Hallo Trojaner-Jäger,

trotz Firewall & Kaspersky AV habe ich mir (vermutl. über eine SPAM-Mail) folgendes Problem eingefangen:

Sofern ich google über h**p://www.google.de aufrufe und z. B. nach
"Microsoft" suche, erhalte ich die ganz "normalen" Google-Suchergebnisse.
Nur mit dem Unterschied, das die Links auf irgendwelche Werbe-Seiten verweisen;
Im Internet-Explorer ist in der unteren Adressleiste dann auch immer eine
Umleitung zu erkennen (wird nur kurz angezeigt):

"http://85.255.116.163/click.php?PHPSESSID2E4879...(usw.)"

Der Firefox (1.5) ist von dieser "Umleitung" übrigens nicht betroffen.

Sofern ich google über die IP http://216.239.37.99 (google.de) aufrufe,
läuft alles ganz normal. Auch andere Suchdienste (lycos/altavista/etc.)
sind von der Umleitung nicht betroffen.

Die HOSTS - Datei ist auch sauber, auch habe ich in der Registry
des Systems weder die IP-Adresse, noch irgendeinen "verbogenen"
"www.google.de"-Eintrag finden können.

Weder Symantec, Kaspersky, TrojanCheck, Ad Aware SE, Spybot S&D noch
CWS-Shredder (natürl. mit den aktuellen Signaturen) haben etwas finden können.
Ich habe auch das System im abgesicherten Mod. mit
Spybot S&D und CleanUP! schon gesäubert.
Ohne Erfolg.
Spybot S&D findet als einzigstes den "PIPAS.A" in folgendem
RegKey:

(SB S&D - LOG):
Pipas.A: Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins

Der RegKey "ruins" ist mit RegEdit übrigens nicht sichtbar.


Anbei mal das HiJack-Log (normaler Betriebsmodus):

Hinweis:
Der PC hat zwei Netzwerkkarten, die Einträge für
IP / DNS sind so, wie aufgeführt o.k., da der PC wahlweise direkt über einen
Router läuft, bzw. über die zweite Netzwerkkarte über einen
Proxy-/VPN Server.
Das obige Google-Fehlverhalten ist aber immer gleich, egal ob nur der Router
oder der Proxy dazwischenhängt.


Logfile of HijackThis v1.99.1
Scan saved at 14:10:39, on 10.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Sony Ericsson\Mobile\SyncIndicator.exe
D:\Programme\SecurityTools\HiJackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=10.19.71.121:3128;http=10.19.71.121:3128;https=10.19.71.121:3128;socks=10.19.71.121:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;10.19.71.0;10.19.171.0;127.0.0.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\SecurityTools\Spybot-SearchDestroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.ex_
O4 - HKLM\..\Run: [KAV50] "C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121674276640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BBDE089-5AC2-4C09-BB88-9893E1391311}: NameServer = 10.19.171.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{15535537-0E34-467B-A7CF-AB7CB2819271}: NameServer = 192.168.116.252,192.168.116.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GOCCZSXVBCTF - Unknown owner - C:\DOKUME~1\*****\LOKALE~1\Temp\GOCCZSXVBCTF.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\KAV5\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Danke vorab.

hm erwähn mal wieder das ich eigentlich keine ahnung habe und alles nur durch (http://www.hijackthis.de) jage aber wenn sich sonst niemand meldet wollte ich mal nachfragen ob du diesen eintrag kennst bzw. ob er zu deinen oben erwähnten router ip gehört?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = ;localhost;10.19.71.0;10.19.171.0;127.0.0.1;


auserdem sagt die auswertung noch folgendes:

\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
Gut Laufender Prozess. (OUTLOOK.EXE)
E-Mail Client für Windows.

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\microsoft office\office11\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch


wie gesagt hab net wirklich ahnung aber es kann ja net schaden die datei mit nem online vierenscanner überprüfen zu lassen.

Hallo Princ_of_Galaxy,

die IP-Proxy-Einträge sind "so" ok.

Der Outlook-Prozess (Outlook 2000) läuft in diesem Ordner:
C:\Programme\Microsoft Office\Office\Outlook.exe

Stimmt aber, den hätte ich für HijackThis eigentlich
mal beenden können ;-)

System wieder clean...

Das simpelste Tool scheint hier auch das Beste zu sein:

F-Secure's "Blacklight" hat im erkennen/entfernen dieses Schädlings
dem Mitbewerb doch einiges voraus.
Nachdem die gefundenen Dateien umbenannt und der Reboot
durchgeführt war, funktioniert der Internet-Explorer nun wieder.

Wer also gleichfalls Probleme mit der Umleitung der Google-Suchergebnis-Links
hat (-> http://85.255.x.x...etc), der sollte unbedingt mal mit "HiJackThis" loggen, evtl. falsche
(DNS-)Einträge rauswerfen und dann mit F-Secure's "Blacklight" die "Entführer" plattmachen

Auslöser war hier übrigens die aktuelle WMF-Lücke im System.
Also so schnell wie möglich den M$-FIX aufs System ziehen!

Weitere Infos & einen Browser-Check & Download_Link zum Patch
gibt's übrigens auch auf:
http://www.heise.de/security/dienste/browsercheck/demos/ie/wmf.shtml

... und kompetente, schnelle Hilfe natürlich auch hier, auf dem trojaner-board ...

Hallo,
habe seit kurzem das gleiche Problem mit den Umleitungen des IE-Explorers wegen Pipas.A, obwohl ich Firewall von T-Online und Windows, Spybot, Kaspersky und Antivir im Einsatz habe.
Bei den von mir ausprobierten Programmen findet nur Spybot den Pipas.A, auch nicht F-Secure's "Blacklight".
Wer kann mir helfen diesen Plagegeist wieder loszuwerden??
Danke.

Hier noch der HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 21:47:31, on 03.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Jürgen\Startmenü\Programme\Autostart\DESKMENU.EXE
C:\Dokumente und Einstellungen\Jürgen\Startmenü\Programme\Autostart\Ejector.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jürgen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMBROWSEMOUSE2] C:\Programme\Browser MOUSE\R2M.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [dmvon.exe] C:\WINDOWS\system32\dmvon.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: DESKMENU.EXE
O4 - Startup: Ejector.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{92B2E2FE-175B-4E1F-A81A-25B808386919}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD1F317-50D3-432E-A4A7-452923AD3692}: NameServer = 85.255.115.77,85.255.112.159
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Network Security Service (�%AF夶À¨) - Unknown owner - C:\WINDOWS\ipkv.exe (file missing)

Hallo nochmal,
da ich unter diesem Thread keine Antwort erhielt, habe ich einen eigenen erstellt.
Vielleicht klappt es.
Gruß

Hi,

ich hab seit kurzem auch des problem, das ich bei den google suchergebnissen erstmal auf irgendwelche falschen seiten verlinkt werde.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
mal fixen

Hallo,
sollten sich die beiden Antworten noch auf mich beziehen, darf ich mitteilen, dass ich bereits vor längerer Zeit Windows neu aufgespielt habe und seitdem keine Probleme mehr habe.
Gruß

Ich muss mich mal hier einmischen, ich hatte das gleiche Problem und möchte meine Erfahrungen hier mit euch teilen. Mein System ist seither wieder clean und läuft besser denn vorher. Danke nochmal an 45cl3p1u5s für die kompetente Hilfe und die Erklärungen

Info:
Die IP Adresse die hier angezeigt wird: 85.255.116.163 zeigt auf einen Server in der Ukraine.

HINWEIS: KEIN ONLINE BANKING MEHR

Normalerweise solltet ihr auch nicht mehr in der Lage sein irgendwelche Mircosoft updates zu fahren oder Programme zu updaten die ihren eigenen Updateserver zur Verfügung stellen, z.B. Malwarebytes oder Bitdefender, weil umgeleitet zu diesem Server in der Ukraine.
So zumindest meine Erfahrungen. Ihr werdet mit an Sicherheit grenzender Wahrscheinlichkeit diese IP in den DNS Einstellungen eurer Netzwerkverbindung finden, die solltet ihr normalerweise automatisch beziehen. Und zwar in der primären und eine weitere 85.255.XXX.XXX als sekundäre. Check das erst mal nach.
Also Netzwerkverbindung öffnen ( die mit der ihr ins Internet geht ) sucht euch den Eintrag TCP/IP heraus und auf Eigenschaften klicken. Ganz unten sollte dann DNS automatisch beziehen stehen ( eigentlich ). Seht ihr darunter jedoch diese IP habt ihr euch mit Sicherheit einen Virus eingefangen.

Die 017 Einträge weisen darauf hin und es ist nicht damit getan, dass ihr diese einfach nur fixt. Es handelt sich hierbei wahrscheinlich um den Trojan.DNSChanger.

Ihr werdet vermutlich auch noch ein Rootkit im System haben, der einen "Tarnmantel" über den Virus gebreitet hat.
So ist es mir zumindest gegangen.

Aber dazu später. Schaut euch erst mal eure DNS Einträge an, hoffentlich habt ihr eure Router mit einem Passwort geschützt.

Für den Fall, dass ihr diese Einträge findet der Hinweis: Eure Systeme sind offensichtlich kompromittiert.

Bitte lest hierzu http://www.trojaner-board.de/65029-t...tml#post394394

Setzt eure Systeme neu auf und sichert diese ab: http://www.trojaner-board.de/51262-a...sicherung.html

Falls ihr diese Hinweise jedoch aus dringenden Gründen mißachten müsst: Ladet euch schon mal
die Tools

Avenger http://swandog46.geekstogo.com/avenger2/download.php

Gmer http://www.gmer.net/gmer.zip

CCleaner http://www.trojaner-board.de/51464-a...-ccleaner.html <- dl link in der Anleitung

Malwarebyte http://www.trojaner-board.de/51187-a...i-malware.html <- dl link in der Anleitung

runter. Nur Laden und installieren, aber noch nichts machen. Schaut insbesondere in die Erklärungen zu den Programmen ( in diesem Board ) lest sie euch durch, besser noch, druckt sie aus.....

Zuvor deaktiviert eure Systemwiederherstellung und löscht alle Wiederherstellungspunkte ( mit ja antworten )......

Zur Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Vermutlich haben eure Virenscanner deshalb nicht gemeckert.

Bei mir waren die ersten Anzeichen das sich Bitdefender nicht mehr in den Bitdefender Server kam ( invalid link )
Google Suchen und anklicken auf Links zeigte zunächst ein Redirect auf völlig andere Seiten, man sah im Reiter zuerst Test, dann diese IP NUmmer, weiterhin eine weiße Seite ( ganz kurz ) in der rechts aussen Testing... stand, dann öffnete sich erst mal eine ganz andere Seite. Wenn man den Link jedoch kopierte und sofort in die Adresszeile kopierte kam man ganz ungehindert ans Ziel.

So, nun schaut mal in eure DNS Einträge und dann sehen wir weiter....

Gehen wir auf die Jagd