Umleitung von URLs im IE
 

Hallo zusammen,

schön mal wieder hier zu sein, mir wird gerade oben angezeigt, dass es schon 2 1/2 Jahre her ist das ich zuletzt mal rein geschaut habe.

Anyway, wir sind ja hier im Forum für Hilfesuchende, also fange ich gleich mal an:
Ich sitze hier am Laptop von meinem Vater und habe folgendes Phänomen, wenn man z.B. billiger.de im IE eingibt wird man auf folgende URL umgeleitet:
http://www.pricerunner.de/?AID=10389188&PID=1902735
gleiches bei idealo.de etc.
Leider sind meine Kenntnisse zu eingerostet und mit den Standardmaßnahmen komme ich nicht weiter.

Hier mal die Logs aus der bisherigen Analyse:

Adwcleaner:


Davor ausgeführt:

OTL:

OTL Extras:

Und zuletzt mbam (Vollständiger Suchlauf):

Wäre super wenn mir jemand weiter helfen könnte

Grüße Wildone

Welcome back...

Dann bitte nochmal OTL nach dem Ausputzen mit AdwCleaner.

Kontrollscan mit OTL

• Starte bitte OTL.exe - falls noch nicht vorhanden: LINK
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Hallo ryder,

danke :-)

Hier mal das neue OTL Log

Grüße Wildone

Ein Fix für dich...

Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten! Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

---


:OTL
IE - HKU\S-1-5-21-1662915519-1410683249-3753420608-1001\..\SearchScopes\{9AB9A6E4-E1D2-4055-B27C-CF5122507D5F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=kw&q={searchTerms}
O20 - AppInit_DLLs: (c:\progra~3\browse~1\23796~1.11\{16cdf~1\browse~1.dll) -  File not found

:commands
[Emptytemp]

---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein! :kaffee:

Frage: Hast du Magic Desktop / EasyBits mit Absicht installiert?

Hallo ryder,

hier das Logfile:

Ziemlich sicher ja, mein Vater hat Magix Video Deluxe installiert.

Grüße Jochen

Okay ... tritt das Problem noch auf?

Hallo ryder,

yepp, leider schon.

Grüße Jochen

Du hast aus dem infizierten Benutzerkonto heraus mit OTL gescannt?

Hallo ryder,

ja, habe ich. Soll ich es mal unter dem anderen Benutzer versuchen? Bin mir aber nicht sicher ob das ein Admin-Account ist.

Grüße Wildone

Ja bitte probiere es mal so.

Und dazu Sicherheitshalber auch mal mit DDS:

Scan mit DDS (+ attach)

Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com | dds.scr | dds.pif

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Hallo ryder,

so, hier mal alle drei logfiles:

OTL aus dem anderen User-Account (hier tritt das Problem übrigens auch auf):

DDS.txt

DDS Logfile:
--- --- ---


attach.txt:

Eine kleine Frage noch zu dem dhcp-Eintrag:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1A00EE7A-5119-489E-8978-662C369538B6}: DhcpNameServer = 40.20.1.201 40.20.1.202

Das hat so seine Richtigkeit?

Grüße Wildone

Dies sieht mir erstmal aus wie ein Laptop, der auch in der Firma benutzt wird. Gibt es Verbindungen zur Firma LILLY?

Seit wann treten diese Umleitungen denn in etwa auf, dass ich mal einen Anhaltspunkt habe?

Lass ausserdem bitte Combofix laufen:

Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo ryder,

Hmm, die hatte ich auch identifiziert. Nein gibt keine Verbindung, ist auch ein reiner Privat-Laptop.

Hmm, schwierig, mein Vater tippt auf 3 Wochen, könnte aber auch länger als ein Monat sein. Sorry, kann ich nicht wirklich sagen.

Combofix:


Grüße Wildone

Gut dann ... müssen wir weiter suchen.

Schritt 1:
Deinstallieren: simplycheck

Schritt 2:

Dateien überprüfen lassen

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Choose File
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  c:\windows\system32\GFilterSvc.exe
c:\windows\system32\KBDNO164.exe

  ---

• und klicke auf Öffnen.
• Klicke auf Scan it!.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 3:
Adware entfernen mit JRT

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
http://imageshack.us/a/img841/7292/thisisujrt.gif
Bitte lade Junkware Removal Tool auf Deinen Desktop.

• Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
• Das Tool wird sich öffnen und mit dem Scan beginnen.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Hallo ryder,

hmm, ich befürchte wir fischen im Trüben:

Schritt 1: erledigt

Schritt 2: erledigt: Sorry habe die Links nicht mehr, die beiden Dateien waren aber komplett ohne Fund.

Schritt 3:

Ich überlege mir schon langsam ob es Malware ist oder doch irgendeine ganz seltsame Fehlfunktion. Ich muss dann leider für heute Schluss machen, blöderweise bin ich erst am Sonntag wieder bei meinen Eltern, ist es möglich da weiter zu machen?


Grüße Wildone

Na sicher. Das ist echt ein komisches Teil, was du da hast.

Nach Rückfrage mit Kollegen habe ich noch ein paar Ideen:

• DNS-Cache bereits geleert? cmd > ipconfig /flushdns
• Umleitung in allen Browsern oder nur einem?
• Router einmal neugestartet?

Hallo ryder,

so, ich schaue es mir jetzt wieder an:

DNS-Cache habe ich geleert, leider kein Effekt.
Umleitung nur im IE, nicht in Chrome.
Router wurde sogar aus einem anderen Grund ausgetauscht, Umleitung der URL ist unter beiden der Fall gewesen.

Habe jetzt auch noch mal im IE den gesamten Cache gelöscht und alle Adins deaktiviert, leider ebenfalls ohne Effekt.
Ich habe mal spaßeshalber ein Desktopvideo mit dem Phänomen erstellt, siehe Anhang.

Grüße Wildone

Hm jetzt wirds mir aber zu bunt ...

Schritt 1:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Schritt 2:
Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Wenn das nichts zeigt würde ich mit dir verdächtige Objekte entfernen und schauen ob das fruchtet ...

Hallo ryder,

hm, alles weiterhin sehr seltsam, leider haben die rootkit scans auch nichts neues gebracht...

TDSS:

mbar:

Grüße Wildone

*seufz*

Geh bitte mal in Abgesichert mit Netzwerk ob da die Umleitungen auch auftreten.

Hallo ryder,

im abgesicherten Modus (mit Netzwerktreibern) werde ich nicht umgeleitet.

Grüße Wildone

Das ist doch schon mal gut.

Dann deaktiviere bitte mal die Dienste:
GFilterSvc
extrbc32 (Benutzerprofildienst SNMP-Trap Benutzerprofildienst)

Kommen im normalen Modus dann die Umleitungen noch?

Hallo ryder,

sieht gut aus! Hatte ehrlich gesagt schon fast aufgegeben.

Kann ich die Startup-Einträge der Dienste mit OTL löschen?

Grüße Wildone

Nein das machen wir mit Combofix und schicken das gleich zur Analyse mit ein:

Combofix-Skript

Zitat:

Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  
http://www.trojaner-board.de/127349-umleitung-urls-ie.html

Driver::
GFilterSvc
extrbc32


Collect::
c:\windows\system32\KBDNO164.exe
c:\windows\System32\GFilterSvc.exe


Folder::
c:\windows\SysWow64\Extensions
c:\windows\SysWow64\searchplugins

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis: Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Hallo ryder,

ich hatte die Dateien jetzt blöderweise schon manuell entfernt und die Startup-Einträge per HijackThis entfernt (Ja, ich weiß, sehr Oldschool, aber damit kenne ich mich halt noch aus meiner aktiven Zeit gut aus :-D )
Die Dateien selbst habe ich noch gesichert, falls es eine Möglichkeit gibt die manuell an mbam und/oder combofix zu schicken mache ich das nächste Woche.

Bleibt mir dir herzlich für die kompetente Hilfe zu danken :-)

Grüße Wildone

Oh mann ... keine alleingänge heißt es doch ... wofür schreib ich dann ein Skript?

Hallo ryder,

ja, tut mir Leid. Mir ist die Zeit bei meinen Eltern etwas davon gelaufen und da war die Verlockung manuell zu friemeln zu groß.

Ich werde noch die Dateien an alle AV-Hersteller schicken, schöne Liste gibt es ja hier:
http://www.rokop-security.de/index.php?showtopic=17635

Und wie schon geschrieben, vielen Dank dir, ohne deine Hilfe hätte ich es nicht geschafft.

Grüße Wildone

Es wäre ja nur noch ein Schritt gewesen und jetzt haben wir keine Chance, dass es in unser Werkzeug integriert wird :(

Aber okay wir haben dich zumindest sauber. Also bitte aufräumen:



Tools deinstallieren

• Falls Defogger benutzt wurde: jetzt auf re-enable klicken.
• Falls Combofix benutzt wurde: Windowstaste + R > Combofix /Uninstall (eingeben) > OK
• Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
  • Starte Delfix und klicke auf Löschen.
  • Das anfallende Logfile benötigen wir nicht.
  • Klicke dann auf Deinstallation und dann OK.

Hallo ryder,

Ja, ich sehe ein das war ein Fehler. Falls du Combofix meinst, ich versuche die Dateien auch sUBs von bleeping zukommen zu lassen, wäre aber natürlich einfacher über das dafür vorgesehene Script gewesen :-(

Die Tools zur Deinstallation werde ich dann nächste Woche drüber laufen lassen.

Grüße Wildone

Alles klar! Viel Spass.