google suchfragen leiten weiter (gomeo)

Rajid7 · 24.04.2011, 17:52

Hallo,

wie im Titel erwähnt, leiten mich meine google suchanfragen in letzter zeit immer wieder auf andere seiten, z.b. gomeo um.
da ich ein ziemlicher anfänger mit virenbekämpfung etc. bin bräuchte ich eine detaillierte anleitung bezüglich programmen etc. :/

danke im vorraus
rajid

hab mal einen scan durchlauf gemacht:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6426

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

24.04.2011 20:20:06
mbam-log-2011-04-24 (20-20-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 293921
Laufzeit: 1 Stunde(n), 20 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
c:\WINDOWS\fixcamera.exe (Trojan.Dropper) -> 148 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FixCamera (Trojan.Dropper) -> Value: FixCamera -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\fixcamera.exe (Trojan.Dropper) -> No action taken.

ein antivir durchlauf bringt nichts, der luke filewalker hängt sich immer im 20er% bereich auf...

M-K-D-B · 26.04.2011, 10:19

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 2: Load.exe ausführen
Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

Speichere die Datei am Desktop.
Schließe bitte alle laufenden Programme sowie Browser und sichere gegebenfalls offene Dokumente.
Starte die Load.exe
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool wird nun einige Tools auf deinem Desktop laden.

Sobald der Download beendet ist, startet sich TFC.exe. Drücke den Start Button in TFC.
TFC wird alle offenen Programme schließen. Sichere alle offenen Dokumente bevor du Start drückst
Sollte TFC den Rechner nicht neu starten wird Load.exe den Rechner neu starten.
Nach dem Neustart wird sich automatisch die Anleitung.html ( zu finden auf dem Desktop ) öffnen. Darin wird die Anweisung der Tools beschrieben.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort die Logfiles von

TDSS Killer,
Defogger,
GMER und
die beiden Logfiles von OTL (OTL.txt und Extras.txt).

Rajid7 · 29.04.2011, 20:39

Hallo MKDB,

im Anhang sind die logfiles von OTL.
G4mer hat bis jetzt nicht funktioniert, beim Starten ist mein PC immer abgestürzt.
Der TDSS Killer hat nichts gefunden und der Defogger war anscheinend nicht benötigt.

Gruß Rajid

M-K-D-B · 30.04.2011, 12:51

Hallo Rajid7,

Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Hattest du einmal ein Produkt von Symantec (Norton Antivirus, Norton Internet Security, etc.) installiert? Ich frage wegen diesem Eintrag hier:

Zitat:

[2011.04.24 18:00:00 | 000,000,394 | ---- | M] () -- C:\WINDOWS\tasks\Norton Security Scan.job
Du hast von Umleitungen bei Google-Suchen gesprochen:

Zitat:

wie im Titel erwähnt, leiten mich meine google suchanfragen in letzter zeit immer wieder auf andere seiten, z.b. gomeo um.

Treten diese Probleme beim Internet Explorer und bei Firefox auf oder nur bei einem der beiden? Solltest du dir nicht sicher sein, überprüfe es bitte mit beiden Internet Browsern.

Schritt # 2: Add-ons in Firefox entfernen

Starte Firefox
Klicke auf Extras -> Add-ons
Entferne die folgenden Add-ons (sofern sie vorhanden sind):
- Zynga Toolbar
Zum Abschluss musst du Firefox schließen und neu starten, damit die Entfernung abgeschlossen werden kann.
Kontrolliere, ob die genannten Erweiterungen auch entfernt wurden.
Schließe Firefox wieder.

Schritt # 3: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

Klicke auf Durchsuchen

Kopiere nun folgendes in die Suchleiste.

Code:

ATTFilter

C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\Csccodec\advserv.exe

und klicke auf Öffnen.
Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Wiederhole die selben Schritte mit folgenden Dateien.

Code:

ATTFilter

C:\WINDOWS\ping1w.exe

Solltest du die beiden Dateien nicht finden können, so befolge bitte folgende Anleitung und lass dir alle Dateien anzeigen:
alle Windows Dateien sichtbar machen

Schritt # 4: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 5: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe 
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen,
die beiden Links zu den Ergebnissen von VirusTotal,
das Logfile von aswMBR und
das neue Logfile von OTL (OTL.txt).

Rajid7 · 01.05.2011, 10:46

Hallo nochmal,

1.
die probleme treten bei beiden internetbrowsern auf, ich habe aber das gefühl, beim IE nicht so häufig. ich benutze hauptsächlich firefox
an ein produkt von symantec kann ich mich nicht erinnern.

2.
das add on habe ich entfernt.

3.
hxxp://www.virustotal.com/file-scan/report.html?id=977d8d68af30e6ddfc7b3b616c03a60fead6dfc7843062dff8181850c5f1d7ca-1304241452

Zitat:

C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\Csccodec\advserv.exe

diese datei wurde nicht gefunden, und als ich in dem ordner nachgesehen habe war sie auch nicht mehr da. vielleicht hat antivir sie verschoben?

4. im anhang

5. musste ich splitten, weil die datei zu groß war (in OTL2.1 und OTL2.2)
edit: den zweiten teil kann ich noch nicht hochladen, weil beim hochladen immer die verbindung zum server zurückgesetzt wird? ich werde es später nochmal probieren

Gruß,
Rajid

M-K-D-B · 01.05.2011, 13:03

Hallo Rajid7,

Schritt # 1: Mehrere Anti-Virus-Programme

Code:

ATTFilter

Avira AntiVir Personal - Free Antivirus
Microsoft Security Essentials

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Ausserdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.

Zitat:

Speedy hat letztens eine einleuchtende Erklärung dazu geliefert: "Man stelle sich einen Torwart vor, der das Tor hüten soll (Anti-Virus-Programm), der Ball kommt angeflogen (Virus), der Torhüter konzentriert sich auf den Ball und fängt ihn. Jetzt stelle Dir zwei Torhüter im Tor vor ...., die knallen aneinander und der Ball kann ungehindert ins Tor wandern."

Schritt # 2: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Hast du eine Windows XP CD zur Hand?
Wenn ja, um welche handelt es sich dabei? Ist es eine normale Windows XP CD oder eine Recovery Version?

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

eine Rückmeldung, für welches AV-Programm du dich entschieden hast und
die Beantwortung der gestellten Fragen.

Rajid7 · 01.05.2011, 13:18

Hallo MKDB,

1. habe mich für Antivir entschieden.
und 2. hab eine CD zur hand, dürfte eine normale CD sein.

Gruß,
Rajid

M-K-D-B · 01.05.2011, 14:09

Hallo Rajid7,

Schritt # 1: Fix mit aswMBR

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke nun auf FixMBR. Dieser Vorgang kann etwas dauern.
Drücke anschließend auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das neue Logfile von aswMBR.

Rajid7 · 01.05.2011, 16:16

Hallo MKDB,

ich hoffe, dass das so stimmt wie ichs gemacht habe. kam mir etwas komisch vor weil sich im fenster nichts getan hat beim fixen.
siehs dir einfach an.

Gruß,
Rajid

M-K-D-B · 01.05.2011, 19:26

Hallo Rajid7,

Zitat:

ich hoffe, dass das so stimmt wie ichs gemacht habe. kam mir etwas komisch vor weil sich im fenster nichts getan hat beim fixen.

Du hast alles richtig gemacht. Leider war es aswMBR nicht möglich, den infizierten Master Boot Record zu fixen. Daher versuchen wir das jetzt über die Wiederherstellungskonsole.

Schritt # 1: Wiederherstellungskonsole über die Windows CD starten

Lege deine Windows CD ins Laufwerk
Starte deinen Rechner neu auf.
Wenn du gefragt wirst, von wo du starten willst, wähle die CD aus.
Wenn du dazu aufgefordert wirst, wähle die Option zum Reparieren bzw. Wiederherstellen, indem du die Taste "R" drückst.
In der sich öffnenden Eingabeaufforderung gibst du folgende Befehle nacheinander in die Kommandozeile ein und drückst anschließend jedes Mal Enter:
Code:
ATTFilter
```
fixmbr
         
```
Code:
ATTFilter
```
fixboot
         
```
Code:
ATTFilter
```
Exit
         
```
Bestätige eine gegebenenfalls auftretende Sicherheitsabfrage mit Ja.
Der Rechner startet neu auf. Starte nun wieder von deiner Festplatte.

Schritt # 2: aswMBR.exe ausführen

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

Rückmeldungen bezüglich der Wiederherstellungskonsole und
das neue Logfile von aswMBR.

Rajid7 · 01.05.2011, 20:46

Hallo MKDB,

folgende Frage:
wenn ich in der Wiederherstellungskonsole bin, werde ich immer gefragt bei welcher Windowsinstallation ich mich anmelden möchte.
Was hat das zu bedeuten und was muss ich hier eingeben? Ein Passwort wird dann auch immer verlangt.

Gruß,
Rajid

M-K-D-B · 01.05.2011, 21:06

Hallo Rajid7

Zitat:

Zitat von Rajid7

wenn ich in der Wiederherstellungskonsole bin, werde ich immer gefragt bei welcher Windowsinstallation ich mich anmelden möchte.
Was hat das zu bedeuten und was muss ich hier eingeben?

Werden dir dazu mehrere Windowsinstallationen aufgelistet, wie z. B. 1: C:\Windows , usw. ?
Wenn ja, dann musst du die Nummer eingeben, die vor C:\Windows steht. In der Regel ist das die 1. Bestätigen kannst du deine Wahl mit Enter.

Zitat:

Zitat von Rajid7

Ein Passwort wird dann auch immer verlangt.

Das ist das Administratorpasswort, mit dem du dich immer anmeldest.

Rajid7 · 02.05.2011, 13:32

Hallo MKDB,

hier das nächste angeforderte logfile. diesmal siehts aus als hätte es geklappt.

Gruß,
Rajid

M-K-D-B · 02.05.2011, 13:48

Hallo Rajid7,

Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Zitat:

14:29:23.156 Disk 0 Windows 501 MBR fixed successfully

Darf ich fragen, warum du den MBR mit aswMBR gefixt hast?

Das haben wir doch mit der Wiederherstellungskonsole bereits gemacht. aswMBR sollte lediglich als Kontrollscan dienen.
In meiner letzten Anleitung steht nichts von einem Fix mit aswMBR. So etwas kann auch schief gehen.

Naja, sieht so aus, als konnten wir das Rootkit beseitigen.

Auf deinem Rechner befindet sich noch jede Menge Malware. Darum sollten wir uns als nächstes kümmern:

Schritt # 2: ComboFix umbenannt ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von dem aufgeführten Link herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer - InfoSpyware

Firefox User:
Bitte folgende Einstellung vornehmen. Extras --> Einstellungen --> Reiter Allgemein und hacke
Jedesmal nachfragen wo eine Datei gespeichert werden soll an. Übernehmen --> OK.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Schritt # 3: Systemscan mit OTL

Starte bitte OTL.exe.
Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen,
das Logfile von ComboFix und
die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Rajid7 · 02.05.2011, 20:37

Hallo MKDB,

im anhang sind die beiden logfiles von OTL.
die file von combo-fix habe ich einfach nicht gefunden? keine ahnung ob es entweder nicht geklappt hat, oder ich einfach zu dämlich war zum suchen.
und weil ich jetzt lieber nichts mehr ohne direkte anweisung mache (*hust*), hab ich nen zweiten durchlauf gelassen.

Gruß,
Rajid

google suchfragen leiten weiter (gomeo)

Plagegeister aller Art und deren Bekämpfung: google suchfragen leiten weiter (gomeo)