Virusproblem ? "Document has moved. Redirecting..." Alle Scans sind aber negativ
 

Hallo zusammen !

Das Thema wir (hier und anderswo) zwar schon beschrieben, aber keine Lösung passt auf mein Problem.

Also - wie gehabt - beim Surfen im www werde ich ab und zu (nicht immer) wenn ich auf einen Link klicke nicht dorthin geführt wohin der Link zeigt, sondern es erscheint eine Seite mit dem Hinweis "Document has moved. Redirecting..." und dann komm' ich auf irgendwelche Werbeseiten. A) nervt das natürlich ungemein und B) weiß ich nicht, ob im Hintergrund nicht noch schlimmere Sachen passieren.

Ich habe den Rechner bereits mehrfach mit aktualisierten Softwares gescannt (ESET, OTL, MBAM - logs der Tiefenscans anbei), aber keine Software findet etwas. Ein Fachmann (!) hat mir meinen Firefox angesehen (Proxies, Cookie Einstellungen etc.) und hat auch nichts auffälliges gesehen - also seid Ihr jetzt meine letzte Hoffnung :heulen:

Ich habe die Logs als "Anhang" angehängt - ich hoffe ich mach das alles richtig.

und: bitte nicht schimpfen: a) weiß ich, dass ich blöd bin und b) bin ich's wirklich und c) : -> a) und b) :headbang:

und zu Guterletzt: :dankeschoen:

Liebe Grüße aus Tronje !

:hallo:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


danach

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

danach:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

" Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung"

...natürlich nicht - ich mache nie etwas ohne Anweisung, ich bin ja schließlich verheiratet ! :-)


Spaß bei Seite:

Danke für Deine Antwort - ich mach alles so wie beschrieben und melde mich.

Liebe Grüße aus Tronje

Hallo t'john

...da schaut's wohl schlecht aus. So wie ich das sehe hat keine Software was gefunden; seh' ich das richtig ?

(Logs anbei)

Beste Grüße

Nils

Bei welchem Browser tritt das Problem auf?


Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Das tritt bei beiden Browsern auf die ich habe: Firefox und Explorer

anbei das Log (wieder negativ, wenn ich das richtig sehe)

Danke nochmal

TDSSKiller von Kaspersky

- Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
- Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
- deaktiviere vorübergehend dein AntiVirus-Programm
- Starte die TDSSKiller.exe durch Doppelklick.
- Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
- Bestätige das ggfs. mit Y(es).
- Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
- Poste den Inhalt von C:\TDSSKiller.txt hier in den Thread.

Hier findest Du eine ausführlichere TDSSKiller Anleitung.

...hab' ich gemacht.

Das Tool meldete "nichts gefunden" (Log anbei)

:headbang:

Die erwünschte Textdatei ist zu groß - ich musste sie zippen.

...auffällig ist auch, dass der "Fehler" mich auf "ähnliche" (aber dennoch falsche) Seiten führt.

z.B. wenn ich bei boerse.de auf "DAX" klicke, dann werde ich auf eine andere Boersenseite weitergeleitet. Der DAX-Link aber geht auf die DAX-Seite bei boerse.de !!

Gehe ich von der "falschen" Seite (per Zurückklick im Browser) wieder zurück und klicke NOCHMAL "Dax" an, dann komme ich auf die richtige Seite.


- nur zur Info -

Passiert das auch wenn du im Firefox Hilfe -> Mit deaktivierten AddOns starten den Firefox so startest?

Auf welche Seiten wirst du geleitet?

Da wird's dann ganz wild....

Also, als Addons habe ich:

Adblock plus
BetterPrivacy
Ghostery

Wenn ich meine Addons ausschalte, dann kommt jede Menge "Werbung". Auf fast jeder Seite, die ich öffne kommen dann unten links kleine Flash(?)-Animationen, die mich irgendwohin weiterleiten wollen. Ich habe zwei Beispiele angehängt - Bild1 und Bild2 - diese wollen mich führen nach:

bild1:
www0.flirtcafe.de/lps/v10c/1.html?pid=1941&subid=CD7683

bild2:
www.appround.net/pcperformer/st2/pcperformer-st2-de.php?cid=3761&tid=1b3d9ad36a-102837-1359623458.5062-1936


Das mit dem "Document has moved. Redirecting..." bleibt.

Das war ja auch zu erwarten, da das ganze auch beim Internet Explorer so ist.

Zu Deiner Frage: "Auf welche Seiten wirst du geleitet?"
Antwort: verschiedene Seiten, aber oftmals mit ähnlichem Inhalt wie die Seite auf der ich war (Bank -> andere Bank; Versicherung -> andere Versicherung etc.)

Viele Grüße

* * * ACHTUNG - KORREKTUR * * *

Ich war vielleicht zu schnell...

1) Es schaut so aus, dass ich mit abgeschalteten Addon NICHT weitergeleitet werde, aber statt der Weiterleitung kommt eine Seite folgende Meldung:

Not Found
The requested URL /c.php was not found on this server.
________________________________________
Apache Server at 5406.credit-crush.com Port 80


Diese Seite (mit dieser Meldung) kommt bei dem Versuch das mein Rechner (von alleine natürlich) auf folgende Seite gehen will:

hxxp://5406.credit-crush.com/c.php?s=eNodU1mvskoQ_EEmx2FgYHg4DyjKIiKCyvJyMzBsyq6AEH78x7npru6kK53UQ9VzgRzPoQUtF1kbF_ADGIz_FicwkBHQAgHDrs0AgYMAL6H7aCLWrgLPZHyYgcDlUqqIo-GigrLnlLjoRbymiKZdRli7-eOjUqzXnyEog0JT7CyWfn8XQaSsmFCWUkoQS8II4wRGIA45FIexgP5DIhUFXggRF2PA41UQBSTEVBSREPEisypbmCU268fLpFMNpKsdbpVuDhrdzFvDpva1zo9afGG164jsTdXR7XxvI-EDGdjz22fFb97c873py-LwTZQQPcTGJclFLwYDz4O4OevPhxY0o4nuO-rX8XbkJfPDtKYGhdCKS8nh4o-LRK--fd6n0ggy_uKOvv_ciefoFXrcmwpYv7d8ziYgz6pSFZkLnjJz_yXqMTgMtenCdvwMUnGtu3PHUyfvgRSpAdjZl6fveuwgTe-XNMF3PUYOmY98Lud-Oitx5wzq0FFvSnXCWxZMo_YrpdY5tPpj52lfJcv6fiRyZuQoDa632coOmhzfofYkeXvisWe0O8Z4j6wsXu0rEGZGNbVAQReC3vq-iFssSWJXNoe2u3nmhKqyP3gutj5T7N5UsisTS1MfuGCVCgYGynoCPuqZpO96wpco04uSo3UgoVnzBN52zBNIk1KWGVeVMXekEVdNxJpFuUpXR9DPxGLo9tif2KvpgAYcZ89qD9b5lniPjCWe2TRt0o 9Mp59Mp_QOfn7ib_ldOB7bPHg5xKd7qGyOwE-G0nmAysTDF7fdDj_973DC8imfbt8sUun-fA--YMv7ZsZ8cLJlOOy2pkyc5mroj3p2FLIpQODoNUibl77tmlGt7vHZXP14cl_-zERpWlq8w4F9NbzhtmoPnJEHlv06NOPzOMG9w-ZcGxeXJJSDZNs_gPr-XTD3wyD4AyH4w7Lwwg9k0A_kVjBr4pYFLmsaWOOpwUD5dEZpF-v1rxb2f-acozxwi54o4idw0DOE4HchNAKsGIpASGgYM2TNR8zxMRuBUOAjMV4IR_hERICPBS7mQkLXGRMhSiIRQoiFf1gFTH4


Ich kenne diese Seite "hxxp://5406.credit-crush.com..........." - da kam eben früher (mit Addons) immer die Meldung "Dokument has moved. Redirecting"

Also ist der Fehler zwar noch da, nur das dann die echte Weiterleitung nicht mehr geht.

2)

Ich habe mir mal den Quelltext bei der Flash-Animation "PC Speed Test" angesehen:

<head ></head>
<body>
<iframe id="ape_undefined" style="display: none; position: absolute; left: -300px; top: -300px;" src="hxxp://3.stream.boerse.de:6969/?[{"cmd":"script","params":{"domain":"boerse.de","scripts":["hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/mootools-core.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Core/APE.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Core/Events.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Core/Core.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Pipe/Pipe.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Pipe/PipeProxy.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Pipe/PipeMulti.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Pipe/PipeSingle.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Request/Request.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Request/Request.Stack.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Request/Request.CycledStack.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Transport/Transport.longPolling.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Transport/Transport.SSE.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Transport/Transport.XHRStreaming.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Transport/Transport.JSONP.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Transport/Transport.WebSocket.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Core/Utility.js","hxxp://static.boerse.de/script/ape_TO_DELETE/framework/Source/Core/JSON.js"]}}]"

></iframe>



Offensichtlich JAVA, oder ??


Hilft Dir das weiter ?
Insbesondere die Tatsache, dass bei ausgeschalteten Addons die Weiterleitung zwar versucht wird, aber es klappt nicht.

Beste Grüße

Javascript. (Sind zwei verschiedene Sachen)

Hast viel rausgefunden.

Wir brauchen jetzt ein aktuelles OTL Log

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

• Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Wähle Scanne Alle Benuzer
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
• Unter Extra Registrierung, wähle bitte Benutze SafeList
• Klicke nun auf Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Danke !
Dabei bin ich eigentlich ein völliger Computer-Depp.


OK - hab' ich gemacht und hier sind die Dateien.

Es kam zu einer Fehlermeldung, die ich Dir auch anhänge (jpg)

ACHTUNG: ich bin ab inkl. morgen (Freitag) bis Sonntag-Nacht NICHT an meinem Rechner. Ich kann dann erst wieder am Montag aktiv werden - nur zur Info, dass Du Dich nicht wunderst wenn ich mich über's WE nicht melde.

und nun die ultimative Frage an den Herrn Doktor: Werde ich es überleben ?
(ich=mein Rechner)

Hab Dank und sei gegrüßt !

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!