Hallo,

bei meiner Suche nach diesem Thema bin ich auf Eurem Board gelandet und hab die verschiedenen Beiträge dazu quer gelesen. Trotzdem bin ich mir immer noch ziemlich unsicher, was ich als nächstes tun soll.

Bei der Suche über Google funktionieren die Links so gut wie komplett nicht mehr (Weiterleitung sofort). Hab die Weiterleitung blocken lassen, aber das hilft nur bedingt (Weiterleitung teilweise trotzdem). Wie ich darüber auf Euer Board kommen konnte ist mir noch ein Rätsel. Seiten lassen sich nur öffnen, wenn ich ich deren Adresse kenne und direkt in das Adressfeld eintrage.

Wir haben in unserem Haus zwei Rechner. Beim anderen tritt das gleiche Symtom auf, jedoch nicht ganz so häufig. In diesem Zug werde ich zunächst mal den einen Rechner bearbeiten und mich mit Fragen zu dem anderen vielleicht nochmals an Euch wenden, wenn das O.K. ist, sonst bringe ich die Infos durcheinander.

Als Virenscanner verwende ich (für beide Rechner) McAfee (Heimnetzwerk). Dort wird der Rechner bislang als sicher eingestuft. '39 risikoreiche Verbindungen wurden bislang blockiert' (Auszug / Bericht). Ich nehme an, das hat was mit den Seiten zu tun, auf die ich immer wieder umgeleitet (Symtom) und die (zum Teil) mit einer Meldung dann als 'aggressiv' erkannt und blockiert wurden.

Als erste von Euch empfohlene Standardmaßnahme habe ich einen vollständigen Scan der Malwarebytes durchgeführt. Dabei wurden auch infizierte Dateien gefunden. Hab noch nichts gelöscht (s. Logfile, gemäß eurer Empfehlung) und die Logdatei angehängt in der Hoffnung, dass ihr mir weiterhelfen könnt. Die Personen bezogenen Daten im Textfile sind mit **** ersetzt worden.

Im Textfile ist der Internet Explorer 9.0.8112.16421 als Browser aufgeführt. Er ist deinstalliert und funktioniert auch nicht mehr (für den Fall, dass dies eine wichtige Info wäre).

Vielen Dank im voraus.

Volkmar

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Lass die Funde von MBAM entfernen und poste die Logdatei dazu.

Wir kümmern uns jetzt nur um den Rechner, von dem du die Logdatei von MBAM gepostet hast. Den anderen Rechner können wir uns später noch ansehen.


Anschließend geht es so weiter:





Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe

• Starte bitte dds mit einem Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Setze bitte einen Haken bei
  • dds.txt ( Sollte angehakt sein )
  • attach.txt
  Ändere keine Einstellungen ohne Anweisung
• Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
  • dds.txt
  • attach.txt

Bitte poste beide Logfiles in deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt[/B] auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von DDS,
• die Logdatei von DeFogger,
• die Logdatei GMER.

Hallo Matthias,

vielen Dank für das schnelle Hilfeangebot. Bin überhaupt froh dass es eine Option gibt.

Hab zur Sicherheit den MBAM Scan nochmals laufen lassen und anschließend den Fund gelöscht. Anbei die Logdatei. Namen wurden wieder mit **** ersetzt. Den zweiten Rechner habe ich nochmals geprüft (zumindest die Links in der Googlesuche). Es scheint alles soweit normal auszusehen. Aber Du hattest ja gesagt, dass wir das später bearbeiten.

Hab ich das so richtig verstanden: Ich kann gleich die Schritte 1-3 durchführen (dds liegt bereits startklar auf dem Desktop) und anschließend alle drei Logdateien am Stück posten oder benötigst Du immer die Logfiles als Info zwischen den einzelnen Schritten?

Gruß Volkmar

Servus,



du kannst imme die Schritte, die ich poste, an einem Stück ausführen, außer es gibt bei einem Schritte (große) Probleme.

1-3 auf einen Schwung.

Hallo Matthias,

anbei die Dateien. Die Personalisierungen sind wieder mit **** ersetzt. Die GMER Logdatei mußte ich zippen (2,16 MB). Im Windows Wartungscenter wird schon seit geraumer Zeit die Meldung angezeigt: 'Dienst "Windows Sicherheits-Center" aktivieren'. Folgt man der Meldung popt ein weiteres Fenster auf mit der Info: 'Der Windows Sicherheitsdienst kann nicht gestartet werden'. War mir nicht sicher, ob dies mit der aktuellen Thematik zusammenhängt. Ich hatte Dir ja benannt, dass wir McAfee verwenden und hab mir deshalb bislang keine Gedanken gemacht.

Danke wieder für die Hillfe. Bin gespannt auf die nächste Message.

Gruß Volkmar

Servus,






Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop.

• Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
• Das Tool wird sich öffnen und mit dem Scan beginnen.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von ComboFix.

Hallo Matthias,

bin bei Schritt 1 hängen geblieben. Hab Java installiert. Der PluginCheck zeigt jedoch folgende Meldung an:

Firefox 18.0 ist aktuell
Flash ist nicht installiert oder aktiviert.
Java ist nicht Installiert oder nicht aktiviert.
Adobe Reader 11,0,1,36 ist aktuell.

Java ist jedoch vorhanden, im Reiter Sicherheit des Java Control Panels ist 'Java Content im Browser aktivieren' angehakt.

Hab darauf hin das Procedere wiederholt (Java deinstalliert, Java Download gelöscht, Java neu runtergeladen, auf dem Desktop abgelegt, alle Programme geschlossen, Installation gestartet, Rechner neu gestartet - die alten Java Versionen hatte ich bereits beim ersten Mal entfernt nach der Installation des Updates). Das Ergebnis des PluginChecks blieb gleich.

Hab dann bei Schritt zwei weitergemacht, wie Du an der Meldung des PluginCheck sehen kannst (Adobe Reader ist aktuell).

Hab ich was vergessen?

Gruß Volkmar

Servus,


führe bitte nochmal SecurityCheck aus und poste die Logdatei:


Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo Matthias,

hier nochmals die Checkup Datei.

Gruß Volkmar

Servus,


Java wird in der Tat nicht angezeigt.
Installiere bitte zusätzlich zur 64 bit auch die 32 bit Version und berichte, was der PluginCheck sagt:

Java Download (32 bit)

Hallo Matthias,

hier das erfolgreiche PluginCheck Ergebnis:

Firefox 18.0 ist aktuell
Flash ist nicht installiert oder aktiviert.
Java (1,7,0,11) ist aktuell.
Adobe Reader 11,0,1,36 ist aktuell.

Sollte 'Flash' auch noch installiert werden?

Gruß Volkmar