Ich weiß, dieses Thema ist schon oft dagewesen. Aber alle Lösungsvorschläge haben bei mir nicht zum gewünschten Erfolg geführt.

Die Logdateien von hijackthis, Malwarebytes' Anti-Malware 1.50.1.1100 (drei Stück) und OTL habe ich angefügt. Malwarebytes hat bereits drei DNS Changer und einen FakeAlert entfernt und trotzdem werde ich in Google auf falsche Seiten geleitet.

Ein Beispiel dazu:
In Google suche ich nach "yacht-versicherung" und wähle den Link "hxxp://www.google.de/url?sa=t&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.pantaenius.de%2F&ei=N7dBTdXwNMXflgfYnagB&usg=AFQjCNELw-DYjxJYXzB5EVGB-XzPX18uGQ" aus. Landen tue ich bei ersten Versuch tatsächlich auf "hxxp://www.vk-gallion.de/html/bootsversicherung.html". Beim zweiten Versuch lande ich dann auf "hxxp://de.gomeo.de/index.php?keyword=yachtversicherung" und erst beim dritten Versuch kommt dann die Seite (es gibt sie also tatsächlich) "hxxp://www.pantaenius.de/de/home.html".

In der Regel bringt der zweite Versuch schon die tatsächliche Seite!

Für einen guten Tip, wie ich diesen Plagegeist (oder hat Google seine Logik geändert, um noch mehr Geld zu verdienen?) wieder los werde, wäre ich sehr dankbar.

Viele Grüße
SnS

WinXP (SP3); Firefox 3.6.13
Compaq mit Intel Pentium 3 (1GHz)

in den textdateien:
rechtsklick markieren, rechtsklick kopieren.
und im antwort feld, rechtsklick einfügen.
evtl text dateien aufteilen

Zitat:

Zitat von markusg

in den textdateien:
rechtsklick markieren, rechtsklick kopieren.
und im antwort feld, rechtsklick einfügen.
evtl text dateien aufteilen

Ich wollte alles etwas übersichtlicher halten und habe gem. OTL-Empfehlung die Logdateien als ZIP angehängt. Ich hoffe, das geht auch!

sicher :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Zitat:

Zitat von markusg

sicher :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Vielen Dank für die schnelle Antwort. Ich bin mir aber gar nicht sicher, ob ich mir damit nicht noch mehr Probleme einfange, da ich ja falsch weitergeleitet werde, In der Combofix-Anleitung geht ein Download-Link auf die Seite "hxxp://www.forospyware.com/sUBs/ComboFix.exe" und ich lande tatsächlich auf "hxxp://www.infospyware.net/antimalware/combofix/". Da wird das Programm dann auch zum Download angeboten; ist es aber wirklich eine saubere Version?

Sind denn die bereits veröffentlichten Logs so wenig aussagekräftig, dass ich wirklich noch ein viertes Programm dafür bemühen muss?

das ist der richtige, oder auch der hier:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ob wir die logs brauchen, natürlich nicht, ich hab heut nur so viel zeit das ich mir möglichst viele logs ansehen möchte *ironie*

Zitat:

Zitat von markusg

das ist der richtige, oder auch der hier:
hxxp://download.bleepingcomputer.com/sUBs/ComboFix.exe
ob wir die logs brauchen, natürlich nicht, ich hab heut nur so viel zeit das ich mir möglichst viele logs ansehen möchte *ironie*

Firewall ist deaktiviert und der Avira Guard ist deaktiviert (Schirm in der Taskleiste geschlossen!). Trotzdem kommt von Combofix die Meldung (dreimal die gleiche Zeile untereinander!):

ComboFix hat restgestellt das rolgende Real-Time-Scanner aktiv sind:

antivirus: AntiVir PersonalEdition Ciassic Virenschutz
antivirus: AntiVir PersonalEdition Ciassic Virenschutz
antivirus: AntiVir PersonalEdition Ciassic Virenschutz

Den Avira Guard kann ich ja deaktivieren. Wie ich Avira insgesamt zum Ende bringe ist mir aber nicht bekannt.

Darf ich Combofix auch so weiterlaufen lassen?

Zitat:

Zitat von SnS

Firewall ist deaktiviert und der Avira Guard ist deaktiviert (Schirm in der Taskleiste geschlossen!). Trotzdem kommt von Combofix die Meldung (dreimal die gleiche Zeile untereinander!):

ComboFix hat restgestellt das rolgende Real-Time-Scanner aktiv sind:

antivirus: AntiVir PersonalEdition Ciassic Virenschutz
antivirus: AntiVir PersonalEdition Ciassic Virenschutz
antivirus: AntiVir PersonalEdition Ciassic Virenschutz

Den Avira Guard kann ich ja deaktivieren. Wie ich Avira insgesamt zum Ende bringe ist mir aber nicht bekannt.

Darf ich Combofix auch so weiterlaufen lassen?

Das vollständige Antivir zu deaktivieren (Prozessschutz in Antivir aufheben und Dienst stoppen) ist mir inzwischen gelungen. Es ist kein av-Prozess mehr im Tasmanager zu sehen. Trotzdem kommt die o. g. Meldung von Combofix. Ich habe Combofix jetzt weiterlaufen lassen.

ja kannst du, und schalte den prozess schutz nachher wieder ein.

Zitat:

Zitat von markusg

ja kannst du, und schalte den prozess schutz nachher wieder ein.

...und hier nun die log-Datei vom ComboFix.

Während des Laufes kam eine Meldung "Rootkit TDL13" entdeckt und dann wurde der Rechner neu gestartet.

neustart bitte und nun sollte Malwarebytes laufen

Zitat:

Zitat von markusg

neustart bitte und nun sollte Malwarebytes laufen

Das log des neuen Malwarebytes-Laufes habe ich angefügt.

Anscheinend ist das Weiterleitungsproblem jetzt behoben. Vielen Dank für die Unterstützung.

Ist in diesem Zusammenhang jetzt noch irgendwas zu beachten?

Zitat:

Zitat von SnS

Ist in diesem Zusammenhang jetzt noch irgendwas zu beachten?

Ich hatte wohl etwas verfrüht gehofft, dass der Spuk vorbei ist. Jetzt bringt Avira wieder eine Rootkit-Meldung (siehe Anlage), nachdem ich etwa 2 Stunden nicht am Rechner war. Mit 'Entfernen' sollte das doch hoffentlich ein Ende haben!?

Zitat:

Zitat von markusg

neustart bitte und nun sollte Malwarebytes laufen

Hallo markusg,
neben der Rootkit-Meldung von Avira ist mir noch aufgefallen, dass mit den ganzen Aktionen jetzt auf der Rootebene neue Verzeichnisse Qoobox und cmdcons entstanden sind; können die wieder gelöscht werden?
Gruß
SnS

hallo, ich war krank, sorry!
kannst du die avira meldung mal als text posten, zu finden unter ereignisse?
die ordner löschen wir später.