|
Log-Analyse und Auswertung: Google-Weiterleitung (meistens) auf die Webseite "goingonearth"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.07.2011, 14:12 | #1 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo ihr Lieben, leider habe ich mir einen Virus eingefangen, der mich bei Google-Anfragen auf falsche Webseiten umleitet. Mestens auf die Webseite "goingonearth.com". Zusätzlich zu den Umleitungen wird die Firewall von Mcafee nach einigen Minuten nach dem Hochfahren des PCs deaktiviert und die Wlan-Verbindung von meinem PC zur Fritzbox funktioniert nicht mehr. Vor mehreren Tagen habe ich routinemäßig mit McAfee meinen PC gescannt. Er hat dabei Trojaner gefunden und sie auch in Quarantäne geschickt. Den Quarantäne-Ordner kann ich im McAfee- Programm aber nicht mehr öffnen. Ein neuer Scan mit Mcafee ergibt keine Befunde. Die Umleitung bei der Google-Suche bestehen immer noch. Zum Scannen habe ich folgende Programme benutzt: Spyware Terminator Malewarebytes McAfee In der Datei: "01_Spyware-Terminator" befindet sich ein Vollscan des PCs. Die kritischen Objekte habe ich entfernen lassen In der Datei: "01-2_Spyware-Terminator_nach_ anschließendem_Qiuckscan habe ich einen erneuten Scan durchgeführt. Die "gelöschten" kritischen Objekte sind wieder aufgetaucht. Google meint, dass es sich immer um MS-Software handelt. Es wäre nett, wenn ihr mir helfen könntet. Danke euch! ) Viele Grüße, Andreas |
18.07.2011, 10:24 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Der Scanbericht von McAfee ist unbrauchbar. Es bringt nichts wenn man nur weiß wie viele Objekte gefunden wurden, es fehlen die Angaben zu den angeblich schädlichen Objekten (Dateiname, kompletter Pfad, Schädlingsname)
__________________Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________ |
18.07.2011, 21:13 | #3 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo Arne,
__________________danke Dir für Deine Antwort auf mein Posting. Der Scan von Malwarebytes (s.o.) war der einzige, den ich erstellt habe. Das McAfee-Antiviren-Programm war auf meinem PC beim Neukauf vorinstalliert. Ich habe es deinstalliert und bin zu Bitdefender übergegangen. Herzlichen Dank für Deine Bemühungen! Viele Grüße, Andreas |
19.07.2011, 09:18 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google-Weiterleitung (meistens) auf die Webseite "goingonearth"Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
19.07.2011, 20:56 | #5 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo Arne, Bitdefender habe ich gestern am Abend installiert. Das ist jetzt totales Pech. Ich dachte, dass der Scan-Bericht, den ich oben in euer Board hochgeladen hatte, alles ist, was McAfee-Antivirus als Protokoll festhält. Da ich McAfees Quarantäne-Ordner nicht mehr öffnen konnte und die Firewall sich immer deaktivierte, McAfee-Antivirus also defekt war, habe ich schnell nach einem (besseren) Ersatz gesucht, damit ich nicht schutzlos im Netz war. - Tut mir echt leid. Danke Dir aber wieder für Deine Antwort. p.s. Ich kann mich leider immer erst abends melden, da ich so lang arbeite. |
19.07.2011, 21:33 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google-Weiterleitung (meistens) auf die Webseite "goingonearth" CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ --> Google-Weiterleitung (meistens) auf die Webseite "goingonearth" |
21.07.2011, 14:43 | #7 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo Arne, danke Dir für Deine Anleitung. Hier nun das Lofile von OTL: Viele Grüße, Andreas |
21.07.2011, 15:12 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL [2011.04.30 20:00:23 | 000,000,000 | ---D | M] -- C:\Users\Andreas\AppData\Roaming\0C8C1515-1A20-4CA1-8762-99BB3A1D4AB6 @Alternate Data Stream - 76 bytes -> C:\Users\Andreas\Documents\Meditationen und Musik.rcl:Roxio EMC Stream :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.07.2011, 09:41 | #9 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo Arne, ganz herzlichen Dank für Deine Hilfe! Nach dem Fix waren die Einträge auf meinem Rechner erfolgreich gelöscht: ========== OTL ========== C:\Users\Andreas\AppData\Roaming\0C8C1515-1A20-4CA1-8762-99BB3A1D4AB6 folder moved successfully. ADS C:\Users\Andreas\Documents\Meditationen und Musik.rcl:Roxio EMC Stream deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.26.1 log created on 07212011_180054 Allerdings befand sich laut Bitdefender ein Trojaner auf meinem PC. Eine Entfernung durch Bitdefender bewirkte, dass der PC nicht mehr hochfahren konnte und Win 7 einen Wiederherstellungspunkt gesucht hatte, an dem das System noch lief. Dabei war der Trojaner aber noch auf dem PC. Ich habe dann einen Wiederherstellungspunkt gewählt, bevor ich den Google-Hijack entdeckt hatte. Nun läuft wieder alles, es gibt kein Google-Hijack, keinen Trojaner (untersucht mit Bitdefender und Malewarebites) und mein Java ist nun auch auf der Höhe. Ich danke Dir sehr für Deine Hilfe und wünsche euch weiterhin viel Erfolg! Viele Grüße, Andreas |
25.07.2011, 09:57 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
25.07.2011, 16:18 | #11 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo Arne, danke Dir wieder für Deine Hilfe! Hier nun das Log von TDSS: 2011/07/25 17:14:11.0446 6780 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56 2011/07/25 17:14:13.0458 6780 ================================================================================ 2011/07/25 17:14:13.0458 6780 SystemInfo: 2011/07/25 17:14:13.0458 6780 2011/07/25 17:14:13.0458 6780 OS Version: 6.1.7600 ServicePack: 0.0 2011/07/25 17:14:13.0458 6780 Product type: Workstation 2011/07/25 17:14:13.0458 6780 ComputerName: MEINEREINER 2011/07/25 17:14:13.0458 6780 UserName: Andreas 2011/07/25 17:14:13.0458 6780 Windows directory: C:\Windows 2011/07/25 17:14:13.0458 6780 System windows directory: C:\Windows 2011/07/25 17:14:13.0458 6780 Running under WOW64 2011/07/25 17:14:13.0458 6780 Processor architecture: Intel x64 2011/07/25 17:14:13.0458 6780 Number of processors: 8 2011/07/25 17:14:13.0458 6780 Page size: 0x1000 2011/07/25 17:14:13.0458 6780 Boot type: Normal boot 2011/07/25 17:14:13.0458 6780 ================================================================================ 2011/07/25 17:14:13.0755 6780 Initialize success 2011/07/25 17:14:19.0230 4008 ================================================================================ 2011/07/25 17:14:19.0230 4008 Scan started 2011/07/25 17:14:19.0230 4008 Mode: Manual; 2011/07/25 17:14:19.0230 4008 ================================================================================ 2011/07/25 17:14:23.0333 4008 MBR (0x1B8) (cf7fe017ae24b7cebc28557b10717e64) \Device\Harddisk0\DR0 2011/07/25 17:14:23.0396 4008 ================================================================================ 2011/07/25 17:14:23.0396 4008 Scan finished 2011/07/25 17:14:23.0396 4008 ================================================================================ 2011/07/25 17:14:23.0396 5872 Detected object count: 0 2011/07/25 17:14:23.0396 5872 Actual detected object count: 0 Viele Grüße und herzlichen Dank. Andreas |
25.07.2011, 18:30 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Das Log sieht anders aus als erwartet - hast du es wie beschrieben ausgeführt? Per Rechtsklicks als Admin und beide Haken waren gesetzt?
__________________ Logfiles bitte immer in CODE-Tags posten |
25.07.2011, 19:28 | #13 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo Arne, ja, den Scan habe ich so ausgeführt wie bei euch beschrieben. Ich habe den PC noch einmal gescannt und dabei meinen Virenscanner ausgeschaltet. Das Ergebnis ist das selbe: 2011/07/25 20:06:25.0913 4784 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56 2011/07/25 20:06:26.0693 4784 ================================================================================ 2011/07/25 20:06:26.0693 4784 SystemInfo: 2011/07/25 20:06:26.0693 4784 2011/07/25 20:06:26.0693 4784 OS Version: 6.1.7600 ServicePack: 0.0 2011/07/25 20:06:26.0693 4784 Product type: Workstation 2011/07/25 20:06:26.0693 4784 ComputerName: MEINEREINER 2011/07/25 20:06:26.0693 4784 UserName: Andreas 2011/07/25 20:06:26.0693 4784 Windows directory: C:\Windows 2011/07/25 20:06:26.0693 4784 System windows directory: C:\Windows 2011/07/25 20:06:26.0693 4784 Running under WOW64 2011/07/25 20:06:26.0693 4784 Processor architecture: Intel x64 2011/07/25 20:06:26.0693 4784 Number of processors: 8 2011/07/25 20:06:26.0693 4784 Page size: 0x1000 2011/07/25 20:06:26.0693 4784 Boot type: Normal boot 2011/07/25 20:06:26.0693 4784 ================================================================================ 2011/07/25 20:06:27.0051 4784 Initialize success 2011/07/25 20:06:30.0421 5044 ================================================================================ 2011/07/25 20:06:30.0421 5044 Scan started 2011/07/25 20:06:30.0421 5044 Mode: Manual; 2011/07/25 20:06:30.0421 5044 ================================================================================ 2011/07/25 20:06:34.0961 5044 MBR (0x1B8) (cf7fe017ae24b7cebc28557b10717e64) \Device\Harddisk0\DR0 2011/07/25 20:06:35.0023 5044 ================================================================================ 2011/07/25 20:06:35.0023 5044 Scan finished 2011/07/25 20:06:35.0023 5044 ================================================================================ 2011/07/25 20:06:35.0023 1952 Detected object count: 0 2011/07/25 20:06:35.0023 1952 Actual detected object count: 0 Danke Dir für Deine Hilfe! Viele Grüße, Andreas |
25.07.2011, 19:42 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Etwas anders sieht es schon aus. Aber ist immer noch zu kurz. Vergessen wir den TDSS-Killer. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
28.07.2011, 21:22 | #15 |
| Google-Weiterleitung (meistens) auf die Webseite "goingonearth" Hallo Arne, ganz herzlichen Dank für Dein letztes Posting. Ich habe Combofix 2 Mal über meinen Rechner laufen lassen. Die Log-Dateien befinden sich im Dateianhang: a) 01_Combofix-Datei_1._Scan.txt Zu diesem Scan hatte ich alle Funktionen von Bitdefender deaktiviert. Trotzdem zeigte sich ein Eingriff von Bitdefender in einer Scan-"Stufe", bei der irgendeine Aktion von Combofix "erfolgreich" gesperrt wurde. b)02_Combofix-Datei_2._Scan_ohne_Bitedefender.txt Ich habe heute Bitdefender zum 2. Scan kurzerhand deinstalliert. Es wurde bei dem Scanvorgang auch kein Eingriff sichtbar. Herzlichen Dank für Deine Bemühungen! Viele Grüße, Andreas |
Themen zu Google-Weiterleitung (meistens) auf die Webseite "goingonearth" |
datei, deaktiviert, eingefangen, entfernen, falsche, firewall, folge, frage, fragen, fritzbox, funktioniert, funktioniert nicht, gen, goingonearth entfernen, google-umleitung, hochfahren, mcafee, neuer, pcs, programme, quarantäne, rojaner gefunden, scannen, trojaner, trojaner gefunden, umleitungen, virus, webseite, webseiten |