, dass der Scan-Bericht, den ich oben in euer Board hochgeladen hatte, alles ist, was McAfee-Antivirus als Protokoll festhält. Da ich McAfees Quarantäne-Ordner nicht mehr öffnen konnte und die Firewall sich immer deaktivierte, McAfee-Antivirus also defekt war, habe ich schnell nach einem (besseren) Ersatz gesucht, damit ich nicht schutzlos im Netz war. - Tut mir echt leid.

Danke Dir aber wieder für Deine Antwort.

p.s. Ich kann mich leider immer erst abends melden, da ich so lang arbeite.


Alt 19.07.2011, 21:33   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
--> Google-Weiterleitung (meistens) auf die Webseite "goingonearth"

Alt 21.07.2011, 14:43   #7
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo Arne,

danke Dir für Deine Anleitung.

Hier nun das Lofile von OTL:

Viele Grüße,

Andreas

Alt 21.07.2011, 15:12   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
[2011.04.30 20:00:23 | 000,000,000 | ---D | M] -- C:\Users\Andreas\AppData\Roaming\0C8C1515-1A20-4CA1-8762-99BB3A1D4AB6
@Alternate Data Stream - 76 bytes -> C:\Users\Andreas\Documents\Meditationen und Musik.rcl:Roxio EMC Stream
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.07.2011, 09:41   #9
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo Arne,

ganz herzlichen Dank für Deine Hilfe!
Nach dem Fix waren die Einträge auf meinem Rechner erfolgreich gelöscht:

========== OTL ==========
C:\Users\Andreas\AppData\Roaming\0C8C1515-1A20-4CA1-8762-99BB3A1D4AB6 folder moved successfully.
ADS C:\Users\Andreas\Documents\Meditationen und Musik.rcl:Roxio EMC Stream deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07212011_180054


Allerdings befand sich laut Bitdefender ein Trojaner auf meinem PC. Eine Entfernung durch Bitdefender bewirkte, dass der PC nicht mehr hochfahren konnte und Win 7 einen Wiederherstellungspunkt gesucht hatte, an dem das System noch lief. Dabei war der Trojaner aber noch auf dem PC. Ich habe dann einen Wiederherstellungspunkt gewählt, bevor ich den Google-Hijack entdeckt hatte.
Nun läuft wieder alles, es gibt kein Google-Hijack, keinen Trojaner (untersucht mit Bitdefender und Malewarebites) und mein Java ist nun auch auf der Höhe.

Ich danke Dir sehr für Deine Hilfe und wünsche euch weiterhin viel Erfolg!

Viele Grüße,

Andreas

Alt 25.07.2011, 09:57   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.07.2011, 16:18   #11
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo Arne,

danke Dir wieder für Deine Hilfe!
Hier nun das Log von TDSS:



2011/07/25 17:14:11.0446 6780 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/25 17:14:13.0458 6780

================================================================================
2011/07/25 17:14:13.0458 6780 SystemInfo:
2011/07/25 17:14:13.0458 6780
2011/07/25 17:14:13.0458 6780 OS Version: 6.1.7600 ServicePack: 0.0
2011/07/25 17:14:13.0458 6780 Product type: Workstation
2011/07/25 17:14:13.0458 6780 ComputerName: MEINEREINER
2011/07/25 17:14:13.0458 6780 UserName: Andreas
2011/07/25 17:14:13.0458 6780 Windows directory: C:\Windows
2011/07/25 17:14:13.0458 6780 System windows directory: C:\Windows
2011/07/25 17:14:13.0458 6780 Running under WOW64
2011/07/25 17:14:13.0458 6780 Processor architecture: Intel x64
2011/07/25 17:14:13.0458 6780 Number of processors: 8
2011/07/25 17:14:13.0458 6780 Page size: 0x1000
2011/07/25 17:14:13.0458 6780 Boot type: Normal boot
2011/07/25 17:14:13.0458 6780

================================================================================
2011/07/25 17:14:13.0755 6780 Initialize success
2011/07/25 17:14:19.0230 4008

================================================================================
2011/07/25 17:14:19.0230 4008 Scan started
2011/07/25 17:14:19.0230 4008 Mode: Manual;
2011/07/25 17:14:19.0230 4008

================================================================================
2011/07/25 17:14:23.0333 4008 MBR (0x1B8) (cf7fe017ae24b7cebc28557b10717e64) \Device\Harddisk0\DR0
2011/07/25 17:14:23.0396 4008

================================================================================
2011/07/25 17:14:23.0396 4008 Scan finished
2011/07/25 17:14:23.0396 4008

================================================================================
2011/07/25 17:14:23.0396 5872 Detected object count: 0
2011/07/25 17:14:23.0396 5872 Actual detected object count: 0




Viele Grüße und herzlichen Dank.

Andreas

Alt 25.07.2011, 18:30   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Das Log sieht anders aus als erwartet - hast du es wie beschrieben ausgeführt? Per Rechtsklicks als Admin und beide Haken waren gesetzt?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.07.2011, 19:28   #13
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo Arne,

ja, den Scan habe ich so ausgeführt wie bei euch beschrieben.
Ich habe den PC noch einmal gescannt und dabei meinen Virenscanner ausgeschaltet. Das Ergebnis ist das selbe:

2011/07/25 20:06:25.0913 4784 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/25 20:06:26.0693 4784 ================================================================================
2011/07/25 20:06:26.0693 4784 SystemInfo:
2011/07/25 20:06:26.0693 4784
2011/07/25 20:06:26.0693 4784 OS Version: 6.1.7600 ServicePack: 0.0
2011/07/25 20:06:26.0693 4784 Product type: Workstation
2011/07/25 20:06:26.0693 4784 ComputerName: MEINEREINER
2011/07/25 20:06:26.0693 4784 UserName: Andreas
2011/07/25 20:06:26.0693 4784 Windows directory: C:\Windows
2011/07/25 20:06:26.0693 4784 System windows directory: C:\Windows
2011/07/25 20:06:26.0693 4784 Running under WOW64
2011/07/25 20:06:26.0693 4784 Processor architecture: Intel x64
2011/07/25 20:06:26.0693 4784 Number of processors: 8
2011/07/25 20:06:26.0693 4784 Page size: 0x1000
2011/07/25 20:06:26.0693 4784 Boot type: Normal boot
2011/07/25 20:06:26.0693 4784 ================================================================================
2011/07/25 20:06:27.0051 4784 Initialize success
2011/07/25 20:06:30.0421 5044 ================================================================================
2011/07/25 20:06:30.0421 5044 Scan started
2011/07/25 20:06:30.0421 5044 Mode: Manual;
2011/07/25 20:06:30.0421 5044 ================================================================================
2011/07/25 20:06:34.0961 5044 MBR (0x1B8) (cf7fe017ae24b7cebc28557b10717e64) \Device\Harddisk0\DR0
2011/07/25 20:06:35.0023 5044 ================================================================================
2011/07/25 20:06:35.0023 5044 Scan finished
2011/07/25 20:06:35.0023 5044 ================================================================================
2011/07/25 20:06:35.0023 1952 Detected object count: 0
2011/07/25 20:06:35.0023 1952 Actual detected object count: 0



Danke Dir für Deine Hilfe!

Viele Grüße,

Andreas

Alt 25.07.2011, 19:42   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Etwas anders sieht es schon aus. Aber ist immer noch zu kurz. Vergessen wir den TDSS-Killer.
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.07.2011, 21:22   #15
Andreasjv
 
Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Standard

Google-Weiterleitung (meistens) auf die Webseite "goingonearth"



Hallo Arne,

ganz herzlichen Dank für Dein letztes Posting.

Ich habe Combofix 2 Mal über meinen Rechner laufen lassen.
Die Log-Dateien befinden sich im Dateianhang:

a) 01_Combofix-Datei_1._Scan.txt
Zu diesem Scan hatte ich alle Funktionen von Bitdefender deaktiviert. Trotzdem zeigte sich ein Eingriff von Bitdefender in einer Scan-"Stufe", bei der irgendeine Aktion von Combofix "erfolgreich" gesperrt wurde.

b)02_Combofix-Datei_2._Scan_ohne_Bitedefender.txt
Ich habe heute Bitdefender zum 2. Scan kurzerhand deinstalliert. Es wurde bei dem Scanvorgang auch kein Eingriff sichtbar.

Herzlichen Dank für Deine Bemühungen!

Viele Grüße,

Andreas

Antwort

Themen zu Google-Weiterleitung (meistens) auf die Webseite "goingonearth"
datei, deaktiviert, eingefangen, entfernen, falsche, firewall, folge, frage, fragen, fritzbox, funktioniert, funktioniert nicht, gen, goingonearth entfernen, google-umleitung, hochfahren, mcafee, neuer, pcs, programme, quarantäne, rojaner gefunden, scannen, trojaner, trojaner gefunden, umleitungen, virus, webseite, webseiten




Ähnliche Themen: Google-Weiterleitung (meistens) auf die Webseite "goingonearth"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Windows 8.1: Avira findet "TR/Swrort.A.10259" in "C:\Program Files (x86)\Google\Chrome\Application\old_chrome.exe"
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (3)
  3. Weiterleitung nach Google Anfrage zu "ihavenet"
    Log-Analyse und Auswertung - 24.09.2013 (26)
  4. Probleme bei google-Weiterleitung, link führt zu "ihavenet.com"
    Log-Analyse und Auswertung - 24.05.2013 (8)
  5. Webseite via FTP/FileZilla gehackt, Viren "JS/BlacoleRef.W.234" und "EXP/Pdfka.EL.831" gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.02.2013 (37)
  6. Weiterleitung bei google (bing etc.)-Suche auf falsche Seite "rocketnews.com/...."
    Plagegeister aller Art und deren Bekämpfung - 13.05.2012 (2)
  7. Google- "abnow"- Weiterleitung
    Plagegeister aller Art und deren Bekämpfung - 16.03.2012 (12)
  8. "abnow" Weiterleitung bei Google
    Log-Analyse und Auswertung - 15.03.2012 (13)
  9. Weiterleitung von Google-Links auf z.B. "vuwl directory" oder ähnliche Seiten
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (18)
  10. Google Redirect Virus "GoingonEarth"
    Plagegeister aller Art und deren Bekämpfung - 30.07.2011 (4)
  11. Ebenfalls "Goingonearth" geschädigt!
    Plagegeister aller Art und deren Bekämpfung - 27.05.2011 (13)
  12. Suchergebnisse von Google werde immer von "goingonearth" weitergeleitet
    Plagegeister aller Art und deren Bekämpfung - 15.05.2011 (3)
  13. Google Redirect Virus "goingonearth" - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (25)
  14. Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"
    Log-Analyse und Auswertung - 10.03.2011 (4)
  15. Firefox: Weiterleitung auf "gostats.com" und Werbung "served by Yourprofitclub"
    Log-Analyse und Auswertung - 05.03.2011 (23)
  16. Weiterleitung von Google-Links auf z.B. "k-directory.co.uk" oder ähnliche Seiten
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (21)
  17. wieder mal "Google Weiterleitung"
    Log-Analyse und Auswertung - 05.07.2006 (1)

Zum Thema Google-Weiterleitung (meistens) auf die Webseite "goingonearth" - Hallo ihr Lieben, leider habe ich mir einen Virus eingefangen, der mich bei Google-Anfragen auf falsche Webseiten umleitet. Mestens auf die Webseite "goingonearth.com". Zusätzlich zu den Umleitungen wird die Firewall - Google-Weiterleitung (meistens) auf die Webseite "goingonearth"...
Archiv
Du betrachtest: Google-Weiterleitung (meistens) auf die Webseite "goingonearth" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.