Hallo zusammen,

seit 2 Tagen habe ich nun auf den unterschiedlichsten Seiten (Facebook, Google, Sport1, so ein Zeug...) das Problem, dass ich entweder auf eine Seite "gostats.com" weitergeleitet werde (sehe ich unten in der Statusleiste), oder neuerdings werden auch Werbungen irgendwann eingeblendet, wo dann oben steht "served by Yourprofitclub".

Nach einigen Recherchen konnte ich zumindest das Problem mit "gostats.com" irgendwie beheben. Ich habe Malwarebytes' Anti-Malware installiert und gefundene Sachen gelöscht, ich habe SUPERAntiSpyware installiert und Vorkommnisse gelöscht, ich habe einen "ATF Cleaner" im gesicherten Modus von WinXP laufen lassen und Sachen entfernen lassen.
Dann bin ich endlich mal, weil ich mich an HijackThis erinnert habe, auf dieses (endlich mal deutschsprachige) Board gestoßen.
Gerne hätte ich auch zu dem gleichen Problem (http://www.trojaner-board.de/95907-i...seiten-um.html) geantwortet, aber anscheinend war mir das nicht erlaubt, also mache ich ein neues Fass auf.

Nun bin ich letztendlich auch der Anleitung des CCleaners gefolgt und habe anschließend einen Scan mit ComboFix gemacht.

Ob sich mittlerweile etwas geändert hat, keine Ahnung, jedoch habe ich die wage Vermutung, dass das Problem immer noch nicht behoben ist. Denn auch nach mehrfachen Durchläufen mit Anti-Spyware und SUPERAntiSpyware kam es später trotz der Isolation und Löschung der vermeintlichen Viren/Malware trotzdem wieder zu Vorkommnissen, die wieder gleich aussahen. Ich stehe also wieder am Anfang und ich kann auch nicht alle 4 Std einen kompletten Scan laufen lassen, um dann 1 Std wieder frei surfen zu können.

Im Anhang findet ihr Logdateien (ja, auch Hijackthis, wenn es vielleicht was nützt...), in der Hoffnung, dass man da evtl was findet...

In der Hoffnung, dass mir hier jemand helfen kann um die Malware endlich mal in den Griff zu bekommen, verbleibe ich mit vielen Grüßen.

bitte combofix niemals nicht mehr ohne anweisung nutzen.
dieses tool ist nur unter anleitung eines erfahrenen helfers einzusetzen da es probleme geben kann
öffne Malwarebytes logdateien, poste alle logs.
start programme zubehör editor kopiere rein


Killall::
Rootkit::
c:\windows\system32\bdb88c09.exe
c:\windows\system32\iwteamzygwd.exe
c:\windows\system32\Langi.dll

datei speichern unter, ort dort wo sich combofix.exe befindet, dateityp alle dateien
name
cfscript.txt
ziehe cfscript auf combofix programm startet log posten

Ich habe ComboFix ja nur ausgeführt, weil es im anderen Thread mit den gleichen Symptomen als Lösung stand.

Anbei die Log-Dateien vom 2. Durchlauf ComboFix und Malware...

Danke schonmal für die Antwort!

update mal Malwarebytes und mach nen vollständigen scan, log posten, funde löschen

Hey,

hab nochmal n Scan gemacht, er hat diesmal nichts gefunden, lag aber wahrscheinlich daran, dass ich vorher n Quick-Scan gemacht hab und er da schon was gefunden hatte (siehe frühere LOG).

Das Problem besteht dennoch. Immer wenn er was bei nem Scan findet habe ich 1-2 Std Ruhe, dann bekomme ich auf jeglichen Seiten zu irgendwelchen Zeitpunkten verschiedenste Werbungen eingeblendet :/

poste bitte auch die alten logs von malwarebytes, zu finden unter logdateien.

Ich habe bereits alle 4 gepostet, siehe den Post vom 01.03.2011, 21:39.
Mehr habe ich nicht, sorry...

Ich könnte noch 2 Log vom SUPERAnti-Spyware anbieten, falls das was hilft. Glaube aber mittlerweile, dass nur eine Neuinstallation das Problem behebt

poste einen GMER report
http://www.trojaner-board.de/74908-a...t-scanner.html

Soo, anbei der Log vom GMER Scan. Habe übrigens grad auch hier just auf dieser Forums-Seite Werbung eingeblendet bekommen...

Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
nutzen und log posten

1 Threat gefunden:

Service name: sptd
Service type: Kernel driver (0x1)
Service start: Boot (0x0)
File: C:\WINDOWS\system32\Drivers\sptd.sys
MD5: cdddec541bc3c96f91ecb48759673505

Habe das hier abgeschrieben, weil unten in der Log-Datei ja nur steht, dass ich die Bereinigung übersprungen habe (stand ja so in der Anleitung)

ok das ist nichts gefährliches.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Done. Musste die OTL.txt splitten, da sie zu groß für einen Upload war.

O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
warum sind dieser und weitere in deiner hosts zu finden?