Hallo,

bei meiner Suche nach diesem Thema bin ich auf Eurem Board gelandet und hab die verschiedenen Beiträge dazu quer gelesen. Trotzdem bin ich mir immer noch ziemlich unsicher, was ich als nächstes tun soll.

Bei der Suche über Google funktionieren die Links so gut wie komplett nicht mehr (Weiterleitung sofort). Hab die Weiterleitung blocken lassen, aber das hilft nur bedingt (Weiterleitung teilweise trotzdem). Wie ich darüber auf Euer Board kommen konnte ist mir noch ein Rätsel. Seiten lassen sich nur öffnen, wenn ich ich deren Adresse kenne und direkt in das Adressfeld eintrage.

Wir haben in unserem Haus zwei Rechner. Beim anderen tritt das gleiche Symtom auf, jedoch nicht ganz so häufig. In diesem Zug werde ich zunächst mal den einen Rechner bearbeiten und mich mit Fragen zu dem anderen vielleicht nochmals an Euch wenden, wenn das O.K. ist, sonst bringe ich die Infos durcheinander.

Als Virenscanner verwende ich (für beide Rechner) McAfee (Heimnetzwerk). Dort wird der Rechner bislang als sicher eingestuft. '39 risikoreiche Verbindungen wurden bislang blockiert' (Auszug / Bericht). Ich nehme an, das hat was mit den Seiten zu tun, auf die ich immer wieder umgeleitet (Symtom) und die (zum Teil) mit einer Meldung dann als 'aggressiv' erkannt und blockiert wurden.

Als erste von Euch empfohlene Standardmaßnahme habe ich einen vollständigen Scan der Malwarebytes durchgeführt. Dabei wurden auch infizierte Dateien gefunden. Hab noch nichts gelöscht (s. Logfile, gemäß eurer Empfehlung) und die Logdatei angehängt in der Hoffnung, dass ihr mir weiterhelfen könnt. Die Personen bezogenen Daten im Textfile sind mit **** ersetzt worden.

Im Textfile ist der Internet Explorer 9.0.8112.16421 als Browser aufgeführt. Er ist deinstalliert und funktioniert auch nicht mehr (für den Fall, dass dies eine wichtige Info wäre).

Vielen Dank im voraus.

Volkmar

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Lass die Funde von MBAM entfernen und poste die Logdatei dazu.

Wir kümmern uns jetzt nur um den Rechner, von dem du die Logdatei von MBAM gepostet hast. Den anderen Rechner können wir uns später noch ansehen.


Anschließend geht es so weiter:





Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe

• Starte bitte dds mit einem Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Setze bitte einen Haken bei
  • dds.txt ( Sollte angehakt sein )
  • attach.txt
  Ändere keine Einstellungen ohne Anweisung
• Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
  • dds.txt
  • attach.txt

Bitte poste beide Logfiles in deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt[/B] auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von DDS,
• die Logdatei von DeFogger,
• die Logdatei GMER.

Hallo Matthias,

vielen Dank für das schnelle Hilfeangebot. Bin überhaupt froh dass es eine Option gibt.

Hab zur Sicherheit den MBAM Scan nochmals laufen lassen und anschließend den Fund gelöscht. Anbei die Logdatei. Namen wurden wieder mit **** ersetzt. Den zweiten Rechner habe ich nochmals geprüft (zumindest die Links in der Googlesuche). Es scheint alles soweit normal auszusehen. Aber Du hattest ja gesagt, dass wir das später bearbeiten.

Hab ich das so richtig verstanden: Ich kann gleich die Schritte 1-3 durchführen (dds liegt bereits startklar auf dem Desktop) und anschließend alle drei Logdateien am Stück posten oder benötigst Du immer die Logfiles als Info zwischen den einzelnen Schritten?

Gruß Volkmar

Servus,



du kannst imme die Schritte, die ich poste, an einem Stück ausführen, außer es gibt bei einem Schritte (große) Probleme.

1-3 auf einen Schwung.

Hallo Matthias,

anbei die Dateien. Die Personalisierungen sind wieder mit **** ersetzt. Die GMER Logdatei mußte ich zippen (2,16 MB). Im Windows Wartungscenter wird schon seit geraumer Zeit die Meldung angezeigt: 'Dienst "Windows Sicherheits-Center" aktivieren'. Folgt man der Meldung popt ein weiteres Fenster auf mit der Info: 'Der Windows Sicherheitsdienst kann nicht gestartet werden'. War mir nicht sicher, ob dies mit der aktuellen Thematik zusammenhängt. Ich hatte Dir ja benannt, dass wir McAfee verwenden und hab mir deshalb bislang keine Gedanken gemacht.

Danke wieder für die Hillfe. Bin gespannt auf die nächste Message.

Gruß Volkmar

Servus,






Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop.

• Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
• Das Tool wird sich öffnen und mit dem Scan beginnen.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von ComboFix.

Hallo Matthias,

anbei die Logdateien.

Gruß Volkmar

Servus,





Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
msconfig
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Matthias,

anbei wieder die Log Dateien.

Gruß Volkmar

Servus,



Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013.01.18 22:58:29 | 000,000,332 | ---- | M] () -- C:\Windows\tasks\tquhqm.job
[2012.11.23 23:57:22 | 000,131,072 | ---- | C] () -- C:\Windows\SysWow64\wlanprefa.dll

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2
Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.





Wirst du nach dem Fix mit OTL immer noch bei der Google-Suche weitergeleitet?





Bitte poste mit deiner nächsten Antwort

• die Logdatei des OTL-Fix,
• die Logdatei des neuen OTL-Scans,
• die Beantwortung der gestellten Frage.

Hallo Matthias,

die Googlesuche funktioniert wieder!! .
Anbei wieder die Logdateien. Bin gespannt auf Dein nächstes Feedback!

Wäre es sinnvoll, den zweiten Rechner der gleichen Kur zu unterziehen? Das gleiche Problem trat dort auch schon auf, jedoch nicht so häufig, wie auf diesem Rechner. Ich könnte mir vorstellen, dass es nur bei bestimmten Seiten ungewollte Umleitungen gegeben hat?!

Gruß Volkmar

Servus,


ich mache dir einen Vorschlag:

Wir beenden die Bereinigung an diesem Computer. Anschließend schauen wir uns deinen 2. Rechner an, ok?


Wir führen an diesem 1. Rechner bitte noch die folgenden Kontrollsuchläufe durch:







Schritt 1

• Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.






Bitte poste mit deiner nächsten Antwort

• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.

Hallo Matthias,

der MBAM - Suchlauf war erfolgreich (s. Logdatei). Es wurden keine infizierten Dateien entdeckt (so die abschließende Meldung). Ein Ergebnis konnte ich jdeoch nicht löschen. Die beim ersten Mal aufgefundenen Vieren befinden sich dort immer noch in der Quarantäne.

Ich mach einfach mal weiter und poste dann das Ergebnis.

Gruß Volkmar

Servus,


ok. Fahre bitte fort.

Hallo Matthias,

hier wieder die Logfiles. ESET ist wieder entfernt inkl. dessen Ordner.

Randbemerkung:
Auch wenn die Google-Suche wieder sauber funktioniert fällt mir (z.B. bei der Trojaner Seite) auf, dass Firefox immer noch die Meldung bringt: 'Firefox hat diese Webseite daran gehindert automatisch auf eine andere Webseite umzuleiten'. Ich nehme an, das muß nicht unbedingt was bedeuten.

Gruß Volkmar