Trojaner-Board - Google und Boardlinks werden auf schädliche Seiten umgeleitet

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Google und Boardlinks werden auf schädliche Seiten umgeleitet (https://www.trojaner-board.de/91575-google-boardlinks-schaedliche-seiten-umgeleitet.html)

Google und Boardlinks werden auf schädliche Seiten umgeleitet

Guten Abend,

seit einigen Tagen werden bei mir einige Links auf google und auch hier auf dem trojaner-board auf unbekannte und unterschiedliche zum Teil schädliche Links umgeleitet.

Habe den CCleaner, Malwarebytes' Anti-Malware, Hijackthis, Avira, COMODO, DrWeb und HijackThis über den Rechner laufen lassen, alles leider ohne Erfolg.

Bitte um Rat. Vielen Dank!

bitte nutze keine programme mehr im allein gang.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Vorab, vielen Dank für die Antwort. Ich bitte um Verzeihung für den alleinigen Vorstoß, war keine böse Absicht, wird nicht mehr vorkommen.

Hier die beiden Logs, wie gefordert.

woher sollst du das vorher denn wissen :-) ist also kein problem.
du hast comodo und avira, ich nehme an du nutzt comodo als vollversion, das geht leider so nicht, trenne dich bitte von einem und teile mir mit, welches programm du deinstalierst.

Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, befor es angewiesen wird.

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix] File not found
O4 - HKU\S-1-5-18..\RunOnce: [ShowDeskFix] File not found
O4 - HKU\S-1-5-20..\RunOnce: [ShowDeskFix] File not found

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

Ich habe mich für Avira entschieden, dementsprechend habe ich COMODO entfernt.

Im Anhang befinden sich die gewünschten Logs.

Start programme zubehör editor kopiere rein

Killall::
Rootkit::
mia::
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe

Datei speichern unter, typ alle ort, dort wo sich combofix.exe befindet
name
cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

hmm für die erste datei habe ich keine saubere kopie gesehen in den logs. hast du ne windows cd zur hand? drweb hattest du ja schon genutzt oder?

Jap, habe sowohl eine Windows CD parat, als auch DrWeb bereits genutzt. Wie muss ich vorgehen?

ich hätte gern erst mal das du versuchst mir die 2 infizierten dateien hochzuladen, für dich ists zwar zu spät, aber andere user können dadurch evtl. geschützt werden
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe

http://www.trojaner-board.de/54791-a...ner-board.html

musst du noch ne datensicherung machen?

So, ich habe mich mittlerweile auf das Schlimmste vorbereitet und die wichtigsten Daten gesichert. In wie weit liegt hier eine technische Kompromittierung vor?

Wenn es nicht anders möglich ist, kann ich auch eine Neuaufsetzung verschmerzen.

Die infizierten Dateien habe ich via Upload-Channel hochgeladen.

Wie habe ich nun weiter vorzugehen?

also du kannst nun daten sichern
dann den pc neu aufsetzen.
dann evtl. fehlende treiber instalieren.
dann windows update aufsuchen, servicepack 3 aufspielen, sonstige wichtigen updates, auch den internet explorer 8
1. avira genauso einrichten und konfigurieren wie beschrieben
http://www.trojaner-board.de/54192-a...tellungen.html

2.
dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox.
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
5.
bitte folgendes durchführen:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de
download link ist hier
http://ntsvcfg.de/svc2kxp.zip
lies den abschnitt über die svc2kxp.md
du solltest die methode 2 wählen, diese ist ausreichend gut.
je weniger dienste der pc nach außen anbietet, desto besser.
automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach.
start ausführen
services.msc
suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch

6.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
7. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
9.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.

10. passwörter endern
bitte surfe also ab sofort nur noch in der sandbox, mit klick auf "sandboxed webbrowser"

bitte folgende allgemeinen tipps beachten.
- keine toolbars instalieren, machen den browser langsam, sind ein zusatz risiko.
- keine illegalen streaming seiten wie kino.to nutzen, keine illegalen downloads.
- keine tuning programme wie tuneup. das was sie versprechen ist alles nur schwindel und macht den pc am ende sogar eher langsam.

Okay, erst einmal vielen lieben Dank für die Antwort und die Hilfestellungen. Ich denke ernsthaft nach, eine komplette Neuinstallation inklusive Formatierung vorzuziehen, da mir aufgrund der Datensicherung nicht viel an dem aktuellen System liegt.

Zweitens, sind denn die Sicherheitslücken von Firefox so gravierend, dass es sich lohnt, auf Opera umzusteigen? Gleiches gilt für Sandboxie, immerhin scheint es ja vollwertig kostenpflichtig zu sein.

Drittens, ist mein Rechner nun wirklich kompromittiert? Muss ich davon ausgehen und dementsprechende Maßnahmen ergreifen?

Viertens, ist der nachteilige Effekt von TuneUp tatsächlich belegt? Bisher habe ich nämlich tatsächlich deutliche Geschwindigkeitsvorteile vernehmen können, auch mit diversen Benchmarks überprüft.

Vielen lieben Dank! :)

ich meine mit "daten retten" dokumente etc.
wegen sandboxie, du kannst sie auch als freeware nutzen und sie bringt auch hier nen vorteil, aber ich denke 29 € für eine lebenslang gültige lizenz die du auf allen pcs im haushalt einsetzen kannst das ist nicht zu viel und kann dir im ernstfall den pc retten.
und opera ist sicherer als der firefox. im letzten jahr war sogar der ie sicherer als der ff.
3. ja
4. es gibt belege das tuneup den pc ausbremst. und wie gesagt das was tuneup kann kann man auch selbst.

Ich habe nun alle Schritte wie beschrieben ausgeführt. Vielen herzlichen Dank nochmals für die großartige Hilfe :)