Google leitet auf falsche Seite weiter / Trojaner eingefangen
 

Hallo,

ich habe ein Problem. Seit zwei Tagen werde ich von Google ständig an "falsche" Seiten weitergeleitet, d. h. nach dem Anklicken eines Links bei einer Google-Suche leitet mich google auf eine völlig andere Seite.

Nachdem ich Antivir durchlaufen lassen habe, hat er mir angezeigt, dass er einen Trojaner "Tr/kazy.2921.16" gefunden hat. Ich bin dann auf "in Quarantäne verschieben" gegangen. Aber bei zwei erneuten Suchläufen hat er den Trojaner wieder gefunden.

Was muss ich nun machen?
Wie gefährlich ist das und kann ich überhaupt im Internet weiterarbeiten?

Ich muss dazu sagen, dass ich mich leider mir Viren etc. nicht so gut auskenne. Deswegen wäre ich sehr dankbar, wenn mir jemand weiterhelfen könnte und mir genaue Anweisungen geben könnte!

Schon mal danke und
Gruß

Gruß

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

habe Antivir nochmal durchlaufen lassen.

Der Trojaner steckt in C:\system volume information\...\a0254550.exe

Wie oben bereits geschrieben bin ich ziemlicher Laie, also habt ein bischen Geduld mit mir :-)

Gruß

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ich besitze zwei Partizionen (C: und E:) - ich wollte beide zusammen von malwarebytes checken lassen - aber der Computer wurde am Ende so langsam, dass ich nach 1,5 Stunden abgebrochen habe und die Partizionen einzeln checken lies. C: ging aber bei E: wird der Computer immer extrem langsam und bleibt dann irgendwann hängen, so dass ich jetzt nur C: gescannt habe.
Hier der Scan von C:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5095

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

11.11.2010 15:03:58
mbam-log-2010-11-11 (15-03-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 239614
Laufzeit: 37 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\svchost.exe (Spyware.Passwords.XGen) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\svchost.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\stor.cfg (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\klgcptini.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps.a3d (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\stt82.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\dwm.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


Hier das Ergebnis des Scans mit OTL:

OTL Logfile:
--- --- ---




Gruß

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

habe das mit Otl gemacht und bin auf "fix" gegangen. Hatt dann die Aktion gestartet.

Ich hatte danach aber keine Möglichkeit eine Logfile zu sehen, da ein timer erschien und der Rechner nach Ablauf automatisch neu gestartet wurde.

Wie gehts weiter?

Gruß

P. S.: ein Erfolg ist schonmal, dass mein Internet-Explorer, der nach dem checken mit malwarebytes keine Verbindung mit dem Internet mehr herstellen konnte, jetzt wieder funktioniert.

Schau mal in den Ordner C:\_OTL nach einem Log.

Sorry, aber in dem Ordner C:\_OTL befinden sich neben diversen Ordnern nur zwei Systemdateien, aber keine Log-Datei. Hat das mit OTL evtl. nicht geklappt?

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Habe die Datei hochgeladen - hoffe, dass es geklappt hat!

Gruß

Mach den Fix mit OTL bitte nochmal. Denk daran, dass du den unkenntlich gemachten Benutzernamen in Sternchen wieder in den richtigen zurückschreiben musst, bevor du auf den button fix klickst!!

Diesmal müsste es mit OTL funktioniert haben:



All processes killed
========== OTL ==========
No active process named shell.exe was found!
Process svchost.exe killed successfully!
No active process named dwm.exe was found!
Error: No service named SetupNTGLM7X was found to stop!
Service\Driver key SetupNTGLM7X not found.
File D:\NTGLM7X.sys File not found not found.
Error: No service named ScanUSBEMPIA was found to stop!
Service\Driver key ScanUSBEMPIA not found.
File C:\WINDOWS\System32\DRIVERS\emScan.sys File not found not found.
Error: No service named NTACCESS was found to stop!
Service\Driver key NTACCESS not found.
File D:\NTACCESS.sys File not found not found.
Error: No service named MSICPL was found to stop!
Service\Driver key MSICPL not found.
File D:\install4\MSICPL.sys File not found not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\svchost not found.
File C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\svchost.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Windows\shell.exe deleted successfully.
File C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Windows\shell.exe not found.
File C:\WINDOWS\System32\drivers\nljb.sys not found.
File C:\WINDOWS\System32\drivers\lhfiwgl.sys not found.
File C:\WINDOWS\System32\drivers\kketlki.sys not found.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Windows\shell.exe not found.
File\Folder C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\svchost.exe not found.
File\Folder C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\dwm.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: elephant11
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: *****
->Temp folder emptied: 587501 bytes
->Temporary Internet Files folder emptied: 54767168 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 21233 bytes

User: *******
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4229528 bytes
%systemroot%\System32 .tmp files removed: 1346719 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 199203284 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 248,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 11122010_152202

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

habe alles durchlaufen lassen, hier der txt.



Combofix Logfile:
--- --- ---