Google verlinkt auf falsche Seite
 

Hallo Zusammen!
Mein Problem stellt sich wie folgt dar:

Die bei der Google-Suche angezeigten Links führen hin und wieder auf eine falsche Seite. Das Problem tritt nicht regelmässig auf, jedoch immer wieder. Ich würde sagen ca. bei jeder 10ten Verlinkung. Es wird meistens auf folgende Seite verlinkt:

hxxp://clicks.bestquickfind.com/xtr_new?q=le40c650+internet&enk=JpknsUaRppnm4+bjJuPmoSaZBuMmkQep5skHyQaJj4k=

danach erfolgt nach 2 Sekunden ein redirekt auf irgendwelche andere Seiten.

Hin und wieder wird auch gleich auf diverse andere ungewollte Seiten verlinkt.

In der Regel benutze ich den Internet-Explorer. Ob es auch beim Firefox auftritt weiss ich nicht wirklich.

HijackThis-Logfile nachfolgend und im Anhang!

Help please!! (Bin eher unversierter Anwender...)

Gruss
Andreas

HiJackthis Logfile:
--- --- ---

Hi,

Deine Internetverbindung wird über die Ukarine geroutet... und noch einiges mehr...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien
  
  anzeigen lassen! (nur
  
  Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke
  
  auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten
  
  dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag
  
  einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers

wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
(Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller

Systemeinstellungen)->exit)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Chris

Hallo Chris!
erstmal herzlichen Dank, dass du Dich meinem Problem annimmst!!

...du machst mir Angst :heulen:

Eins noch vorweg: ich hab heute nacht noch, ich muss gestehen, rumgepfuscht und dadurch stimmt meine hijackThis-logfile wohl nicht mehr. Habe fixwareout laufen lassen orientiert an einem anderen Forumsbeitrag mit ähnlichem Problem wie dem meinen. Danach nochmal kompletten Antivirscan gemacht und nun wurde eine Datei im fixwareoutverzeichnis von Antivir in die Quarantäne gesteckt:

Ich hatte nicht damit gerechnet, dass mir hier jemand helfen wird, da ich sehr viele Beiträge ohne Antworten hier im Forum vorfand. Lange rede kurzer Sinn: ich werde jetzt überhaupt nur noch auf Anleitung an meinem Rechner etwas vornehmen!! Hoffe Du hast weiterhin "Lust" mich dabei zu führen!!

Weitere Info: Der Fehler mit der Googleverlinkung tritt definitiv beim Explorer UND Firefox auf!

Punkt 1 hab ich soweit ausgeführt

bei:
hört es dann schon auf, weil bei mir in C:WINDOWS\temp es keine b.exe gibt.

habe b.exe auch über Windows-Suche nicht auf meinem System finden können.

Ich werde jetz noch einmal eine aktuelle HijackThis-Logfile einfügen und hoffe, dass es dann weitergehen kann!

Gruss aus Freiburg in den Schwarzwald? :applaus:

Hi,

die Umleitung ist weg, daher die Zeile
weglassen, den Rest (HJ ohne die angegebene Zeile und Avenger (wenn die b.exe weg ist gibts nur eine Fehlermeldung) bitte wie gehabt durchführen...

chris

Hallo Chris,

die Umleitung ist immer noch aktiv.

Die Zeile 17:
hatte ich bei meinem "Alleingang" vorgestern Nacht mit Hijack gefixt. Hatte ich vergessen mitzuteilen.

avenger.txt
Wie ich gerade gestgestellt habe, lässt sich Spybot bei mir überhaupt nicht mehr ausführen. Auch nach uninstall und neuer Installation nicht!

Weiter im Text: HiJack nach Avenger
Malwarebytes Antimalware lässt sich installieren, Programm lässt sich jedoch nicht ausführen!!

OTL.TXT:
Extras.txt:

TDDS:
So ich hoffe alles soweit richtig erledigt.
Is there any hope?
Danke für Deine Hilfe!!!
Gruss
Andreas

Hi,

so neben der Umleitung tatsächlich TDSS-Rootkit und da habe ich noch was (bevor ich anfange zu Feuern, das sieht nach einem alten Bekannten aus):

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris
Ps. Wenn die Dateien erkannt werden:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Hallo,

irgendwie funktioniert heut gar nix.

Virustotal hatte ich 2 Dateien hochgeladen (geht nur einzeln bzw nacheinander, daher auch mehrere einzelne Auswertungen nicht eine gesamte möglich? Stimmt das so oder gibt es eine Möglichkeit alle Datein nacheinander hochzuladen und dann eine Gesamtauswertung zu bekommen?)

Das Problem ist jetzt nur, dass ich jetzt nicht mehr auf die Virustotalseite komme. Hoffe dass nur der Server grad down ist und nicht irgendwas anderes mich blockiert.

Zu -> meine Ornderoptionen sind von der Struktur ein wenig anderst als die deinigen. Im Anhang einsehbar (ich weiss leider nicht wie ich hier im editor einen screenshot einfügen kann? Gerne auch hier kurze Erklärung wie du die Ornderoptionen in deinen Beitrag integriert hast.

Jetzt wart ich halt bis ich wieder Virustotal erreiche, aber irgendwie habe ich das Gefühl, dass es nicht am Server liegt.

Gruss und bis später :-)

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Danach MAM updaten und Fullscan, alles bereinigen lassen...

Poste auch ein neus OTL-Log....

chris

Guten Morgen Chris,

hat sich einiges getan. Habe Deine Anweisungen ausgeführt und denke, dass sich doch einiges vebessert haben sollte. Amüsant war dass XP nach dem Combofix und MAM insgesamt 87 updates aufspielen durfte:lach:

Nachfolgend die Logfiles:

Combofix:

MAM:
OTL.txt:

Extra.txt:

Ich habe nach dem OTL-Scan bereinigt, hoffe das war kein Fehler? Die OTL-Logs sind vor dem bereinigen.

Aktuell habe ich keinen Virenscanner mehr aktiv. AntiVir läuft in 3 Tagen aus bei mir. Was würdest Du mir denn empfehlen?

Gruss und schönen Sonntag
BESTE GRÜSSE!!
Andreas

Hi,

du kannst die freewareversion von Avira verwenden zusammen mit Threadfire und der Windowsfirewall...

Bitte folgende Files prüfen (sollten sauber sein):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Lass bitte noch Cureit laufen (updaten):
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Hallo :-),

Alle getestet! Alle waren sauber, hatte es auch gepostet, jedoch leider beim OTL-Reboot Posting verloren. Jeweils 42/0 Ergebnisse.


Auswertung: (10042010_115019.txt) -> richtige Datei??
Bevor ich jetzt CureIT laufen lasse, speichere ich hier mal kurz ab.

Bis gleich

A.

Hallo,

irgednwie hat das mit dem abspeichern der CureIT-logfile nicht geklappt. Konnte den bericht nur als csv-datei abspeichern und da steht nicht wirklich viel drin. Die Logfile im Verzeichnis ist zu gross, könnt ich dir via email senden. Anbei erstmal halt nur die csv-Geschichte. Das einzige was moniert wurde war scheinbar sowieso nur die "OTL.exe"



Gruss again
Andreas

Hi,

ja, die Tools werden manchmal als f/p erkannt...
Es wurden noch einige Sachen in der Systemwiederherstellung beseitigt,
daher:

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Was macht der Rechner?

chris

Hi Chris,

hab Wiederherstellungspunkt erstellt. Ja was soll ich sagen, Rechner läuft so weit ich es beurteilen kann wieder rund!!!

Also nochmal herzlichsten Dank für deine Super-Unterstützung!!! Hammer, dass du das so prima hinbekomen hast!

Dankeschön Dankeschön Dankeschön!!! :taenzer:

Auf ewig zu Dank verpflichtet!!

:applaus: :applaus: :applaus: :applaus: :applaus:

Eine Frage hätte ich noch: Es scheint threadfire und auch threatfire zu geben. Welches von beiden ist denn das richtige Programm? Und soll ich heue AntiVir Prof. uninstallen und gleich die abgespeckte Freeware-Variante draufspielen, da morgen meine Lizenz abläuft?

Gibt es sonst noch was zu tun?

Beste Grüsse

Andreas

Hi,

das hier meine ich:
ThreatFire-AntiVirus - Verhaltensorientierter Schutz gegen Viren und Spyware...
Und nein, ich mit der Firma nichts zu tun ;o)...
Avira-Free runterladen, offline gehen die uinstall und installationsorgie durchführen, online gehen und gleich updaten (sowohl avira als auch threadfire)...

chris