Hallo,

wenn ich nach einer Google-Recherche die angezeigten Seiten aufzurufen versuche, werde ich auf unerwünschte Werbeseite weitergeleitet (z. B. "ihavenet.com").

Dann klicke ich "Rückgängig" und versuche es erneut, wiederhole diesen Vorgang, bis es irgendwann klappt.

Das Problem ist mir erstmals vor ein oder zwei Tagen aufgefallen. Es tritt nicht immer auf, aber immer öfter, und es ist unabhängig vom Browser (Firefox, IE).

Ist es ein Virus? Was soll ich machen?

Im Voraus danke!

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Die Ergebnisse des Vollscans mit Malwarebytes kann ich schon mal posten; weiter bin ich noch nicht gekommen:



Malwarebytes Anti-Malware (Test) 1.65.0.1400
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2012.09.13.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
XXXX:: XXXX-PC [Administrator]

Schutz: Aktiviert

13.09.2012 10:32:04
mbam-log-2012-09-13 (10-32-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 571725
Laufzeit: 3 Stunde(n), 28 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)





2012/09/12 22:47:08 +0200 x MESSAGE Starting protection
2012/09/12 22:47:08 +0200 x MESSAGE Protection started successfully
2012/09/12 22:47:08 +0200 x MESSAGE Starting IP protection
2012/09/12 22:47:11 +0200 x MESSAGE IP Protection started successfully
2012/09/12 22:47:28 +0200 x MESSAGE Starting database refresh
2012/09/12 22:47:28 +0200 x MESSAGE Stopping IP protection
2012/09/12 22:47:28 +0200 x MESSAGE IP Protection stopped successfully
2012/09/12 22:47:31 +0200 x MESSAGE Database refreshed successfully
2012/09/12 22:47:31 +0200 x MESSAGE Starting IP protection
2012/09/12 22:47:34 +0200 x MESSAGE IP Protection started successfully
2012/09/12 22:59:51 +0200 x MESSAGE Executing scheduled update: Daily
2012/09/12 23:00:10 +0200 x MESSAGE Database already up-to-date



2012/09/13 01:59:09 +0200 x MESSAGE Executing scheduled update: Daily
2012/09/13 01:59:18 +0200 x MESSAGE Starting database refresh
2012/09/13 01:59:18 +0200 x MESSAGE Stopping IP protection
2012/09/13 01:59:18 +0200 x MESSAGE Scheduled update executed successfully: database updated from version v2012.09.12.06 to version v2012.09.12.07
2012/09/13 01:59:19 +0200 x MESSAGE IP Protection stopped successfully
2012/09/13 01:59:22 +0200 x MESSAGE Database refreshed successfully
2012/09/13 01:59:22 +0200 x MESSAGE Starting IP protection
2012/09/13 01:59:25 +0200 x MESSAGE IP Protection started successfully
2012/09/13 10:10:31 +0200 x MESSAGE Starting protection
2012/09/13 10:10:31 +0200 x MESSAGE Protection started successfully
2012/09/13 10:10:31 +0200 x MESSAGE Starting IP protection
2012/09/13 10:10:33 +0200 x MESSAGE IP Protection started successfully
2012/09/13 10:31:38 +0200 x MESSAGE Starting database refresh
2012/09/13 10:31:38 +0200 x MESSAGE Stopping IP protection
2012/09/13 10:31:38 +0200 x MESSAGE IP Protection stopped successfully
2012/09/13 10:31:41 +0200 x MESSAGE Database refreshed successfully
2012/09/13 10:31:41 +0200 x MESSAGE Starting IP protection
2012/09/13 10:31:44 +0200 x MESSAGE IP Protection started successfully



Obwohl nichts gefunden wurde, besteht das Problem nach wie vor.

Wie genau solltest du die Logs posten?

Cosinus, was meinst du mit "Wie genau solltest du die Logs posten?"

Lies doch mal meine Anleitungen zu Ende. Da steht in welcher Form du die Logs posten sollst => in CODE-Tags umschlossen

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.13.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
XXXX:: XXXX-PC [Administrator]

Schutz: Aktiviert

13.09.2012 10:32:04
mbam-log-2012-09-13 (10-32-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 571725
Laufzeit: 3 Stunde(n), 28 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

2012/09/12 22:47:08 +0200	x	MESSAGE	Starting protection
2012/09/12 22:47:08 +0200	x	MESSAGE	Protection started successfully
2012/09/12 22:47:08 +0200	x	MESSAGE	Starting IP protection
2012/09/12 22:47:11 +0200	x	MESSAGE	IP Protection started successfully
2012/09/12 22:47:28 +0200	x	MESSAGE	Starting database refresh
2012/09/12 22:47:28 +0200	x	MESSAGE	Stopping IP protection
2012/09/12 22:47:28 +0200	x	MESSAGE	IP Protection stopped successfully
2012/09/12 22:47:31 +0200	x	MESSAGE	Database refreshed successfully
2012/09/12 22:47:31 +0200	x	MESSAGE	Starting IP protection
2012/09/12 22:47:34 +0200	x	MESSAGE	IP Protection started successfully
2012/09/12 22:59:51 +0200	x	MESSAGE	Executing scheduled update:  Daily
2012/09/12 23:00:10 +0200	x	MESSAGE	Database already up-to-date
         

Code: Alles auswählenAufklappen

ATTFilter

2012/09/13 01:59:09 +0200	x	MESSAGE	Executing scheduled update:  Daily
2012/09/13 01:59:18 +0200	x	MESSAGE	Starting database refresh
2012/09/13 01:59:18 +0200	x	MESSAGE	Stopping IP protection
2012/09/13 01:59:18 +0200	x	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.09.12.06 to version v2012.09.12.07
2012/09/13 01:59:19 +0200	x	MESSAGE	IP Protection stopped successfully
2012/09/13 01:59:22 +0200	x	MESSAGE	Database refreshed successfully
2012/09/13 01:59:22 +0200	x	MESSAGE	Starting IP protection
2012/09/13 01:59:25 +0200	x	MESSAGE	IP Protection started successfully
2012/09/13 10:10:31 +0200	x	MESSAGE	Starting protection
2012/09/13 10:10:31 +0200	x	MESSAGE	Protection started successfully
2012/09/13 10:10:31 +0200	x	MESSAGE	Starting IP protection
2012/09/13 10:10:33 +0200	x	MESSAGE	IP Protection started successfully
2012/09/13 10:31:38 +0200	x	MESSAGE	Starting database refresh
2012/09/13 10:31:38 +0200	x	MESSAGE	Stopping IP protection
2012/09/13 10:31:38 +0200	x	MESSAGE	IP Protection stopped successfully
2012/09/13 10:31:41 +0200	x	MESSAGE	Database refreshed successfully
2012/09/13 10:31:41 +0200	x	MESSAGE	Starting IP protection
2012/09/13 10:31:44 +0200	x	MESSAGE	IP Protection started successfully
2012/09/13 16:12:16 +0200	X	X	IP-BLOCK	78.41.203.120 (Type: outgoing, Port: 63046, Process: avwebgrd.exe)
2012/09/13 17:24:57 +0200	X-PC	X	MESSAGE	Starting protection
2012/09/13 17:24:57 +0200	X-PC	X	MESSAGE	Protection started successfully
2012/09/13 17:24:57 +0200	X-PC	X	MESSAGE	Starting IP protection
2012/09/13 17:24:59 +0200	X-PC	X	MESSAGE	IP Protection started successfully
         

Ich hoffe, ich habe das jetzt richtig gemacht. Ich bin leider ein ziemlicher Computer-Legastheniker. Viele Begriffe und Anweisungen sind mir nicht klar. Trotzdem schon mal vielen Dank für die Hilfe!

Ja so ist richtig. Was ist denn mit ESET, ist mir das Log entgangen?

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\Temp\NOD330.tmp	Variante von Win32/Kryptik.AKCO Trojaner
         

Oben der ESET Online Scan. Ich habe sicherlich einiges falsch gemacht, weil ich die Anweisungen nicht hinreichend beachtet habe. Zur Information:
-- Ich hatte ESET Online Scan mit dem ESET Security Virenscanner verwechselt, diesen als Testversion installiert und alles prüfen lassen. Er hatte auch zwei oder drei infizierte Programme/Dateien gefunden, die ich daraufhin aber nicht entfernt hatte.
-- Unabhängig davon habe ich später eine Systemwiederherstellung durchgeführt (Zeitpunkt 5. Sept.). Seitdem tritt die Weiterleitung nicht mehr auf. Das installierte ESET-Virenprogramm war dadurch weg :-(, so dass ich keine näheren Angaben zu den Funden machen kann.
-- Aber die Weiterleitung auf Werbeseiten tritt nicht mehr auf. Übrigens lief Safari sauber, nur Firefox und IE waren betroffen.
-- Ich weiß nicht, ob der Hijacker/Virus oder was auch immer nun weg ist.
-- Bzw.: Wie gehe ich mit dem Fund vom ESET Online Scan um?

Vielen Dank!!!

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.002 - Datei am 09/20/2012 um 22:25:42 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : *** - ***-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\AppData\Local\Temp\hjt70ztf.tmp\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Users\***\AppData\Local\OpenCandy
Ordner Gefunden : C:\Users\***\AppData\Roaming\OpenCandy

***** [Registrierungsdatenbank] *****

Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v15.0.1 (de)

Profilname : default 
Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\qvsktsnr.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1019 octets] - [20/09/2012 22:25:42]

########## EOF - C:\AdwCleaner[R1].txt - [1079 octets] ##########
         

Ich wurde zuletzt nicht mehr auf Werbeseiten weitergeleitet, aber wenn ich auf einen Link klicke, dauert es ewig, ehe die Seiten sich öffnet - wenn überhaupt.

Soll ich beim adwcleaner.exe nach dem Posten auf "Lösche" und/oder "Deinstallieren" klicken?

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.002 - Datei am 09/21/2012 um 17:09:37 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : *** - ***-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v15.0.1 (de)

Profilname : default 
Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\qvsktsnr.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1148 octets] - [20/09/2012 22:25:42]
AdwCleaner[S1].txt - [1673 octets] - [20/09/2012 22:35:52]
AdwCleaner[R2].txt - [1003 octets] - [21/09/2012 17:08:58]
AdwCleaner[R3].txt - [1063 octets] - [21/09/2012 17:09:18]
AdwCleaner[S2].txt - [998 octets] - [21/09/2012 17:09:37]

########## EOF - C:\AdwCleaner[S2].txt - [1057 octets] ##########
         

Hätte da mal drei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
3.) Die Werbeeinblendungen bzw Weiterleitungen wie zB Incredibar oder Mystart sind nun weg?

zu 1) Ja, Windows funktioniert, allerdings gefühlt langsam(er), insbesondere IE und Firefox, während auf Safari (wo auch nie eine Weiterleitung stattfand) die Seiten schneller aufgerufen werden.

zu 2) Nein, ich vermisse nichts im Startmenü, habe auch keine leeren Ordner gefunden.

zu 3) Ich habe keine Werbeeinblendungen und Umleitungen mehr feststellen können, seitdem ich die Systemwiederherstellung durchgeführt habe (Zeitpunkt 5.9.12).

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\Temp\NOD330.tmp	Variante von Win32/Kryptik.AKCO Trojaner
         

Noch eine Frage: Was ist mit dem Trojaner, den ESET Online Scan gefunden hatte??? Siehe oben.