|
Plagegeister aller Art und deren Bekämpfung: Google UmleitungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.07.2009, 12:24 | #16 |
| Google Umleitung Das sieht schon fast gut aus. Hast du im Security Center die Antivirenprogramm- und Firewallüberprüfung abgeschaltet? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
26.07.2009, 22:12 | #17 | |
| Google Umleitung So, wieder ist ComboFix gelaufen (siehe unten).
__________________Der Eintrag war danach immer noch in der Registry. Allerdings konnte ich ihn via Regedit löschen (kaum setzt man die Rechte richtig, schon geht's - sorry für die Umstände ). Firewall und Avira waren beim Lauf deaktiviert, wie im Log unten steht. Siehst Du da sonst noch etwas Verdächtiges ? Zitat:
|
26.07.2009, 22:26 | #18 | |
| Google Umleitung Teste ob Malwarebytes noch immer die Dateien findet. Ein Quickscan reicht. Wenn ich richtig liege, dürfte er die nicht mehr finden.
__________________Zitat:
Die gehören da nicht hin: Code:
ATTFilter 2009-07-11 13:33 . 2009-07-11 13:33 4212 ---h--w- c:\windows\system32\zllictbl.dat 2009-07-11 13:23 . 2009-07-11 13:23 0 --s-a-w- c:\windows\system\vhosts.exe Code:
ATTFilter [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 Code:
ATTFilter [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile] "EnableFirewall"= 0 (0x0) Code:
ATTFilter KILLALL:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- Rootkit:: c:\windows\system32\zllictbl.dat c:\windows\system\vhosts.exe File:: c:\windows\system32\zllictbl.dat c:\windows\system\vhosts.exe
__________________ |
27.07.2009, 00:11 | #19 | |
| Google Umleitung ComboFix hat gelöscht, was es sollte. Malwarebytes bleibt hartnäckig und meldet die bekannten 3 Dateien. Vielleicht sind das nur Dateifragmente und ich sollte mal chkdsk laufen lassen ... Zitat:
|
27.07.2009, 16:04 | #20 |
| Google Umleitung 1.) Rootkitsuche mit SysProt
2.) Um sicher zu gehen (und einen Streit zu schlichten) lasse bitte dieses Script laufen. Log von ComboFix brauchst du nicht zu posten, aber das von Malwarebytes (Quickscan reicht). Code:
ATTFilter KILLALL:: Rootkit:: c:\WINDOWS\system32\hjgruingndmosp.dll c:\WINDOWS\system32\hjgruinidpetct.dll c:\windows\system32\UACthluqrjagstidbs.dll 4.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 5.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
27.07.2009, 21:35 | #21 | ||
| Google Umleitung So hier schon mal ein Zwischenbericht, während ich mit Kaspersky und PrevXCSI weitermache und ComboFix de-installiert ist. Also Sysprot hat zunächst gemeckert: "Failed to start service. SysProt AntiRootkit needs to be run with Admin privileges!", obwohl mein Benutzer ****** vom Typ "Computeradministrator" ist, also volle Admin-Rechte hat. Als Admin eingeloggt ist SysProt dann gelaufen, wollte aber zwischendurch ständig, dass ich in Laufwerk A etwas einlege - Laufwerke A/B habe ich nicht. Unten das Sysprot-Log. Laufwerke M und N sind noch zwei weitere eingebaute Festplatten nur mit Daten. Ich hoffe jetzt, dass ComboFix & Co nicht generell "administrator" als Accountnamen voraussetzen. Die weiteren Tests habe ich jedenfalls wieder mit dem Account ****** gemacht. Zitat:
Malwarebytes nach ComboFix mit Script das Übliche ... Zitat:
|
27.07.2009, 21:49 | #22 |
| Google Umleitung Kontrolliere bitte die Quarantäne von Malwarebytes, ob dort überhaupt etwas ist. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
28.07.2009, 21:35 | #23 | ||
| Google Umleitung so nun der zweite Teil: Malwarebytes In der Quarantäneliste steht schon einiges, z.B. uacinit.dll, UACKymxvhetjmwsyno.dll oder a99k.bin. Kaspersy habe ich erstmal "Wichtige Objekte" und "Memory" testen lassen (siehe unten). Den Komplett-Check lasse ich heute Nacht durchlaufen. Zitat:
combofix.exe (hatte ich nach dem Download nach C:\tmp kopiert) und avenger.exe, dazu noch diverse faxlib.dll (die ich nicht nutze, weil ich keine ISDN Karte habe) : Zitat:
|
28.07.2009, 21:51 | #24 | ||
| Google UmleitungZitat:
Code:
ATTFilter c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken. c:\windows\system32\hjgruingndmosp.dll (Trojan.Agent) -> No action taken. c:\windows\system32\hjgruinidpetct.dll (Trojan.Agent) -> No action taken. Zitat:
Avenger wird von fast allen als schädlich angesehen. Das liegt aber nicht an Avenger, sondern einem Schädling, der sich der Technik des Avenger bedient, um Systemdateien zu löschen. Interessant dabei ist, dass der Programmierer von Avenger und Malwarebytes eine Person ist und Malwarebytes munter lustig Avenger immer weglöscht. Ich benutze eine umbenannte Version des Avengers (Hopsassa.exe) um die TDSS-Varianten auszutricksen. Hier mein Kommentar: http://www.trojaner-board.de/423128-post11.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
28.07.2009, 22:39 | #25 | |
| Google Umleitung sorry, Missverständnis Zitat:
Prevx ist wieder gelöscht. ToDo:
|
28.07.2009, 22:43 | #26 | |
| Google UmleitungZitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
28.07.2009, 23:01 | #27 | |
| Google UmleitungZitat:
Ich hatte chkdsk vor zwei Tagen mal laufen lassen (ohne /f). In Phase 2 von 3 wurde dann die Meldung "Fehler in Index $0 der Datei weiss-ich-nicht-mehr" angezeigt. Vielleicht spricht Malwarebytes auf Dateifragmente an. Das wollte ich mit dem Test ausschließen ... |
28.07.2009, 23:04 | #28 |
| Google Umleitung Gute Idee. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.07.2009, 22:32 | #29 | |
| Google Umleitung Zwischenbericht Kaspersky. Auch nichts neues. Nur zwei Meldungen in ungesehen gelöschten E-Mails. Ansonsten ziemlich viele gesperrte Objekte. Wie schon geschrieben, Laufwerke M und N sind noch zwei weitere eingebaute Festplatten nur mit Daten. Nächster Schritt: chkdsk /f Zitat:
|
30.07.2009, 12:55 | #30 | |
| Google Umleitung Hi Andreas, ckhdsk ist gelaufen, hat auch ein paar Kleinigkeiten gefunden, aber das hat auch nichts am Malwarebytes-Ergebnis geändert. Ansonsten ist der Rechner seit einer Woche symptomfrei. Ab morgen bin ich ersteinmal für 3 Wochen weg. Hast Du noch eine Idee wie wir weitermachen können ? Zitat:
|
Themen zu Google Umleitung |
41700, antivir, antivirus, assembly, avira, canon, content.ie5, continue, einstellungen, entfernen, error, fehler, google, google umleitung, hijack, hijackthis, infizierte, internet, internet explorer, malwarebytes' anti-malware, monitor, prozesse, registrierungsschlüssel, rundll, secrets, security, software, superantispyware, svchost, system, trojan.tdss, trojaner, udp, virus, windows |